ما هو بروتوكول TLS وكيف يعمل على نظام ويندوز: دليل الأمان والتكوين

  • يحمي بروتوكول TLS سرية وسلامة ومصادقة الاتصالات، والإصدارات الحديثة الموصى بها هي TLS 1.2 و 1.3.
  • في نظام التشغيل ويندوز، يتم تنفيذ TLS باستخدام Schannel ويتم التحكم فيه من .NET و WCF و AppContext والسجل، مما يسمح للنظام باختيار أفضل بروتوكول.
  • يتطلب التكوين الآمن تعطيل بروتوكولات SSL/TLS القديمة، واستخدام تشفير قوي مع PFS، وإدارة الشهادات بشكل صحيح، والاعتماد على سياسات المجموعة و PowerShell.
  • يؤدي التطبيق الصحيح لبروتوكول TLS إلى تحسين الأمان والامتثال التنظيمي وثقة المستخدم وحتى تصنيف مواقع الويب في محركات البحث.
Pablo

16 دقيقة

أمان بروتوكول TLS في نظام التشغيل ويندوز

أثناء تصفحنا للإنترنت في حياتنا اليوميةفي الخفاء، تعمل آليات عديدة مصممة لمنع أي شخص من التجسس على أنشطتنا. ومن أهمها، رغم أنها تغيب عن أنظار معظم الناس، بروتوكول TLS. إذا كنت تستخدم الخدمات المصرفية عبر الإنترنت، أو تتسوق عبر الإنترنت، أو تدير خوادم ويندوز، فمن الضروري أن تفهم ماهيته، وكيفية عمله، والأهم من ذلك، كيفية تهيئته بشكل صحيح.

في بيئات ويندوز الحديثة، من سطح المكتب إلى الخادملا يُعدّ بروتوكول TLS مجرد تفصيل تقني، بل هو الأساس الذي تُبنى عليه الخصوصية وسلامة البيانات والامتثال التنظيمي. علاوة على ذلك، في نظام ويندوز، تدخل في الاعتبار أنظمة Schannel و.NET Framework وWCF وسجل النظام وسياسة المجموعة ومنحنيات ECC وغيرها من الأنظمة المعقدة، والتي ينبغي تنظيمها باستخدام أساليب مثل... صفر الثقةدعونا ننظر إلى الأمر بهدوء، ولكن دون لف ودوران.

ما هو بروتوكول أمان طبقة النقل (TLS) ولماذا هو مهم للغاية؟

بروتوكول أمان طبقة النقل (TLS) هو بروتوكول تشفير يحمي هذا النظام الاتصالات التي تنتقل عبر الشبكة، عادةً عبر بروتوكول TCP. ويهدف إلى ضمان تشفير البيانات، وعدم قدرة أي شخص على تعديلها دون اكتشاف ذلك، وأن يعرف العميل بالضبط مع من يتواصل.

يمكننا أن نتخيل بروتوكول TLS كخزنة رقمية. بين نقطتين: متصفح وموقع ويب، عميل وواجهة برمجة تطبيقات، خادمان يتبادلان الملفات، عميل بريد إلكتروني مثل برنامج Thunderbird على نظام التشغيل Windows مع خادم SMTP/IMAP الخاص به... ينتقل المحتوى عبر الإنترنت، وهي شبكة غير آمنة تمامًا، ولكن بفضل TLS يصبح نصًا غير مفهوم لأي شخص يحاول التجسس عليه.

الهدف الرئيسي للبروتوكول هو تقديم ثلاثة ضماناتتُعدّ السرية (التشفير)، والنزاهة (ضمان عدم المساس بالبيانات)، والتحقق من الهوية (معرفة هوية من تتواصل معه) من الميزات الأساسية. تستخدم العديد من التطبيقات شهادة للتحقق من هوية الخادم، ويمكنها اختيارياً التحقق من هوية العميل أيضاً.

