الأسئلة الشائعة حول نقل مرجع التصديق الأساسي في "منصة خرائط Google"

يحتوي هذا المستند على الأقسام التالية:

للحصول على نظرة عامة أكثر تفصيلاً عن عملية نقل CA الجذرية في Google، يُرجى الاطّلاع على المقالة ما الذي يحدث؟.

المصطلحات

قمنا أدناه بجمع قائمة بأهم المصطلحات التي ينبغي أن تكون على دراية بها لهذا المستند. للحصول على نظرة عامة أكثر شمولاً للمصطلحات ذات الصلة، يُرجى الانتقال إلى الأسئلة الشائعة حول Google Trust Services.

شهادة طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل (TLS)
تربط الشهادة مفتاح تشفير بهوية.
يتم استخدام شهادات طبقة المقابس الآمنة (SSL)/بروتوكول أمان طبقة النقل (TLS) لمصادقة وإنشاء اتصالات آمنة بالمواقع الإلكترونية. يتم إصدار الشهادات وتوقيعها بطريقة مشفّرة من قِبل كيانات تُعرف باسم مراجع التصديق.
تعتمد المتصفحات على الشهادات الصادرة عن مراجع التصديق الموثوق بها لمعرفة أنّ المعلومات المنقولة يتم إرسالها إلى الخادم الصحيح وأنّها يتم تشفيرها أثناء نقلها.
طبقة المقابس الآمنة (SSL)
كانت "طبقة المقابس الآمنة" هي البروتوكول الأكثر انتشارًا والذي تم استخدامه لتشفير اتصالات الإنترنت. لم يعُد بروتوكول طبقة المقابس الآمنة آمنًا ويجب عدم استخدامه.
بروتوكول أمان طبقة النقل (TLS)
إن طبقة النقل الآمنة هي العنصر اللاحق لطبقة المقابس الآمنة.
مرجع التصديق (CA)
مرجع الشهادة هو مثل مكتب جواز السفر الرقمي للأجهزة والأشخاص. تُصدر المستندات (الشهادات) المحمية بتشفير للإقرار بأنّ الكيان (مثل الموقع الإلكتروني) يدّعي أنّه صاحبه.
قبل إصدار شهادة، تكون مراجع التصديق مسؤولة عن التحقق من أنّ الأسماء الواردة في الشهادة مرتبطة بالشخص أو الكيان الذي يطلبها.
يمكن أن يشير مصطلح "مرجع التصديق" إلى مؤسستين، مثل Google Trust Services، وإلى الأنظمة التي تُصدر الشهادات.
مخزن شهادات الجذر
يحتوي متجر شهادات الجذر على مجموعة من مراجع التصديق الموثوق بها من قِبل مورِّد برامج التطبيقات. تحتوي معظم متصفحات الويب وأنظمة التشغيل على مخزن شهادات الجذر الخاصة بها.
لكي يتم تضمين هيئة إصدار الشهادات في متجر شهادات جذر، يجب أن تفي هيئة الشهادة بالمتطلبات الصارمة التي نصها مورّد برامج التطبيقات.
يتضمن ذلك عادةً الامتثال للمعايير المتّبعة في المجال، مثل متطلبات منتدى CA/Browser.
مرجع الشهادة الجذر
مرجع الشهادة الجذر (أو شهادته بشكل أدقّ)، هو أعلى شهادة في سلسلة الشهادات.
عادةً ما تكون شهادات CA الجذرية موقَّعة ذاتيًا. ويتم تخزين المفاتيح الخاصة المرتبطة بها في مرافق آمنة للغاية، كما يتم الاحتفاظ بها في حالة غير متصلة لحمايتها من الوصول غير المصرّح به.
مصدر الشهادة المتوسط
مرجع الشهادة المتوسط (أو شهادته بشكل أدقّ)، هو شهادة تُستخدَم لتوقيع الشهادات الأخرى في سلسلة شهادات.
تتوفّر مراجع التصديق المتوسطة بشكل أساسي لإتاحة إصدار الشهادات على الإنترنت مع السماح لشهادة CA الجذرية بأن تظل بلا اتصال بالإنترنت.
تُعرف مراجع التصديق المتوسطة أيضًا باسم مراجع التصديق الفرعية.
مصدر الشهادة
مرجع الشهادة، أو بشكل أدقّ، شهادته، هي الشهادة المستخدمة للتوقيع على أدنى شهادة في سلسلة شهادات.
تُعرف هذه الشهادة الأساسية عادةً باسم شهادة المشترك أو شهادة الكيان النهائي أو الشهادة الطرفية. وسنستخدم في هذا المستند أيضًا مصطلح شهادة الخادم.
سلسلة الشهادات
يتم ربط الشهادات بجهة إصدار الشهادة (موقَّعة بطريقة مشفّرة). تتألّف سلسلة الشهادات من شهادة ورقية وجميع شهادات جهة الإصدار وشهادة الجذر.
التوقيع المتبادل
على عملاء مورّدي برامج التطبيقات تعديل متجر شهادات الجذر الخاص بهم لتضمين شهادات CA جديدة يمكنهم الوثوق بها في منتجاتهم. يستغرق الأمر بعض الوقت حتى يتم استخدام المنتجات التي تحتوي على شهادات CA الجديدة على نطاق واسع.
لزيادة التوافق مع البرامج القديمة، يمكن أن تكون شهادات CA "موقعة متبادلة" من قِبل مرجع تصديق آخر قديم تم إنشاؤه. يؤدي هذا إلى إنشاء شهادة CA ثانية لنفس الهوية (الاسم وزوج المفاتيح).
بناءً على مراجع التصديق المضمّنة في مخزن شهادات الجذر، سينشئ العملاء سلسلة شهادات مختلفة تصل إلى جذر يثقون به.

