فك تشفير شهادة SSL/TLS

تتبع آلية التحقق من شهادة SSL/TLS نموذج سلسلة الثقة. عندما يتصل متصفح بموقع ويب، يقدم الخادم شهادته. يتحقق المتصفح من أن الشهادة موقعة من قبل سلطة تصديق (CA) موثوق بها، وأن اسم النطاق مطابق، وأن الشهادة لم تنتهِ صلاحيتها أو يتم إلغاؤها. شهادة سلطة التصديق بدورها موقعة من قبل سلطة تصديق أعلى مستوى، مما يشكل سلسلة تنتهي بسلطة تصديق جذرية مثبتة مسبقًا في نظام التشغيل أو المتصفح. إذا تم كسر أي رابط في هذه السلسلة أو كان غير موثوق به، يتم رفض الاتصال.

DER (قواعد الترميز المميز) هو تنسيق ثنائي لترميز الشهادات - موجز ولكنه غير قابل للقراءة بواسطة الإنسان. PEM (بريد محسن للخصوصية) هو ببساطة بيانات DER مرمزة بـ Base64 ومغلفة بين رؤوس '-----BEGIN CERTIFICATE-----' و '-----END CERTIFICATE-----'. يعد PEM أكثر شيوعًا لأنه يمكن نسخه ولصقه بأمان في نص، وتضمينه في ملفات التكوين، ونقله عبر البريد الإلكتروني. تقبل معظم الأدوات والخوادم تنسيق PEM، بينما يستخدم DER في بعض مخازن مفاتيح Java ومخازن شهادات Windows.

X.509 هو المعيار القياسي لشهادات المفتاح العام. كان CN (الاسم الشائع) تاريخيًا يحمل اسم النطاق الذي صدرت له الشهادة، على الرغم من أن الشهادات الحديثة تستخدم SAN بدلاً من ذلك. تسرد SAN (اسم بديل للموضوع) جميع النطاقات وعناوين IP التي تغطيها الشهادة، مما يدعم نطاقات متعددة في شهادة واحدة. يشير علم CA (سلطة التصديق) في امتداد القيود الأساسية إلى ما إذا كانت الشهادة يمكنها توقيع شهادات أخرى. تشمل الحقول المهمة الأخرى فترة الصلاحية، وقيود استخدام المفتاح، وخوارزمية التوقيع المستخدمة.