لا يقوم بروتوكول TLS بتشفير البيانات "المخزنة" أو ما تفعله داخل التطبيق.يركز هذا الأسلوب على حماية مسار الاتصال من أحد طرفيه إلى الطرف الآخر. وتُستخدم تقنيات تكميلية أخرى لتشفير الأقراص أو قواعد البيانات أو الذاكرة المستخدمة.

كيف يعمل بروتوكول TLS في نظام التشغيل ويندوز

كيف يعمل بروتوكول TLS خطوة بخطوة

على الرغم من أن العمليات الداخلية لبروتوكول TLS معقدة للغايةيمكننا تلخيص ذلك في بضع مراحل واضحة للغاية. تعتمد المحادثة الآمنة على عملية أولية تسمى المصافحة، ثم يتم استخدام التشفير المتناظر لتبادل البيانات.

مصافحة TLS

يبدأ كل شيء عندما يفتح العميل اتصالاً مع الخادم ويرسل رسالة "ClientHello". وفيها، يشير إلى إصدار TLS الذي يدعمه، ومجموعات التشفير التي يعرفها، والمعلمات اللازمة للتفاوض على الأمان.

يرد الخادم برسالة "ServerHello".عن طريق اختيار إصدار البروتوكول ومجموعة التشفير المراد استخدامها أثناء الجلسة. بالإضافة إلى ذلك، يرسل شهادته الرقمية، التي تحتوي على مفتاحه العام وبيانات هويته التي تم التحقق منها من قبل هيئة إصدار الشهادات (CA).

ثم تأتي عملية التحقق من الشهادةيتحقق العميل من أن الشهادة موقعة من قبل جهة إصدار شهادات موثوقة، وأنها ليست منتهية الصلاحية، وأنها لم يتم إلغاؤها، وأن اسم الشهادة يطابق المجال أو المعرف الذي يتصل به.

إذا كان كل شيء متوافقًا، يقوم العميل والخادم بتنفيذ عملية تبادل المفاتيح. (باستخدام خوارزميات RSA، وDiffie-Hellman، وECDHE، وغيرها) لاستخلاص مفتاح جلسة متناظر، لا يعرفه إلا الطرف الآخر. لم يعد هذا المفتاح يُرسل كنص عادي، بل يُحسب من مواد مشتركة مشفرة أثناء عملية التفاوض.

التشفير، والنزاهة، وإغلاق الجلسة

بمجرد تعيين مفتاح الجلسةتُشفّر جميع الاتصالات اللاحقة باستخدام خوارزميات تشفير متناظرة سريعة (مثل AES)، وتُحفظ الرسائل باستخدام MAC أو AEAD لضمان سلامتها. في حال اعتراض أي شخص لحركة البيانات، فلن يرى سوى بيانات عشوائية.

يشتمل بروتوكول TLS أيضاً على آليات لضمان عدم التلاعب بالرسائل.يتم تضمين رموز مصادقة الرسائل (MACs) أو علامات المصادقة، بحيث يتم اكتشاف أي تغيير في المحتوى على الفور.

عندما يقرر أحد الطرفين إنهاء التواصليتم إرسال رسائل الإغلاق، ويتم التخلص من مفتاح الجلسة. حتى لو تمكن مهاجم لاحقًا من سرقة المفتاح الخاص للخادم، فإن الجلسات السابقة التي تتمتع بسرية تامة للأمام (PFS) ستظل غير قابلة للاختراق.

تطور بروتوكول TLS: من SSL إلى TLS 1.3

قبل بروتوكول TLS كان هناك بروتوكول SSL (طبقة المقابس الآمنة).تم إنشاء بروتوكول SSL 2.0 و 3.0 بواسطة شركة Netscape في التسعينيات، وقد قدم فكرة تشفير اتصالات الويب، ولكن مع مرور الوقت تم اكتشاف ثغرات أمنية خطيرة، واليوم يعتبر هذا البروتوكول قديمًا تمامًا.

