TLS (أمان طبقة النقل) هو بروتوكول تشفير يُؤمّن الاتصال بين متصفحك والمواقع التي تزورها. في كل مرة ترى فيها "HTTPS" في شريط العنوان، يكون TLS يعمل. تحقّق من إصدار TLS الذي يستخدمه اتصالك على whatsmy.fyi.
TLS مقابل SSL: ما الفرق؟
كثيراً ما يُستخدم "SSL" و"TLS" بالتبادل، لكنهما تقنياً بروتوكولان مختلفان:
- SSL (طبقة المقابس الآمنة) — البروتوكول الأصلي الذي طوّرته Netscape في تسعينيات القرن الماضي. SSL 2.0 وSSL 3.0 مهجوران ولهما ثغرات حرجة معروفة.
- TLS (أمان طبقة النقل) — خليفة SSL، مُوحَّد لأول مرة بـ TLS 1.0 عام 1999. هو ما تستخدمه جميع اتصالات HTTPS الحديثة.
لا يستخدم أي متصفح أو خادم حديث SSL. حين يُقال "شهادة SSL"، فالمقصود شهادة TLS. المصطلح "SSL" بقي فقط في الاستخدام العامّي.
ما الذي يفعله TLS؟
يُقدّم TLS ثلاثة ضمانات أمنية أساسية:
- السرية: البيانات المتبادلة بين المتصفح والخادم مُشفَّرة. لا يستطيع أحد بينك وبين الخادم (مزوّد الخدمة، هاكر على Wi-Fi عام، مُراقب) قراءة المحتوى.
- السلامة: لا يمكن تعديل البيانات أثناء النقل. إذا تدخّل أحد في الحزمة، اكتشف رمز مصادقة رسالة TLS (MAC) ذلك.
- المصادقة: يستخدم TLS شهادات رقمية للتحقق من أنك تتواصل مع الخادم الحقيقي لا دخيل. هذا يمنع هجمات "الرجل في المنتصف".
TLS 1.2 مقابل TLS 1.3
وُحِّد TLS 1.3 في RFC 8446 (أغسطس 2018) ويُمثّل قفزة كبيرة على TLS 1.2:
| الميزة | TLS 1.2 | TLS 1.3 |
|---|---|---|
| رحلات المصافحة | 2-RTT | 1-RTT (0-RTT للجلسات المستأنفة) |
| مجموعات التشفير | كثيرة، تشمل ضعيفة | 5 مجموعات قوية فقط |
| السرية المثالية للأمام (PFS) | اختياري | إلزامي |
| تبادل مفاتيح RSA | مدعوم (ضعيف) | مُزال |
| MD5/SHA-1 في المصافحة | مسموح | مُزالان |
أهم تحسين هو السرية المثالية للأمام (PFS) الإلزامية في TLS 1.3. تعني PFS أنه حتى لو اختُرق المفتاح الخاص للخادم في المستقبل، لن يمكن فكّ تشفير حركة المرور المُسجَّلة سابقاً.
كيف تعمل مصافحة TLS؟
قبل بدء نقل البيانات المشفّرة، يُجري المتصفح والخادم مصافحة TLS:
- ClientHello: يُرسل المتصفح إصدارات TLS المدعومة وقائمة مجموعات التشفير ورقماً عشوائياً.
- ServerHello: يختار الخادم أعلى إصدار TLS وأقوى تشفير مدعومَين من كلا الطرفين، ويُرسل شهادته.
- التحقق من الشهادة: يتحقق المتصفح من شهادة الخادم وفق الجهات الموثوقة لإصدار الشهادات (CA) في نظام التشغيل أو المتصفح.
- تبادل المفاتيح: يحصل الطرفان على مفاتيح جلسة متطابقة عبر تبادل مفاتيح Diffie-Hellman (مؤقت دائماً في TLS 1.3).
- تبدأ حركة المرور المشفّرة.
في TLS 1.3، تستغرق هذه العملية كلها رحلة واحدة ذهاباً وإياباً بدلاً من اثنتين، مما يجعل اتصالات HTTPS أسرع ملحوظاً.
ما هي مجموعة تشفير TLS؟
مجموعة التشفير هي مزيج من الخوارزميات لأجزاء مختلفة من اتصال TLS: تبادل المفاتيح والمصادقة والتشفير وسلامة الرسائل. مجموعة تشفير TLS 1.3 مثل AEAD-AES256-GCM-SHA384 تعني:
- AES-256-GCM — تشفير AES بـ256 بت في وضع Galois/Counter
- SHA-384 — دالة تجزئة HMAC لمصادقة الرسائل
أزال TLS 1.3 جميع مجموعات التشفير الضعيفة (RC4 وDES و3DES ووضع CBC) المسموحة في TLS 1.2. هذا قلّص سطح الهجوم تقليصاً كبيراً.
الأسئلة الشائعة
هل TLS 1.2 آمن؟
عند التهيئة الصحيحة (مجموعات تشفير قوية فقط، PFS مُفعَّل)، لا يزال TLS 1.2 يُعدّ آمناً. لكن TLS 1.3 أبسط وأسرع ويُقدّم ضمانات أمنية أقوى. يُفضَّل الخوادم الداعمة لـ TLS 1.3.
كيف أتحقق من إصدار TLS؟
زر whatsmy.fyi — تعرض بطاقة "أمان TLS" الإصدار الدقيق ومجموعة التشفير مباشرةً من عقدة Cloudflare الحافّية.
هل يمكنني إجبار الموقع على استخدام TLS 1.3؟
يجري التفاوض على إصدار TLS تلقائياً — يتفق المتصفح والخادم على أعلى إصدار يدعمانه معاً. إذا كان الخادم يدعم TLS 1.3 (تدعمه معظم الخوادم الحديثة)، يُستخدم تلقائياً. لا يمكن من جهة العميل إجبار الخادم على ترقية دعم TLS.
ما هو HTTPS؟
HTTPS (بروتوكول نقل النص التشعبي الآمن) هو ببساطة HTTP مُرسَل عبر اتصال TLS. حرف "S" يعني Secure (آمن). حين ترى HTTPS في شريط العنوان، يعني ذلك أن تشفير TLS نشط واتصالك محمي.