معلومات عامة

ما الذي يحدث؟

الصورة الشاملة

في عام 2017، بدأت Google مشروعًا لعدة سنوات لإصدار واستخدام شهادات الجذر الخاصة بها، وهي التوقيعات المشفّرة التي تشكّل أساس أمان بروتوكول أمان طبقة النقل (TLS) الذي يستخدمه بروتوكول HTTPS.

بعد المرحلة الأولى، تم ضمان أمان بروتوكول أمان طبقة النقل (TLS) لخدمات "منصة خرائط Google" من خلال GS Root R2، وهي شهادة جذر (CA) معروفة جدًا وموثوق بها على نطاق واسع، وقد استحوذت عليها Google من GMO GlobalSign لتسهيل الانتقال إلى مراجع التصديق الجذر "لخدمات Google Trust Services" (GTS) والصادرة ذاتيًا.

لقد وثقت جميع عملاء بروتوكول أمان طبقة النقل (TLS) عمليًا (مثل متصفحات الويب والهواتف الذكية وخوادم التطبيقات) في شهادة الجذر هذه، ولذلك تمكنوا من إنشاء اتصال آمن بخوادم نظام خرائط Google الأساسي خلال المرحلة الأولى من عملية الترحيل.

ومع ذلك، لا يمكن لمصدر التصديق بالتصميم إصدار شهادات صالحة بعد انتهاء صلاحية شهادته الخاصة. مع انتهاء صلاحية GS Root R2 في 15 كانون الأول (ديسمبر) 2021، ستنقل Google خدماتها إلى مرجع تصديق جديد GTS Root R1 Cross، وذلك باستخدام شهادة صادرة عن مرجع التصديق GTS Root R1 الجذر الخاص بـ Google.

على الرغم من أنّ الغالبية العظمى من أنظمة التشغيل الحديثة ومكتبات عملاء بروتوكول أمان طبقة النقل (TLS) تثق فعلاً في مراجع التصديق الجذر في GTS، إلا أنّ Google حصلت على إشارة متبادلة من GMO GlobalSign باستخدام شهادة GlobalSign Root CA - R1، وهي إحدى أقدم مراجع التصديق الجذر الموثوق بها والمتوفّرة حاليًا.

وبالتالي، سيتعرّف معظم عملاء "منصة خرائط Google" لدى معظم عملاء "منصة خرائط Google" على أحد (أو كليهما) من مراجع التصديق الجذر الموثوق بها هذه، ولن يتأثر إطلاقًا بالمرحلة الثانية من عملية نقل البيانات.

وينطبق ذلك أيضًا على العملاء الذين اتخذوا إجراءً خلال المرحلة الأولى من عملية نقل البيانات في عام 2018، بافتراض أنهم اتّبعوا تعليماتنا في ذلك الوقت وثبتوا جميع الشهادات من حزمة مرجع التصديق الجذر الموثوق بها من Google.

عليك التحقّق من أنظمتك في الحالات التالية:

  • تشغيل خدماتك بأنظمة أساسية قديمة أو غير عادية و/أو إذا كنت تحتفظ بمخزن شهادات الجذر الخاص بك
  • لم تتخذ أي إجراء خلال الفترة من 2017 إلى 2018، خلال المرحلة الأولى من نقل مرجع التصديق الأساسي من Google، أو لم يتم تثبيت المجموعة الكاملة من الشهادات من حزمة CA الجذرية الموثوق بها من Google.

في حال انطباق ما سبق، قد يحتاج عملاؤك إلى تلقّي أحدث المعلومات من خلال شهادات الجذر المقترَحة لضمان ضمان استخدام "منصة خرائط Google" بدون انقطاع خلال هذه المرحلة من نقل البيانات.

انظر أدناه للاطّلاع على مزيد من التفاصيل الفنية. للحصول على تعليمات عامة، يُرجى الرجوع إلى القسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر بحاجة إلى تحديث.

