ماذا يوجد داخل شهادة SSL؟ كيف تقرأ أي شهادة باستخدام أداة فك ترميز الشهادة

للوهلة الأولى تبدو شهادة SSL/TLS كتلة نصية غير قابلة للقراءة. لكن في داخلها مكتوب بوضوح اسم نطاقك، ومن أصدرها، ومتى تكون صالحة، والكثير غير ذلك. ولرؤية هذه المعلومات لا تحتاج سوى أداة فك ترميز الشهادة (certificate decoder). في هذا المقال نشرح بلغة بسيطة ما الذي يوجد بالضبط داخل الشهادة، وما وظيفة كل حقل، ومتى ينبغي لك فك ترميز شهادتك.

ما هي أداة فك ترميز الشهادة؟

أداة فك ترميز الشهادة هي أداة تأخذ شهادة بصيغة PEM (النص الذي يبدأ بـ -----BEGIN CERTIFICATE-----) وتعرض جميع الحقول بداخلها بشكل قابل للقراءة. والأهم من ذلك أن أداة فك ترميز الشهادة لدينا تعمل بنسبة 100% داخل متصفحك: تبقى شهادتك في متصفحك ولا تُرفع إلى أي خادم على الإطلاق. هذا أمر بالغ الأهمية لخصوصيتك، لأن الشهادة قد تكشف تفاصيل عن نطاقاتك وبنيتك التحتية.

كثير من الأدوات على الإنترنت ترسل الشهادة التي تلصقها إلى خوادمها لمعالجتها. وعلى الرغم من أن الجزء العام من الشهادة ليس سرًا، فإن إجراء فك الترميز بالكامل على جهازك أسرع ويمنحك ثقة بأن أي بيانات لا تغادر متصفحك. لذلك تكون الأداة التي تعمل داخل المتصفح مفيدة بصفة خاصة عند التعامل مع الشهادات المؤسسية أو النطاقات الداخلية.

الحقول داخل شهادة SSL

الموضوع (Subject)

يخبرك الموضوع بمن تمثله الشهادة. أهم حقل فيه هو CN (الاسم الشائع)، أي اسم النطاق الأساسي. ومن الحقول الأخرى: O (المؤسسة) و OU (الوحدة) و L (المدينة) و ST (المحافظة/الولاية) و C (رمز الدولة). عادةً ما تحتوي الشهادات المجانية مثل Let's Encrypt على CN فقط دون بيانات المؤسسة.

المُصدِر (Issuer)

يُظهر المُصدِر من وقّع الشهادة، أي جهة إصدار الشهادات (CA) التي أصدرتها. في شهادات Let's Encrypt يكون المُصدِر عادةً شهادة وسيطة من Let's Encrypt. وفهم الفرق بين الموضوع والمُصدِر أمر أساسي: الموضوع هو موقعك، والمُصدِر هو الجهة الموثوقة التي تضمنه. وإذا كانا متطابقين فأنت تملك شهادة موقّعة ذاتيًا.

الصلاحية (Validity)

لكل شهادة تاريخ بداية (not before) وتاريخ نهاية (not after). خارج هذه النافذة تكون الشهادة غير صالحة وتُظهر المتصفحات تحذيرًا. شهادات Let's Encrypt صالحة لمدة 90 يومًا، لذا من الضروري متابعة تاريخ الانتهاء والتجديد في الوقت المناسب.

SAN (الأسماء البديلة للموضوع)

تحتوي قائمة SAN على جميع أسماء النطاقات التي تغطيها الشهادة. لم تعد المتصفحات الحديثة تنظر إلى CN وحده بل إلى قائمة SAN. لذا حتى تكون example.com و www.example.com مغطّاتين، يجب أن يظهر كلاهما في SAN. وفي شهادة العلامة البرية (wildcard) سترى هنا *.example.com.

الرقم التسلسلي وخوارزمية التوقيع

الرقم التسلسلي هو المعرّف الفريد الذي تمنحه جهة الإصدار لكل شهادة؛ ويُستخدم للبحث عن شهادة في قوائم الإلغاء. أما خوارزمية التوقيع فتخبرك كيف وُقّعت الشهادة؛ واليوم سترى غالبًا SHA-256 with RSA أو خوارزمية قائمة على ECDSA.

المفتاح العام (النوع والحجم)

المفتاح العام هو أساس التشفير. وقد يكون نوعه RSA أو EC (المنحنى الإهليلجي). ويشير الحجم إلى القوة: في RSA يُعدّ 2048 بت الحد الأدنى الآمن، و 4096 بت أقوى؛ بينما يوفّر مفتاح ECDSA بحجم 256 بت حماية قوية تعادل تقريبًا RSA 3072. والمفتاح الأكبر ليس دائمًا أسرع، فمفاتيح EC تمنح أمانًا عاليًا بحجم صغير.

البصمات (SHA-1 / SHA-256)

البصمة هي ملخّص فريد يُحسب على الشهادة بالكامل. وتُستخدم لتأكيد أن طرفين يملكان الشهادة نفسها. على سبيل المثال، عند التثبيت (pinning) في تطبيق جوال أو عند التحقق من شهادة مع فريق الدعم، تقارن بصمة SHA-256. وبما أن SHA-1 يُعدّ الآن ضعيفًا، فضّل SHA-256 في عمليات التحقق.

متى ينبغي فك ترميز الشهادة؟

  • للتحقق مما أصدرته جهة الإصدار: أكّد أن الشهادة التي استلمتها تحتوي فعلًا على النطاق الذي أردته.
  • لفحص SAN وتاريخ الانتهاء: تأكد من تغطية جميع نطاقاتك الفرعية وأن الشهادة لن تنتهي قريبًا.
  • لمطابقة بصمة: أثبت أن الشهادة الموجودة على الخادم هي الشهادة المتوقعة.
  • أثناء حل المشكلات: شخّص أخطاء مثل "يتم تقديم الشهادة الخاطئة".

كيفية الاستخدام

  1. افتح ملف الشهادة (.crt أو .pem أو fullchain.pem) في محرّر نصوص.
  2. انسخ الكتلة بين -----BEGIN CERTIFICATE----- و -----END CERTIFICATE-----.
  3. الصقها في أداة فك ترميز الشهادة وراجع الحقول التي تم فك ترميزها.

إذا لم تكن لديك شهادة بعد، يمكنك إنشاء شهادة Let's Encrypt مجانية لمدة 90 يومًا خلال دقائق عبر معالج الحصول على الشهادة، ثم التحقق من النتيجة باستخدام الأداة.

الخلاصة

تتكوّن شهادة SSL من الموضوع والمُصدِر ونافذة الصلاحية و SAN والرقم التسلسلي وخوارزمية التوقيع والمفتاح العام والبصمات. وقراءة هذه الحقول لا تتطلب خبرة خاصة، بل الأداة المناسبة فقط. تعرض أداة فك ترميز الشهادة كل هذه المعلومات في ثوانٍ وبخصوصية كاملة، لأن شهادتك تبقى في متصفحك. قبل التجديد أو النشر أو حل أي مشكلة، افك ترميز شهادتك بسرعة لتتأكد من أن كل شيء صحيح.