في عام 1999، تم توحيد معيار TLS 1.0 بناءً على SSL 3.0كانت خطوة للأمام، لكنها تأثرت في النهاية بهجمات مثل BEAST وCRIME. ثم ظهر بروتوكول TLS 1.1، وقبل كل شيء، بروتوكول TLS 1.2، الذي ظل لسنوات عديدة المعيار الفعلي في بيئات الإنتاج.

أدخل بروتوكول TLS 1.2 تحسينات كبيرة في خوارزميات التشفير، دعم مصادقة أكثر قوة، وخاصة إمكانية استخدام السرية الأمامية المثالية مع ECDHE، مما يقلل بشكل كبير من تأثير تسرب المفاتيح الافتراضي طويل الأجل.

يمثل بروتوكول TLS 1.3، الذي تم إصداره في عام 2018، مراجعة شاملة للبروتوكوليزيل هذا النظام الميزات غير الآمنة والتشفير القديم، ويبسط عملية المصافحة إلى جولة واحدة ذهابًا وإيابًا، بل ويسمح باستئناف العمليات في وقت استجابة صفري في حالات محددة للغاية. وهو، افتراضيًا، أكثر أمانًا وسرعة.

لذلك، يُنصح به بشدة اليوم. قم بتعطيل SSL 2.0/3.0 و TLS 1.0 و 1.1، واستخدم على الأقل TLS 1.2، ويفضل استخدام TLS 1.3 حيثما أمكن.

أين يُستخدم بروتوكول TLS عمليًا؟

إن التطبيق الأكثر وضوحًا لبروتوكول TLS هو تصفح الويب باستخدام HTTPS.في كل مرة ترى فيها رمز القفل في شريط العنوان، يستخدم المتصفح بروتوكول TLS لحماية البيانات التي ترسلها وتستقبلها من الموقع الإلكتروني.

وبعيدًا عن المتصفح، يُستخدم بروتوكول TLS على نطاق واسع في البريد الإلكترونييتم تغليف SMTP و IMAP و POP3 في TLS لمنع الأطراف الثالثة من قراءة أو تغيير الرسائل أو المرفقات أثناء النقل بين الخوادم والعملاء.

نقل الملفات بشكل آمن نجد بروتوكولات مثل FTPS (بروتوكول نقل الملفات عبر TLS) أو حلولاً تعتمد على أنفاق مشفرة تستخدم TLS لتأمين الاتصال. وهذا أمر بالغ الأهمية عند نقل البيانات الحساسة أو النسخ الاحتياطية أو معلومات الشركات.

تعتمد واجهات برمجة التطبيقات الحديثة وخدمات الويب بشكل شبه دائم على بروتوكول HTTPS/TLSتعتمد كل من الخدمات المصغرة الداخلية وعمليات التكامل مع جهات خارجية (بوابات الدفع، وأنظمة إدارة علاقات العملاء، والخدمات السحابية، وما إلى ذلك) على بروتوكول TLS لضمان عدم كشف البيانات المتدفقة بين التطبيقات.

يُعد بروتوكول TLS أساسيًا أيضًا في المراسلة الفورية وشبكات VPNتسمح الإصدارات المعدلة مثل DTLS بحماية حركة المرور عبر UDP (الصوت والفيديو والألعاب عبر الإنترنت)، وتعتمد العديد من شبكات VPN الحديثة على TLS لإنشاء أنفاق مشفرة بين المستخدم وشبكة الشركة.

فوائد بروتوكول أمان طبقة النقل (TLS) للمستخدمين والمؤسسات

من وجهة نظر المستخدم النهائي، يحمي بروتوكول TLS البيانات الشخصية والمالية.يتم نقل أرقام البطاقات وبيانات الاعتماد الخاصة بالوصول والمعلومات الطبية أو أي بيانات حساسة أخرى بشكل مشفر، مما يجعل من غير العملي للمهاجم استغلالها حتى لو تمكن من اعتراض حركة البيانات.