ننصحك أيضًا بالاستمرار في مزامنة متاجر شهادات الجذر مع حزمة CA الجذرية المنظّمة أعلاه، وذلك بهدف التأكّد من أنّ خدماتك مقابل تغييرات CA الجذرية المستقبلية. ومع ذلك، سيتم الإعلان عن ذلك مسبقًا. يُرجى الاطّلاع على القسمين: كيف يمكنني الحصول على آخر الأخبار عن مرحلة النقل هذه؟ و كيف يمكنني الحصول على إشعار مُسبَق بشأن عمليات النقل المستقبلية؟ للحصول على مزيد من التعليمات حول كيفية البقاء على اطّلاع.

الملخص الفني

كما تم الإعلان في 15 آذار (مارس) 2021 على مدونة أمان Google، GS Root R2، إنّ صلاحية إصدار CA الجذري الذي استخدمته "منصة خرائط Google" منذ أوائل عام 2018 ستنتهي صلاحيته في 15 كانون الأول (ديسمبر) 2021. لذلك، ستنتقل Google خلال هذا العام إلى نظام CA GTS Root R1 Cross الذي تم إصداره حديثًا. وهذا يعني أنّ خدماتنا ستنتقل تدريجيًا إلى شهادات إصدار بروتوكول أمان طبقة النقل (TLS) الصادرة عن مرجع التصديق الجديد هذا.

سبق أن تم ضبط جميع برامج وأنظمة بروتوكول أمان طبقة النقل الحديثة (TLS) مسبقًا باستخدام شهادة GTS Root R1 أو من المفترض أن تتلقّاها عبر تحديثات البرامج العادية، ويجب أن تتوفّر شهادة GlobalSign Root CA - R1 على الأنظمة القديمة القديمة.

ومع ذلك، عليك التحقّق من أنظمتك على الأقل في حال انطباق النقطتين التاليتَين:

  • تشغيل خدماتك على أنظمة أساسية قديمة أو غير عادية و/أو إذا كنت تحتفظ بمتجر شهادات الجذر
  • لم تتخذ أي إجراء خلال الفترة من 2017 إلى 2018، خلال المرحلة الأولى من نقل مرجع التصديق الأساسي من Google، أو لم يتم تثبيت المجموعة الكاملة من الشهادات من حزمة CA الجذرية الموثوق بها من Google.

إنّ قسم كيفية التحقّق مما إذا كان متجر شهادات الجذر يحتاج إلى تحديث يوفّر إرشادات عامة حول اختبار ما إذا كان نظامك سيتأثّر بهذا التغيير.

يُرجى الاطّلاع على السؤال لماذا يجب مزامنة مخزن شهادات الجذر مع حزمة CA الجذر الموثوق بها من Google؟ للاطّلاع على التفاصيل الكاملة.

كيف يمكنني الحصول على آخر الأخبار بشأن مرحلة نقل البيانات هذه؟

قم بتمييز المشكلة العامة بنجمة 186840968 للحصول على التحديثات. يتم أيضًا تعديل هذه الأسئلة الشائعة خلال عملية النقل متى صادفنا مواضيع قد تهم عامةً.

كيف يمكنني الحصول على إشعار مسبق بعمليات النقل المستقبلية؟

نقترح عليك متابعة مدونة أمان Google. نحن نسعى أيضًا إلى تحديث الوثائق الخاصة بالمنتج في أقرب وقت ممكن، متبعًا إعلان الناشر على المدونة.

يُرجى أيضًا الاشتراك في إشعارات "منصة خرائط Google"، حيث ننشر بانتظام آخر الأخبار في المنتدى حول التغييرات التي من المرجَّح أن تؤثّر على عدد أكبر من العملاء.

نستخدم عدة خدمات من Google. هل ستؤثر عملية نقل مرجع التصديق الجذر في جميع الأجهزة؟

نعم، سيتم نقل مرجع التصديق الجذر في جميع خدمات Google وواجهات برمجة التطبيقات، ولكن قد يختلف المخطط الزمني حسب الخدمة. ومع ذلك، بعد التحقّق من أنّ شهادات الجذر التي تستخدمها تطبيقات عميل "منصة خرائط Google" تحتوي على جميع مراجع التصديق المُدرَجة في حزمة CA الجذرية الموثوق بها من Google، من المفترض ألا تتأثر خدماتك بعملية نقل البيانات المستمرة، كما أنّ الإبقاء عليها متزامنة سيحميك أيضًا من تغييرات CA الجذرية في المستقبل.

يمكنك الاطّلاع على الأسئلة. لماذا يجب مزامنة شهادات الجذر باستمرار مع حزمة CA الجذرية الموثوق بها من Google؟ وما هي أنواع التطبيقات المعرّضة لخطر التعطُّل؟ للحصول على مزيد من الإحصاءات.

