ar

طرق اعتماد معرّفات الإنترنت

3 أبريل 2017
بقلم Paul HoffmanPaul Hoffman

بالإضافة الى لغات الأمم المتحدة الست، هذا المحتوى متوفر أيضاً باللغات

أدت الأخبار الأخيرة التي أفادت بعزم متصفح Chrome المقدم من شركة Google اعتماد شهادات أمان طبقة النقل (TLS) التي تصدر من شركة Symantec أقل من الشهادات التي تصدر عن جهات منح الشهادات (CA) الأخرى إلى اشتعال الجدل حول كيفية التعبير عن الثقة لمستخدمي الإنترنت. حيث يستخدم أمان طبقة النقل TLS من أجل اعتماد أمن مواقع الويب، ولكن البنية التحتية العامة (PKI) تعتمد على حقيقة أن هناك أكثر من 100 جهة اعتمد، ويمكن لأي منها إصدار شهادات من أجل مصادقة أي موقع على الويب. ويتمثل التحدي في أنك عند الرغبة في الحصول على الثقة والاعتماد، يجب على شخص ما تحدث كل من القواعد التي تحكم جميع هيئات الاعتماد بالإضافة إلى كيفية إقالة هيئات الاعتماد التي لا تراعي تلك القواعد.

وخلال العقدين الماضيين، كان على الشركات الموفرة لبرامج التصفح مثل Mozilla (برنامج Firefox)، وGoogle (برنامج Chrome)، وApple (برنامج Safari) وMicrosoft (برنامج Internet Explorer وبرنامج Edge) أن تتحول إلى مدافعين عن الجدارة بالثقة لجهات الاعتماد. ولكل متصفح السياسات الخاصة به فيما يخص كيفية التعامل مع جهات الاعتماد التي يبدو أنها لا تفي بمتطلبات الثقة والجدارة المستندة إلى الطريقة التي يرغب موفر المتصفح أن يحمي مستخدميه بها. علمًا بأن موفري برامج التصفح الرئيسين وبضع عشرات من جهات الاعتماد أعضاء في منتدى جهات الاعتماد/برامج التصفح. وتقوم هذه المجموعة بإنشاء "المتطلبات الأساسية" الخاصة بها والتي تصف السياسات التي يتعين على هيئات الاعتماد اتباعها، لكنها لا تنظم أعضائها. وبذلك، يجب على موفري برامج التصفح القيام بعمليات الإنفاذ الخاصة بجدارة هيئات الاعتماد. فقد يؤدي ذلك إلى إجراءات إنفاذ مثل قيود Google على الشهادات الصادرة من Symantec وقبل ذلك حول الشهادات الصادرة من WoSign، والشهادات الصادرة من Diginotar وغيرها.

هل امتدادات أمن نظام أسماء النطاقات DNSSEC هي الحل؟

وعندما تظهر هذه النقاشات، غالبًا ما يحقق الناس الأمن لنظام أسماء النطاقات (DNS) من خلال امتدادات أمن نظام أسماء النطاقات (DNSSEC) كبديل محتمل أو ملاصق للبنية التحتية العامة للويب المستندة إلى X.509. وفي مستوى مرتفع، فإن البنية التحتية العامة PKI للويب تعمل على حماية محتوى صفحات الويب، في حين توفر امتدادات أمن نظام أسماء النطاقات الحماية لسلامة بيانان DNS التي قد تؤدي إلى صفحات الويب تلك. لكن لكلا النظامين نماذج مختلفة بشكل أساسي للطريقة التي يتم بها اعتماد البيانات الخاصة بهم. وأحد أهم الاختلافات بين النظامين هو أن البنية التحتية العامة PKI للويب تعتمد على قائمة تزيد عن مائة مؤسسة سوف يتوجب عليها الحصول على الاعتماد والثقة الكاملة، في حين لدى امتدادات DNSSEC مرتكز ثقة عالمي واحد. وهناك اختلاف هام آخر يتمثل في أن المصادقة في البنية التحتية العامة PKI للويب تتم من خلال برامج التصفح التي يختارها المستخدم، في حين أن مصادقة DNSSEC تتم من خلال برامج الحل التي يختار كمبيوتر المستخدم استخدامها.

يحقق مرتكز الثقة العالمي الفردي مزايا ذات صلة إلى DNSSEC. ويطالب مجتمع الإنترنت بشفافية أكبر في طريقة التعامل مع الثقة في نظام أسماء النطاقات DNS أكثر مما كان في البنية التحتية العامة PKI للويب، وقد ردت ICANN من خلال الحصول على عملية فائقة الوضوح والشفافية والمساءلة. كما أن ممثلي المجتمع المعتمدين يلعبون دورًا حيويًا في صيانة المفاتيح التشفيرية، من خلال المشاركة في الاحتفاليات التي قد يشاهدها الناس مباشرة أو من خلال التسجيلات. وتساعد المجتمعات الفنية في صياغة العمليات التي تحكم سلسة الثقة لامتدادات DNSSEC، بما في ذلك المساهمات الرئيسية في العملية التي تستخدمها ICANN من أجل تحديث (أو تبديل) مفتاح التوقيع الرئيسي (وهي العملية التي يطلق عليها اسم تبديل مفتاح التوقيع الرئيسي).

ولن يتم التخلي عن البنية التحتية العامة PKI للويب في القريب، ولكن من المحتمل أن الطريقة التي تتفاعل بها برامج التصفح مع هيئات الاعتماد سوف تتطور. وفي حقيقة الأمر، ثمة تحركات تتم من أجل جعل البنية التحتية العامة PKI للويب تتفاعل مع امتدادات DNSSEC من خلال بروتوكول مصادقة الكيانات المسماة المستند إلى نظام أسماء النطاقات (DANE) والذي يعتمد على امتدادات DNSSEC. كما أن مجموعة عمل أمان طبقة النقل TLS في فريق عمل هندسة الإنترنت (IETF) تعمل على السماح لعملاء TLS بأداء توثيق DANE وفق شهادة خادم TLS دون الحاجة إلى أداء عمليات بحث إضافية في سجل DNS. وعند الانتهاء، قد يؤدي ذلك إلى نموذج ثقة هجين وملفت يضم برامج تصفح تعمل على رفع الاستفادة من نموذج ثقة DNSSEC.

هيئات المصادقة سوف تتطور

بالنظر إلى مقدار البنية التحتية العامة PKI وعدد الجهات الفاعلة الأقل معرفة في جوهرها، من غير المفاجئ أن مستخدمي الإنترنت لا يزالون يطرحون أسئلة حول كيفية ضمان الثقة في نظام أسماء النطاقات. وسوف يتخذ موفرو برامج التصفح المزيد من الإجراءات من أجل تحسين الأمن لمستخدميهم. ومع تزايد نشر واستخدام DNSSEC على نطاق واسع، على ما يبدو أن استخدام DNSSEC من أجل تأمين نظام أسماء النطاقات سوف يسهم بالمزيد في تأسيس وإقرار الثقة التي تمكن مستخدمي الإنترنت من التواصل والتفاعل بأمان.

Authors

Paul Hoffman

Distinguished Technologist
Read biographyRead biography