بالنسبة للشركات، يُعد بروتوكول أمان طبقة النقل (TLS) عنصرًا أساسيًا في الثقة الرقمية. و الأمان ضد البرامج الضارة والقرصنةإن الموقع الذي يستخدم بروتوكول HTTPS بشكل صحيح، مع شهادة صالحة وبروتوكولات حديثة، ينقل الجدية ويقلل من خطر هجمات التصيد الاحتيالي أو انتحال الشخصية.

في القطاعات الخاضعة للتنظيم مثل الخدمات المصرفية أو الرعاية الصحية أو التجارة الإلكترونيةيساعد بروتوكول TLS على الامتثال للوائح مثل PCI DSS و GDPR و HIPAA، التي تتطلب قناة آمنة لمعالجة أنواع معينة من المعلومات. وقد يؤدي الاستخدام غير السليم للبروتوكولات القديمة إلى عدم الامتثال وفرض عقوبات.

فيما يتعلق بالأمن الهجومي، فإن بروتوكول TLS يخفف من حدة أنواع عديدة من الهجماتالتنصت السلبي، والتلاعب أثناء النقل، وهجمات الوسيط (MitM)، ومحاولات حقن المحتوى المتعددة. ليس حلاً سحرياً، ولكنه طبقة حماية أساسية.

علاوة على ذلك، من منظور تحسين محركات البحث، تعتبر محركات البحث مثل جوجل بروتوكول HTTPS إشارة إيجابية.إن عدم وجود بروتوكول TLS لا يمنعك من الحصول على تصنيف، ولكنه يضعك في وضع غير مواتٍ بشكل واضح مقارنة بالمنافسين الذين يقدمون نفس المحتوى على موقع آمن.

الاختلافات بين TLS و SSL (ولماذا لا تزال تسمى "شهادات SSL")

عمليًا، عندما نتحدث عن "شهادات SSL" فإننا نعني دائمًا تقريبًا TLSلقد ترسخ مصطلح SSL في اللغة الشائعة والتسويق، تمامًا كما نطلق على أي منديل ورقي اسم "كلينكس"، حتى لو كان في الواقع من علامة تجارية أخرى.

كان بروتوكول SSL هو البروتوكول الأصلي الذي مهد الطريق لبروتوكول TLSمع ذلك، يُعتبر الآن غير آمن. يُعدّ بروتوكول TLS المعيار الحالي، مع التوصية بالإصدارين 1.2 و1.3، وهو البروتوكول المستخدم فعلياً من قِبل الخوادم والمتصفحات.

السبب وراء استمرار المتاجر والموردين في الحديث عن "شهادة SSL" إنها ممارسة تجارية وعرفية بحتة. من الناحية الفنية، هذه الشهادات هي شهادات X.509 للاستخدام مع بروتوكول TLS، على الرغم من أن الاسم التجاري قديم.

إن ما يهم المسؤول ليس بالضرورة قواعد السلوك المهني.بل أن الشهادة صادرة عن جهة إصدار شهادات موثوقة، وأنها صالحة للمجال، وتستخدم خوارزميات حديثة (مثل RSA مع مفاتيح مناسبة أو ECC) ومدمجة مع تكوين TLS قوي.

أنواع شهادات TLS حسب مستوى التحقق

تختلف شهادات TLS بشكل أساسي في مستوى التحقق منها هذا ما تقوم به جهة إصدار الشهادات قبل إصدارها. لا يُغيّر ذلك نوع التشفير، ولكنه يُغيّر مستوى الثقة التي تُقدّمها فيما يتعلق بهوية حامل الشهادة.

شهادات التحقق من صحة النطاق (DV) لا تتحقق هذه الشهادات إلا من أن الشخص الذي يطلبها يملك النطاق. ويتم التحقق منها باستخدام عنوان بريد إلكتروني، أو سجل نظام أسماء النطاقات (DNS)، أو ملف على الموقع الإلكتروني. وهي سريعة وغير مكلفة (بعضها مجاني، مثل Let's Encrypt)، لكنها لا تقدم أي معلومات عن الشركة التي تدير الموقع.