إنّ قسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر يحتاج إلى تحديث أدناه يقدّم أيضًا تعليمات عامة لاختبار نظامك.

كيفية التحقّق مما إذا كان مخزن شهادات الجذر يحتاج إلى تحديث

اختبر بيئة التطبيق مقابل نقاط نهاية الاختبار المدرجة أدناه:

سيكون نظامك متوافقًا بشكل عام مع تغيير مرجع التصديق الجذر هذا في الحالات التالية:

  • أن تكون خدمتك تعمل على نظام تشغيل رئيسي مُحافظ عليه، مع الاحتفاظ بتصحيحات لكل من نظام التشغيل والمكتبات التي تستخدمها الخدمة، وعدم الاحتفاظ بمخزن شهادات الجذر الخاص بك، أو:
  • اتّبعت اقتراحاتنا السابقة وثبّتت جميع مراجع التصديق الجذر من حزمة CA الجذرية الموثوق بها من Google.

من المُحتمَل أن يكون على العملاء الذين يُحتمل أن يكونوا متأثّرين بهذا التغيير تثبيت الشهادات فورًا من حزمة CA الجذرية الموثوق بها من Google لتجنُّب انقطاع الخدمة في المستقبل.

يُرجى الاطّلاع على السؤال لماذا يجب مزامنة مخزن شهادات الجذر مع حزمة CA الجذر الموثوق بها من Google؟ للاطّلاع على التفاصيل الكاملة.

هل هناك أداة بسيطة يمكنني استخدامها للتحقق من مخزن شهادات الجذر لدينا؟

قد تجد أداتين من أدوات سطر الأوامر curl وopenssl مفيدتان في تحقيقاتك. يتوفر كلاهما على معظم الأنظمة الأساسية، ويوفران خيارات شاملة لاختبار الإعداد.

للحصول على تعليمات حول الحصول على curl، راجع قسم الحصول على curl أدناه.

أوامر openssl الموضَّحة أدناه هي للإصدار 1.1.1 أو الإصدارات الأحدث. أما الإصدارات الأقدم من 1.1.1، فهي غير متاحة. إذا كنت تستخدم إصدارًا سابقًا، فقم بترقية هذه الأوامر أو تعديلها حسب الضرورة لإصدارك. للحصول على تعليمات حول الحصول على openssl، راجع قسم الحصول على OpenSSL أدناه.

ستجد أيضًا المزيد من الأدوات المفيدة ضمن القسم أين يمكنني الحصول على الأدوات التي أحتاجها؟ أدناه.

للحصول على تعليمات ملموسة حول الاختبار، يُرجى الاطّلاع على القسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر يحتاج إلى تحديث.

اختبار مخزن شهادات الجذر التلقائية

curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demo.pki.goog/; \
openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

التحقق من حزمة CA الجذر الموثوق بها من Google

نزِّل حزمة CA الجذرية الموثوق بها من Google، ثم اتّبِع الخطوات التالية:

curl -vvI --cacert roots.pem https://maps.googleapis.com; \
openssl s_client -CAfile roots.pem -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

كيف ومتى سيستمر نقل مرجع التصديق الجذر في Google؟

  1. المرحلة الأولى (الانتقال إلى GS Root R2)، تم الإعلان عنها في كانون الثاني (يناير) 2017، وبدأت في أواخر عام 2017 وانتهت في النصف الأول من عام 2018.
  2. المرحلة الثانية (الانتقال إلى GTS Root R1 Cross) تم الإعلان عنها في آذار (مارس) 2021، وسيتم طرحها خلال الأشهر القادمة، قبل انتهاء صلاحية GS Root R2 في 15 كانون الأول (ديسمبر) 2021.

سيتم الإعلان قبل وقت مبكر عن انتهاء صلاحية الشهادات المستقبلية عن الجداول الزمنية لمراحل نقل البيانات اللاحقة.

ومع ذلك، ستتمكّن من تأمين تطبيقاتك في المستقبل، وذلك من خلال مزامنة شهادات الجذر مع القائمة المنظّمة لمراجع التصديق الجذر في حزمة CA الجذرية الموثوق بها من Google.

يمكنك الاطّلاع أيضًا على السؤال التالي: لماذا يجب مزامنة مخزن شهادات الجذر مع حزمة CA الموثوق بها من Google؟ للحصول على مزيد من المعلومات.

خطة الطرح العامة لكل خدمة من خدمات Google

  1. يبدأ الطرح على مراحل في مركز بيانات واحد.
  2. وتم توسيع نطاق عملية الطرح تدريجيًا ليشمل المزيد من مراكز البيانات إلى أن تتوفّر تغطية على مستوى العالم.
  3. إذا تم رصد مشاكل خطيرة في أي مرحلة، يمكن التراجع عن الاختبارات مؤقتًا أثناء معالجة المشاكل.
  4. استنادًا إلى الإدخالات الواردة من التكرارات السابقة، يتم تضمين المزيد من خدمات Google في الطرح حتى يتم نقل جميع خدمات Google تدريجيًا إلى الشهادات الجديدة.

