ما هي الشهادة التي يتم تثبيتها؟

تثبيت الشهادة هو تقنية أمان حيث يتم قبول الشهادات المصرح بها أو مثبتة فقط عند إنشاء جلسة عمل آمنة. يتم رفض أي محاولة لإنشاء جلسة عمل آمنة باستخدام شهادة مختلفة.

محفوظات تثبيت الشهادة

تم تصميم تثبيت الشهادة في الأصل كوسيلة لإحباط هجمات الدخيل (MITM). أصبح تثبيت الشهادات لأول مرة شائعا في عام 2011 نتيجة للاختراق الذي قامت به هيئة شهادات DigiNotar ، حيث تمكن المهاجم من إنشاء شهادات البدل للعديد من مواقع الويب البارزة بما في ذلك Google. تم تحديث Chrome إلى "تثبيت" الشهادات الحالية لمواقع Google على الويب وسيرفض أي اتصال إذا تم تقديم شهادة مختلفة. حتى إذا وجد المهاجم طريقة لإقناع المرجع المصدق بإصدار شهادة احتيالية، فسيظل Chrome يعترف بها على أنها غير صالحة، ورفض الاتصال.

على الرغم من أن متصفحات الويب مثل Chrome وFirefox كانت من بين التطبيقات الأولى لتنفيذ هذه التقنية، إلا أن نطاق حالات الاستخدام توسع بسرعة. بدأت أجهزة إنترنت الأشياء (IoT) وتطبيقات الأجهزة المحمولة iOS وAndroid ومجموعة مختلفة من تطبيقات البرامج باستخدام هذه التقنية للدفاع ضد هجمات الدخيل.

لعدة سنوات، اعتبر تثبيت الشهادة ممارسة أمنية جيدة. وقد تحسن الإشراف على مشهد البنية التحتية للمفتاح العام (PKI) بشفافية في ممارسات إصدار المراجع المصدقة الموثوق بها بشكل عام.

كيفية معالجة تثبيت الشهادة في التطبيق الخاص بك

عادة ما يحتوي التطبيق على قائمة بالشهادات المعتمدة أو خصائص الشهادات بما في ذلك الأسماء المميزة للموضوع وبصمات الإبهام والأرقام التسلسلية والمفاتيح العامة. قد يتم تثبيت التطبيقات مقابل شهادات طرفية فردية أو شهادة كيان طرفي أو شهادات CA تابعة أو حتى شهادات المرجع المصدق الجذر.

إذا كان التطبيق الخاص بك يحدد بشكل صريح قائمة المراجع المصدقة المقبولة، فقد تحتاج بشكل دوري إلى تحديث الشهادات مثبتة عند تغيير المراجع المصدقة أو انتهاء صلاحيتها. للكشف عن تثبيت الشهادة، نوصي باتخاذ الخطوات التالية:

• إذا كنت مطور تطبيق، فابحث في التعليمات البرمجية المصدر عن أي من المراجع التالية للمرجع المصدق الذي يتغير أو ينتهي صلاحيته. إذا كان هناك تطابق، فقم بتحديث التطبيق لتضمين المراجع المتماثلة المفقودة.

  • بصمة إبهام الشهادة
  • الأسماء المميزة للموضوع
  • الأسماء الشائعة
  • الأرقام التسلسلية
  • المفاتيح العامة
  • خصائص الشهادة الأخرى

• إذا كان تطبيق العميل المخصص يتكامل مع واجهات برمجة تطبيقات Azure أو خدمات Azure الأخرى وكنت غير متأكد مما إذا كان يستخدم تثبيت الشهادة، فتحقق من مورد التطبيق.

قيود تثبيت الشهادة

أصبحت ممارسة تثبيت الشهادة موضع نزاع على نطاق واسع لأنها تحمل تكاليف غير مقبولة لسرعة الشهادة. تم إهمال تنفيذ واحد محدد، HTTP Public Key Pinning (HPKP)، تماما

نظرا لعدم وجود معيار ويب واحد لكيفية تنفيذ تثبيت الشهادة، لا يمكننا تقديم إرشادات مباشرة في الكشف عن استخدامها. على الرغم من أننا لا نوصي بعدم تثبيت الشهادة، يجب أن يكون العملاء على دراية بالقيود التي تنشئها هذه الممارسة إذا اختاروا استخدامها.

• تأكد من أنه يمكن تحديث الشهادات التي تم تثبيتها في غضون مهلة قصيرة.
• تتطلب متطلبات الصناعة، مثل المتطلبات الأساسية لمنتدى CA/Browser لإصدار وإدارة الشهادات الموثوق بها بشكل عام تدوير الشهادات وإبطالها في أقل من 24 ساعة في حالات معينة.

الخطوات التالية

• تحقق من تفاصيل Azure Certificate Authority لمعرفة التغييرات القادمة
• مراجعة أفضل الممارسات والأنماط لأساسيات أمان Azure