شهادات التحقق من صحة المنظمة (OV) يضيفون التحقق من الكيان: الاسم القانوني، العنوان، سجلات الأعمال ... تتضمن الشهادة هذه البيانات، حتى يتمكن العملاء من معرفة من يقف وراء الموقع الإلكتروني بالفعل.

شهادات التحقق الموسع (EV) إنهم يجرون عملية تحقق أكثر دقة. لسنوات، كانوا يعرضون شريطًا أخضر بارزًا في المتصفحات؛ واليوم تم تبسيط المؤشر المرئي، لكن عملية الإصدار لا تزال الأكثر صرامة.

توجد أيضًا شهادات خاصة مثل SAN (اسم بديل للموضوع) أو Wildcardوالتي تسمح لك بحماية نطاقات أو نطاقات فرعية متعددة بنفس الشهادة، وهو أمر مفيد للغاية في البنى التحتية المعقدة.

التوافق مع بروتوكول TLS في نظام التشغيل Windows و .NET Framework

في نظام التشغيل ويندوز، يعتمد تطبيق بروتوكول TLS على Schannel (القناة الآمنة).، وهو مزود نظام تشغيل يقدم بروتوكولات ومجموعات تشفير لجميع التطبيقات التي تستخدمه، بما في ذلك .NET Framework والعديد من خدمات النظام.

لا يوفر إطار عمل .NET حزمة TLS منفصلة خاصة بهبدلاً من ذلك، يتم تفويضها إلى Schannel. وهذا يعني أن إصدارات TLS المتاحة والقابلة للتفاوض تعتمد على كل من إصدار Windows وتكوين النظام.

أقصى إصدار من بروتوكول TLS يمكن لتطبيق .NET استخدامه يعتمد ذلك على توافق نظام التشغيل ويندوز مع إصدار إطار عمل .NET المُستهدف. على سبيل المثال، في نظام ويندوز 10 مع .NET 3.5، يكون الحد الأقصى المعتاد هو TLS 1.2، بينما في نظام ويندوز 11 مع .NET 4.8 أو 4.8.1، يمكن الاستفادة من TLS 1.3.

بالنسبة لبروتوكول TLS 1.3، يُنصح باستهداف المشاريع التي تعمل بنظام .NET Framework 4.8 أو أعلى عندما يتعلق الأمر بالتطبيقات الكلاسيكية، وعلى أي حال دع نظام التشغيل نفسه يقرر البروتوكول الأمثل لكل اتصال.

أفضل ممارسات بروتوكول أمان طبقة النقل (TLS) في .NET، وHttpClient، وSslStream، وWCF

من أهم التوصيات في بيئة .NET عدم فرض استخدام إصدارات محددة من بروتوكول TLS في الكود.إذا بدأت في ضبط TLS 1.0 أو 1.1 أو حتى 1.2 يدويًا، يمكنك منع النظام من التفاوض تلقائيًا على TLS 1.3 عندما يصبح متاحًا.

بدلاً من اختيار البروتوكولات يدويًا، من الأفضل ترك الإعدادات الافتراضية للنظام تحدد ذلك.لذلك، في واجهات برمجة التطبيقات مثل ServicePointManager.SecurityProtocol، يوصى بالاحتفاظ بـ SecurityProtocolType.SystemDefault، دون تغيير أي شيء إلا إذا كانت هناك حاجة مبررة للغاية.

إذا تم استخدام دوال SslStream المُحمّلة التي تقبل بروتوكولات Sslمن الأفضل تمرير SslProtocols.None أو SslProtocols.SystemDefault، ولكن لا يتم تمرير SslProtocols.Default أبدًا، لأن الأخير يفرض مجموعات أقدم (SSL 3.0/TLS 1.0) ويعطل TLS 1.2 والإصدارات الأحدث.

في تطبيقات WCF، بدءًا من .NET 4.7.1 تستخدم المنصة بالفعل القيم المُهيأة في نظام التشغيل، ما لم يُنص على خلاف ذلك في ملف التكوين أو التعليمات البرمجية. يتيح لك استخدام SslProtocols.None في روابط NetTcp والتكوينات المخصصة ترك هذا القرار للنظام.