من سيتأثر بذلك ومتى وأين سيتأثر؟

ستبدأ زيادة أعداد مطوّري برامج Google Maps Platform في تلقّي الشهادات الجديدة عند نقل مراكز بيانات جديدة. وستتم ترجمة التغييرات إلى حد ما، إذ تتم غالبًا إعادة توجيه طلبات العملاء إلى الخوادم في مراكز البيانات القريبة جغرافيًا.

وبما أنه لا يمكننا بالتأكيد تحديد الأشخاص الذين سيتأثرون بذلك، ومتى وأينما، ننصح جميع عملائنا بإثبات ملكية خدماتهم والتحقق منها في المستقبل في وقت مبكر قبل المراحل المحتملة لنقل بيانات مرجع التصديق الجذر من Google.

للحصول على إرشادات إضافية، يُرجى الاطّلاع على القسم كيفية التحقّق مما إذا كان متجر شهادات الجذر يحتاج إلى تحديث.

الأمور التي يجب الانتباه إليها

ولن يتمكن العملاء الذين لم يتم ضبط إعداداتهم باستخدام شهادة الجذر اللازمة من التحقّق من اتصال بروتوكول أمان طبقة النقل (TLS) بمنصة خرائط Google. في هذه الحالة، سيصدر العملاء عادةً تحذيرًا بتعذُّر التحقق من صحة الشهادة.

استنادًا إلى إعدادات بروتوكول أمان طبقة النقل (TLS)، يمكن للعملاء مواصلة إصدار طلب من "منصة خرائط Google" أو رفض متابعة الطلب.

ما الحد الأدنى لمتطلبات بروتوكول أمان طبقة النقل (TLS) للاتصال بمنصة خرائط Google؟

تستخدم شهادات "منصة خرائط Google" الأسماء البديلة للموضوع (SAN) لنظام أسماء النطاقات، لذلك يجب أن تتيح معالجة شهادة العميل إمكانية إتاحة استخدام الأسماء العادية البديلة التي قد تتضمّن حرف بدل واحدًا كتصنيف في أقصى اليسار في الاسم، مثل *.googleapis.com.

للتعرّف على المتطلبات الأخرى، يُرجى الرجوع إلى القسم ما هي المتطلبات المُقترَحة لكي يتصل عميل TLS مع Google؟ في الأسئلة الشائعة حول GTS.

ما هي أنواع التطبيقات المعرّضة لخطر التعطُّل؟

يستخدم التطبيق مخزن شهادات الجذر للنظام بدون أي قيود يفرضها المطوّر.

تطبيقات خدمة الويب على "منصة خرائط Google"

إذا كنت تستخدم نظام تشغيل رئيسيًا، مثل نظام التشغيل Ubuntu أو Red Hat أو Windows 10 أو Server 2019 أو OS X) الذي لا يزال قيد الصيانة ويتلقّى تحديثات منتظمة، يجب أن يتضمن مخزن شهادات الجذر التلقائي شهادة GTS Root R1.

إذا كنت تستخدم إصدارًا قديمًا من نظام التشغيل لم يعُد يتلقّى التحديثات، قد تكون لديك شهادة GTS Root R1 أو لا. ومع ذلك، سيحتوي مخزن شهادات الجذر على الأرجح على GlobalSign Root CA - R1، وهي أحد أقدم مراجع التصديق الجذر الموثوق بها والأكثر موثوقية.

بالنسبة إلى تطبيقات الأجهزة الجوّالة التي تتصل بخدمات ويب "منصة خرائط Google" مباشرةً من جهاز المستخدم النهائي، تنطبق الإرشادات الواردة في السؤال هل التطبيقات للأجهزة الجوّالة معرّضة لخطر التعطُّل؟.

تطبيقات "منصة خرائط Google" من جهة العميل

تعتمد تطبيقات "واجهة برمجة تطبيقات JavaScript للخرائط" بشكل عام على شهادات الجذر لمتصفّح الويب الذي يشغّل التطبيق. يُرجى الاطّلاع على القسم هل تطبيقات JavaScript معرّضة لخطر التعطُّل؟ للحصول على المزيد من التفاصيل.

بالنسبة إلى تطبيقات الأجهزة الجوّالة الأصلية التي تستخدم أيًّا من حزمة تطوير البرامج (SDK) لـ "خرائط Google" لنظام التشغيل Android، أو حزمة تطوير البرامج بالاستناد إلى بيانات "خرائط Google" لنظام التشغيل iOS، أو حزمة تطوير البرامج للأماكن (SDK) للأماكن لنظام التشغيل Android، أو حزمة SDK للأماكن لنظام التشغيل iOS، تنطبق القواعد نفسها على التطبيقات التي تستدعي خدمات الويب في "منصة خرائط Google".

