قاموس
ما هو TLS
Transport Layer Security — البروتوكول الذي يضع الـ S في HTTPS، يشفّر الاتصالات بين العملاء والخوادم.
Transport Layer Security — TLS — هو البروتوكول الذي يحوّل اتصالات الشبكة بنصّ واضح إلى مشفّرة. هو الـ S في HTTPS. هو أيضًا ما يلفّ قنوات التحكّم في OpenVPN، وما يحاكيه VLESS Reality بدقّة، وما يستخدمه كل عميل بريد إلكتروني آمن للتحدّث إلى خوادم البريد.
النسخة الحديثة الحالية هي TLS 1.3، صدرت في 2018. TLS 1.2 لا يزال موجودًا في البرّية للتوافق لكنه يُستبعد تدريجيًا. TLS 1.0 و1.1 أصبحا deprecated؛ إذا تطلّبهما نظام، تعامل معهما كمكسورين.
ماذا يفعل TLS
ثلاثة أشياء بالترتيب:
- المصادقة. التحقّق من أنك تتحدّث فعلًا مع من تظنّ. يتمّ عبر شهادات موقَّعة من قبل سلطات موثوقة.
- تبادل المفاتيح. الاتفاق على سرّ مشترك دون إرساله إطلاقًا في نصّ واضح. TLS 1.3 يستخدم Diffie-Hellman على المنحنيات الإهليلجية (عادةً X25519).
- التشفير. استخدام ذلك السرّ المشترك لتشفير وتوثيق كل بايت يلي. TLS الحديث يستخدم cipher AEAD (AES-256-GCM أو ChaCha20-Poly1305).
handshake يستغرق جولة واحدة في TLS 1.3، أحيانًا صفر (0-RTT) للجلسات المُستأنفة. هذا فوز كبير على جولتي TLS 1.2.
ما لا يخفيه TLS
محتوى الاتصال: مشفّر. مع من تتحدّث: مرئي.
تحديدًا:
- IP الوجهة. التوجيه يتطلّبه.
- نطاق الوجهة عبر SNI. يُرسل غير مشفّر في رسالة handshake الأولى.
- توقيت وحجم الحركة. حتى مع المحتوى المشفّر، الأنماط مرئية. طلب 100 بايت متبوع برد 5 ميجابايت يبدو مختلفًا عن بثّ صوتي ثابت.
لهذا "HTTPS في كل مكان" لا يساوي خصوصية كاملة. مزوّد الإنترنت لا يستطيع قراءة ما أرسلته، لكنه يعرف لأي موقع أرسلته.
TLS 1.3 vs TLS 1.2
التغييرات الأكبر في 1.3:
- forward secrecy إلزامي. ciphers TLS 1.2 القديمة بدون forward secrecy أُزيلت. إذا تسرّب المفتاح الخاص للخادم لاحقًا، الحركة المسجَّلة من جلسات سابقة لا يمكن فكّها بأثر رجعي.
- قائمة cipher suites مقصوصة. TLS 1.2 لديه عشرات suite، كثير منها ضعيف. TLS 1.3 لديه خمسة. أقل للتكوين الخاطئ، مسارات downgrade أقل.
- handshake أسرع. جولة واحدة بدلًا من اثنتين. مرئي على كل تحميل صفحة.
- handshake مشفّر. المزيد من metadata الـ handshake مشفّرة من 1.2. الخوادم لم تعد تسرّب شهادتها في الواضح أثناء التفاوض.
TLS 1.3 هو ما يجب أن يشغّله كل موقع حديث. أدوات مثل SSL Labs تتيح لك التحقّق من إصدار TLS وتكوين الموقع.
TLS في سياق VPN
OpenVPN يلفّ قناة تحكّم مبنية على TLS. قناة التحكّم تتولّى المصادقة وتبادل المفاتيح؛ قناة البيانات تستخدم المفاتيح المشتقّة من ذلك handshake. تكوين OpenVPN حديث يستخدم TLS 1.3 + ECDSA + AES-256-GCM.
VLESS Reality لا يستخدم TLS فقط — ينفّذ TLS 1.3 handshake فعليًا إلى موقع عام حقيقي، ثم يحمل بيانات VPN داخل الجلسة المُنشأة. TLS ليس wrapper؛ إنه تمويه يستخدم شهادات حقيقية وخوادم حقيقية.
WireGuard لا يستخدم TLS على الإطلاق — لديه بروتوكوله الخاص بتشفير ثابت. فلسفة تصميم مختلفة.
اقرأ المزيد عن الشهادات قصيرة الأمد لكيفية تأثير جانب الشهادة على أمن VPN، أو نظرة عامة على الأمان للصورة الأوسع.
جرّب Fexyn مجانًا لمدة 7 أيام — ثلاثة بروتوكولات، TLS حديث حيث ينطبق، تشفير ثابت حيث لا.
مصطلحات ذات صلة
جرّب Fexyn مجانًا لمدة 7 أيام
تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.
الأسعار