بالنسبة للإصدارات الأقدم، مثل .NET 3.5 أو 4.6.2إذا كان لا بد من تحديد بروتوكول معين بشكل صريح، فإن الخيار الأمثل هو اختيار TLS 1.2، وفي البيئات التي تدعم TLS 1.3، يُنصح باختياره في الأطر البرمجية الحديثة. بل إن مايكروسوفت توثق "امتدادات" لإضافة ثوابت TLS 12 وTLS 13 إلى الإصدارات القديمة من الإطار البرمجي باستخدام قيم عددية محددة.

AppContext وWindows Registry للتحكم في TLS

في إطار عمل .NET الإصدار 4.6.2 والإصدارات الأحدث، توجد عدة مفاتيح تبديل AppContext. والتي تسمح لك بالتأثير على كيفية تصرف واجهات برمجة تطبيقات الشبكة فيما يتعلق ببروتوكول TLS دون المساس بشفرة التطبيق.

مفتاح Switch.System.Net.DontEnableSchUseStrongCryptoعند ضبط هذا الخيار على "خطأ"، فإنه يُلزم باستخدام "تشفير قوي": تفعيل بروتوكولي TLS 1.1 و1.2 وتعطيل البروتوكولات القديمة. في الإصدارات الحديثة من إطار العمل، تكون هذه القيمة الآمنة هي القيمة الافتراضية عادةً، ولكن إذا كان التطبيق يستهدف إصدارات أقدم، يُنصح بفرضها.

Switch.System.Net.DontEnableSystemDefaultTlsVersionsيشير خيار `--TLS`، الذي يُنصح أيضًا بضبطه على `false`، إلى ضرورة استخدام إصدارات TLS الافتراضية لنظام التشغيل. في حال تركه مضبوطًا على `true`، يفرض .NET استخدام قائمة البروتوكولات الداخلية الخاصة به، والتي قد تكون قديمة.

توجد مفاتيح مماثلة في WCF، مثل Switch.System.ServiceModel.DisableUsingServicePointManagerSecurityProtocols و Switch.System.ServiceModel.DontEnableSystemDefaultTlsVersions، والتي تحدد ما إذا كان سيتم استخدام بروتوكولات النظام، أو تلك التي تم تكوينها في ServicePointManager، أو الإصدارات ذات المستوى الأعلى مثل TLS 1.0/1.2.

عندما يتعذر استخدام مفاتيح AppContext (على سبيل المثال، في .NET 3.5 أو السيناريوهات التي لا يمكن الوصول فيها إلى ملفات التكوين)، يمكنك استخدام مفاتيح التسجيل مثل SchUseStrongCrypto و SystemDefaultTlsVersions في HKLM\SOFTWARE\Microsoft\.NETFramework (ومتغيرها Wow6432Node) لفرض استخدام التشفير القوي وإصدارات النظام الافتراضية.

تكوين بروتوكولات TLS ومجموعات التشفير في نظام التشغيل Windows

بالإضافة إلى .NET، يتيح نظام التشغيل Windows تحكمًا دقيقًا للغاية في البروتوكولات والتشفيرات التي يوفرها Schannel.ينطبق هذا على كل من العملاء والخوادم. ويتم ذلك بشكل أساسي من خلال سجل النظام وسياسة المجموعة.

لتمكين أو تعطيل إصدارات محددة من بروتوكول TLS يُستخدم الفرع HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols. ضمن هذا الفرع، يمكن إنشاء مفاتيح فرعية مثل TLS 1.2 وTLS 1.3، وما إلى ذلك، وداخل كل منها، مفتاحا Client وServer، مع قيم DWORD المفعّلة والمعطّلة افتراضيًا لضبط السلوك بدقة.