يُرجى الاطّلاع على السؤال هل التطبيقات للأجهزة الجوّالة معرّضة لخطر الانهيار؟ للحصول على مزيد من التفاصيل.

يستخدم التطبيق حِزمة الشهادات الخاصة به أو يستخدم ميزات أمان متقدّمة، مثل تثبيت الشهادة.

ستحتاج إلى تحديث حزمة الشهادات بنفسك. وفقًا لما تمت الإشارة إليه ضمن السؤال لماذا يجب أن تتم مزامنة شهادات الجذر باستمرار مع حزمة CA الجذرية الموثوق بها من Google؟، ننصحك باستيراد جميع الشهادات من حزمة CA الجذرية الموثوق بها من Google إلى متجر شهادات الجذر الخاص بك.

إذا كنت تثبِّت الشهادات أو المفاتيح العامة لنطاقات Google التي يتصل بها تطبيقك، فينبغي عليك إضافة الشهادات والمفاتيح العامة إلى قائمة الكيانات الموثوق بها في تطبيقك.

لمعرفة مزيد من المعلومات حول تثبيت الشهادة أو المفتاح العام، يُرجى الاطّلاع على المراجع الخارجية المدرَجة ضمن السؤال هل تحتاج إلى المزيد من المعلومات؟.

لماذا يجب مزامنة مخزن شهادات الجذر مع حزمة مرجع التصديق الموثوق بها من Google؟

تشتمل القائمة المنظّمة لمراجع التصديق الجذر في حزمة مراجع التصديق الجذر الموثوق بها من Google على جميع مراجع التصديق التي قد تستخدمها خدمات Google في المستقبل القريب.

وبالتالي، إذا أردت تعزيز أمان نظامك في المستقبل، ننصحك بشدّة بالتأكّد من أنّ مخزن شهادات الجذر يتضمّن جميع الشهادات الصادرة من الحزمة، والحرص على مزامنة كليهما.

هذا الأمر مهم على وجه الخصوص إذا كانت خدماتك تعمل على إصدار نظام تشغيل لم تتم صيانته، أو إذا لم تتمكن من الحفاظ على تصحيح نظام التشغيل والمكتبات لديك لأسباب أخرى، أو إذا احتفظت بمتجر شهادات الجذر الخاص بك.

يُرجى الاطّلاع على السؤال كيف يمكنني الحصول على إشعار مُسبَق لعمليات النقل المستقبلية؟ للتعرّف على كيفية الحصول على آخر الأخبار بشأن عمليات نقل CA الجذرية المستقبلية. من خلال مزامنة شهادات الجذر بشكل روتيني مع القائمة المنظّمة، سيحمي خدماتك من انقطاع الخدمة في المستقبل، بسبب التغييرات في مرجع التصديق، وسيحافظ على استمرارية عمل خدماتك بعد انتهاء صلاحية كل من GTS Root R1 Cross وGlobalSign Root CA - R1.

أيضًا، يُرجى الرجوع إلى السؤال أنا أقوم بإنشاء منتج يرتبط بخدمات Google. ما هي شهادات CA التي يجب الوثوق بها؟ في الأسئلة الشائعة حول GTS للحصول على مزيد من الاقتراحات.

لماذا يجب عدم تثبيت أي شهادات CA مزيفة أو متوسطة؟

فقد يؤدي ذلك إلى عرقلة طلبك في أي وقت نسجّل فيه شهادة جديدة أو نبدّل مراجع التصديق المتوسطة. وقد يحدث أي من هذين الإجراءين في أي وقت وبدون أي إشعار مسبق، وينطبق ذلك بالتساوي على شهادات الخادم الفردية، مثل تلك التي يعرضها maps.googleapis.com، بالإضافة إلى أي من مراجع التصديق الوسيطة، مثل GTS Root R1 Cross.

لحماية خدماتك من ذلك، يجب فقط تثبيت شهادات الجذر من حزمة CA الجذرية الموثوق بها من Google، والاعتماد على شهادة الجذر وحدها للتحقّق من موثوقية سلسلة الشهادات الكاملة المرتبطة بها.

من المفترض أن تتمكن أي عملية تنفيذ لمكتبة طبقة النقل الآمنة من التحقّق تلقائيًا من سلاسل الثقة هذه، ما دام مرجع تصديق شهادة الجذر موثوقًا.

هل تطبيقات JavaScript معرّضة لخطر التعطُّل؟

تكون شهادات الجذر في GTS مضمّنة بشكل جيد في معظم المتصفحات الحديثة، ومن المفترض أن تضمن ميزة تسجيل الدخول المتبادل من GMO GlobalSign عملية نقل بيانات سلسة حتى لمعظم المستخدمين النهائيين الذين يستخدمون متصفّحات قديمة. ويشمل ذلك جميع المتصفحات المعتمدة رسميًا لواجهة برمجة تطبيقات JavaScript للخرائط.

من المفترض أن يسمح كل متصفح حديث للمستخدمين النهائيين بالتحقّق من الشهادات التي يثق بها المتصفِّح وتعديلها عادةً. مع أنّ الموقع الدقيق يختلف من متصفّح إلى آخر، يمكن العثور عادةً على قائمة الشهادات في مكان ما ضمن الإعدادات.

هل تطبيقات الأجهزة الجوّالة معرّضة لخطر التعطُّل؟

ومن المتوقّع أيضًا أن تكون الأجهزة التي تعمل بنظامَي التشغيل Android وApple iOS لا تزال تتلقّى تحديثات منتظمة من الشركة المصنّعة للجهاز من أجل مواكبة التطورات المستقبلية. تتضمن معظم طُرز هواتف Android القديمة شهادة GlobalSign Root CA - R1 على الأقل، على الرغم من أنّ قائمة الشهادات الموثوق بها قد تختلف حسب الشركة المصنّعة للجهاز وطراز الجهاز وإصدار Android.

ومع ذلك، قد يظل التوافق مع مراجع التصديق الجذر في GTS، بما في ذلك GTS Root R1، محدودًا في إصدارات Android التي تسبق الإصدار 10.

بالنسبة إلى أجهزة iOS، تحتفظ Apple بقائمة من مراجع التصديق الجذر الموثوق بها لكل إصدار iOS حديث على صفحات الدعم. ومع ذلك، تتوافق جميع الإصدارات 5 من نظام التشغيل iOS والإصدارات الأحدث مع GlobalSign Root CA - R1.

إنّ مراجع التصديق الجذر GTS، بما في ذلك GTS Root R1، متاحة منذ الإصدار 12.1.3 لنظام التشغيل iOS.

يُرجى الاطّلاع على السؤال كيف يمكنني التحقّق من شهادات الجذر الموثوق بها على هاتفي الجوّال؟ للحصول على مزيد من التفاصيل.

متى سيتضمّن المتصفّح أو نظام التشغيل شهادات الجذر من Google Trust Services؟

على مدار السنوات الماضية، عملت Google على نطاق واسع مع جميع الجهات الخارجية الرئيسية التي تحتفظ بحِزم شهادات الجذر الموثوق بها والتي يتم استخدامها على نطاق واسع. وتشمل الأمثلة الشركات المصنّعة لأنظمة التشغيل، مثل Apple وMicrosoft، وأيضًا الشركات التابعة لـ Google لنظامي التشغيل Android وChrome، ومطوّري المتصفّحات، مثل Mozilla وApple وMicrosoft، وكذلك فريق Chrome الخاص بـ Google، والشركات المصنّعة للأجهزة، مثل الهواتف وأجهزة الاستقبال الرقمية وأجهزة التلفزيون ووحدات تحكم الألعاب والطابعات، على سبيل المثال لا الحصر.

لذلك، من المرجّح جدًا أن يتوافق أي نظام تتم صيانته حاليًا مع مراجع تصديق GTS Root CA الجديدة من Google، بما في ذلك GTS Root R1، وحتى الأنظمة القديمة، وبالتالي، من المرجّح جدًا أن تتوافق الأنظمة القديمة مع GlobalSign Root CA - R1، والتي سيتم استخدامها لتسجيل الشهادات الصادرة عن Google معًا خلال السنوات القادمة.

ومع ذلك، فإنّ المخططات الزمنية لتضمين شهادات الجهات الخارجية خارجة إلى حد كبير عن سيطرة Google، وأفضل نصيحة عامة يمكننا تقديمها هي التأكّد من تطبيق تحديثات النظام المتاحة بانتظام.

يمكن أن تكون جهات خارجية محدّدة، مثل برنامج شهادة CA من Mozilla، قد وثّقت المخططات الزمنية لتضمين الشهادات.

تحديد المشاكل وحلّها

أين يمكنني الحصول على الأدوات التي أحتاجها؟

التجعيد

إذا كان نظام التشغيل لا يوفّر الإصدار curl، يمكنك تنزيله من https://curl.haxx.se/. يمكنك إما تنزيل المصدر وتجميع الأداة بنفسك أو تنزيل برنامج ثنائي مجمّع مسبقًا، إذا كان متاحًا لنظامك الأساسي.

الحصول على أداة OpenSSL

إذا كان توزيع نظام التشغيل لا يوفِّر openssl، يمكنك تنزيل المصدر من https://www.openssl.org/ وتجميع الأداة. ويمكن العثور على قائمة بالبرامج الثنائية التي أنشأتها جهات خارجية على الرابط https://www.openssl.org/community/binaries.html. ومع ذلك، لا يتم دعم أي من هذه الإصدارات أو يصادق عليها فريق OpenSSL بأي شكل من الأشكال.