كما يمكن ضبط ترتيب واختيار مجموعات التشفير.باستخدام نهج المجموعة (تكوين الكمبيوتر > القوالب الإدارية > الشبكة > قيم تكوين SSL > ترتيب مجموعة تشفير SSL) يمكنك تحديد القائمة الدقيقة وأولويتها.

في نظام التشغيل Windows 10 والإصدارات الأحدث، يمكنك حتى تعديل ترتيب المنحنيات الإهليلجية (ECC). بغض النظر عن ترتيب مجموعة التشفير. يتم ذلك عن طريق تسجيل أو حذف المنحنيات باستخدام certutil.exe (أوامر مثل -displayEccCurve، -addEccCurve، -deleteEccCurve) ثم استخدام سياسة المجموعة لتوزيع تلك المنحنيات وترتيب تفضيلها.

لإدارة أكثر تطوراً وأتمتةيوفر نظام التشغيل Windows أيضًا أوامر PowerShell cmdlets الخاصة بوحدات TLS والتي تسمح لك بالاستعلام عن مجموعات التشفير وتمكينها وتعطيلها دون لمس سجل النظام مباشرة.

إعادة التفاوض والهجمات ونقاط الضعف في بروتوكول TLS

على الرغم من أن بروتوكول TLS يوفر إطار عمل قوي للغاية، إلا أنه ليس خالياً من المخاطر.كانت إعادة التفاوض إحدى أكثر الوظائف إشكالية تاريخياً: إمكانية إعادة التفاوض على المعلمات التشفيرية في جلسة قائمة بالفعل.

استغلت ثغرات مثل CVE-2009-3555 عمليات إعادة التفاوض غير الآمنة. لحقن حركة مرور خبيثة أو اختراق جلسات HTTPS التي تبدو شرعية. وقد مكّن هذا من شنّ هجمات الوسيط (MitM) في سياقات حساسة مثل الخدمات المصرفية عبر الإنترنت.

علاوة على ذلك، فإن إعادة التفاوض لها تكلفة حسابية عالية بالنسبة للخادم.وقد تضمنت بعض هجمات الحرمان من الخدمة الموزعة (DDoS) إطلاق العديد من عمليات إعادة التفاوض المتتالية، مما أدى إلى استنزاف وحدة المعالجة المركزية والذاكرة الخاصة بالخادم بطلبات رخيصة للغاية بالنسبة للمهاجم.

للتخفيف من هذه المشاكل، يقوم بروتوكول TLS 1.3 بإلغاء إعادة التفاوض الكلاسيكية بشكل مباشر. ويستبدل ذلك بآليات مثل استئناف جلسة PSK و 0-RTT، والتي تعتبر أكثر أمانًا وكفاءة.

ثغرات أمنية أخرى معروفة متعلقة ببروتوكول SSL/TLS شملت هذه الهجمات هجمات FREAK وLogjam وهجمات خفض مستوى التشفير، مما أجبر على استخدام مفاتيح ضعيفة أو إصدارات بروتوكولات قديمة. ويتمثل الحل في تعطيل البروتوكولات القديمة، واستخدام مجموعات قوية فقط مع نظام PFS، ومراقبة إعدادات الخادم عن كثب.

أفضل الممارسات لتكوين بروتوكول TLS على الخوادم ومواقع الويب

تعتمد فعالية بروتوكول TLS الفعلية بشكل كبير على كيفية تهيئته.يمكن أن يكون الخادم الذي يحتفظ بإصدارات قديمة أو تشفير ضعيف مفتوحًا هدفًا سهلاً حتى لو كان لديه شهادة صالحة.

أول شيء يجب فعله هو التأكد من تفعيل بروتوكولي TLS 1.2 و 1.3 فقط.تعطيل بروتوكولات TLS 1.0 و1.1، وبالطبع أي أثر لبروتوكولات SSL 2.0/3.0. هذا شرطٌ أساسي في معايير مثل PCI DSS، وتُصنّف المتصفحات الحديثة المواقع التي تعتمد على بروتوكولات قديمة على أنها غير آمنة.

بعد ذلك، يُنصح بتقييد مجموعات التشفير إلى مجموعات قوية.باستخدام الخوارزميات الحديثة وتقنية PFS (على سبيل المثال، ECDHE مع AES-GCM). تساعد أدوات مثل اختبار خادم SSL من GlobalSign أو مولدات التكوين من Mozilla في التحقق من التكوينات الموصى بها وإنشائها.

ومن الضروري أيضاً إدارة الشهادات بشكل صحيح.استخدم مفاتيح خاصة طويلة بما فيه الكفاية أو ECC، وقم بتجديدها قبل انتهاء صلاحيتها، وقم بإلغائها إذا اشتبه في حدوث اختراق، وقم بتخزينها، من الناحية المثالية، في وحدات أمان الأجهزة (HSMs) أو على الأقل مع ضوابط وصول صارمة.

إجراءات إضافية مثل HSTS (بروتوكول أمان النقل الصارم لبروتوكول HTTP) تساعد هذه الإجراءات في منع هجمات تدهور بروتوكول HTTP عن طريق منع المتصفح من قبول الاتصالات غير المشفرة بنطاق يجب أن يستخدم دائمًا بروتوكول HTTPS.

التحديات الشائعة عند تطبيق بروتوكول أمان طبقة النقل (TLS) في المؤسسات

تطبيق بروتوكول TLS بجدية في مؤسسة متوسطة أو كبيرة الحجم الأمر لا يقتصر على "إضافة شهادة وانتهى الأمر". هناك تحديات تتعلق بالتوافق والأداء والإدارة والمراقبة يجب أخذها في الاعتبار.

فيما يتعلق بالتوافق، لا ندعم إلا بروتوكولات TLS الحديثة. قد يستبعد ذلك العملاء القدامى جدًا (المتصفحات القديمة، والأنظمة القديمة، والأجهزة المدمجة). يجب اتخاذ قرار بشأن مدى التضحية بالتوافق لصالح الأمان.

يكون التأثير على الأداء ملحوظاً بشكل خاص على الخوادم ذات حركة المرور العالية.بما أن المصافحة والتشفير يستهلكان وحدة المعالجة المركزية، فإن التكلفة عادة ما تكون قابلة للإدارة، ولكن بالنسبة للخدمات الحيوية، يُنصح بضبط المعلمات، وتمكين HTTP/2 أو HTTP/3، وتحديد حجم البنية التحتية بشكل صحيح.

تصبح إدارة دورة حياة الشهادة معقدة على نطاق واسع.بدون الأتمتة (على سبيل المثال، استخدام ACME للإصدار والتجديد) من السهل أن ينتهي بك الأمر بشهادات منتهية الصلاحية تتسبب في تعطل الخدمات أو الاحتفاظ بتكوينات قديمة خوفًا من "إتلاف شيء ما".

وأخيراً، فإن حركة البيانات المشفرة تعقد عمليات الفحص والمراقبة.تحتاج أنظمة كشف ومنع التسلل وأدوات الأمان الأخرى إلى تقنيات إضافية مثل إنهاء TLS على الخوادم الوكيلة، أو نسخ حركة المرور المتحكم بها، أو حلول محددة لفحص TLS دون انتهاك الخصوصية أو إضعاف الأمان.

إن الفهم الشامل لماهية TLS، وكيفية تنفيذه بواسطة Windows، وكيفية تكامله مع .NET وWCF وبقية مكونات النظام أمر ضروري للاستفادة الكاملة من مزاياه وتقليل المخاطر. مزيج من البروتوكولات الحديثة (TLS 1.2/1.3)إن التكوين الدقيق والتحديثات المستمرة والإدارة الجيدة للشهادات هي التي تُحدث الفرق بين بنية تحتية "آمنة ظاهريًا" وبنية تحتية قوية حقًا في مواجهة التهديدات الحالية.

RDP على Windows: متطلبات الأمان والتكوين الآمن
المادة ذات الصلة:
RDP على Windows: متطلبات الأمان والتكوين الآمن