الحصول على Wireshark أو Tshark أو Tcpdump

على الرغم من أنّ معظم توزيعات Linux توفّر wireshark، وأداة سطر الأوامر tshark وtcpdump الخاصة بها، يمكن العثور على الإصدارَين المجمّعَين من أول اثنين من الأجهزة الأخرى على أنظمة التشغيل الأخرى على https://www.wireshark.org.

يمكن العثور على رمز المصدر لكل من Tcpdump وLibPCAP على https://www.tcpdump.org.

يمكن العثور على مستندات لهذه الأدوات المفيدة في دليل مستخدم Wireshark على صفحة man في Tshark وصفحة man لأداة Tcpdump على التوالي.

الحصول على أداة مفاتيح Java

يجب شحن أداة سطر الأوامر keytool مع كل إصدار من إصدارات مجموعة تطوير Java (JDK) أو بيئة تشغيل Java (JRE). ثبِّت هذه الإضافات للحصول على keytool.. ومع ذلك، من غير المحتمل أن يكون استخدام keytool ضروريًا للتحقق من شهادة الجذر، ما لم يكن التطبيق مصمّمًا باستخدام لغة Java.

ما يجب فعله في فترة انقطاع الإنتاج

الإجراء الأساسي الذي يمكنك اتخاذه هو تثبيت شهادات الجذر المطلوبة من حزمة CA الجذرية الموثوق بها من Google في مخزن الشهادات الجذر التي يستخدمها تطبيقك.

  1. اعمل مع مشرفي النظام لترقية مخزن شهادات الجذر المحلية.
  2. راجع هذه الأسئلة الشائعة لمعرفة المؤشرات التي تنطبق على نظامك.
  3. إذا كنت بحاجة إلى مساعدة إضافية خاصة بالنظام الأساسي أو النظام، تواصَل مع قنوات الدعم الفني التي يوفّرها مزوّد النظام.
  4. للحصول على مساعدة عامة، يُرجى التواصل مع فريق الدعم، كما هو موضّح في القسم التواصل مع فريق دعم "منصة خرائط Google". ملاحظة: بالنسبة إلى المشاكل الخاصة بالنظام الأساسي، يتم تقديم الإرشادات فقط على أساس أفضل جهد.
  5. يمكنك تمييز المشكلة العامة بنجمة 186840968 للاطّلاع على المزيد من التحديثات المتعلقة بالنقل.

التواصل مع فريق دعم "منصة خرائط Google"

الخطوات الأولى لتحديد المشاكل وحلّها

راجِع القسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر يحتاج إلى تحديث للحصول على التعليمات العامة لتحديد المشاكل وحلّها.

قد يوفّر القسم إدارة الشهادات الموثوق بها أيضًا معلومات قيّمة إذا كنت بحاجة إلى استيراد شهادات الجذر أو تصديرها.

إذا لم يتم حل المشكلة، وقررت التواصل مع فريق دعم "منصة خرائط Google"، تكون مستعدًا أيضًا لتقديم المعلومات التالية:

  1. أين توجد الخوادم المتأثرة؟
  2. ما هي عناوين IP التي تستخدمها Google للاتصال بها؟
  3. ما هي واجهات برمجة التطبيقات المتأثرة بهذه المشكلة؟
  4. متى بدأت المشكلة بالضبط؟
  5. مخرجات الأوامر التالية:

    curl -vvI https://maps.googleapis.com; \
    openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
    curl -vvI https://good.gtsr1.demo.pki.goog/; \
    openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
    curl -vvI https://good.gtsr1x.demo.pki.goog/; \
    openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;
    

للحصول على تعليمات حول الحصول على الأدوات المطلوبة، يُرجى الاطّلاع على السؤال أين يمكنني الحصول على الأدوات التي أحتاجها؟.

تقديم طلب الحصول على الدعم

يُرجى اتّباع التعليمات الواردة في المقالة إنشاء طلب الحصول على دعم ضمن دعم "منصة خرائط Google" ومراجعها.

عند تقديم طلب الحصول على الدعم، بالإضافة إلى البيانات المدرجة في قسم تحديد المشاكل وحلّها الأولية، يُرجى أيضًا تقديم ما يلي:

  • ما هي عناوين IP العلنية الخاصة بك؟
  • ما هو عنوان IP العلني لخادم نظام أسماء النطاقات؟
  • التقاط حزمة tcpdump أو Wireshark لمفاوضات بروتوكول أمان طبقة النقل (TLS) التي تعذّر إتمامها مقابل https://maps.googleapis.com/ بتنسيق PCAP، باستخدام طول لقطة كبير بما يكفي لالتقاط الحزمة بالكامل بدون اقتطاعها (على سبيل المثال، استخدام -s0 في الإصدارات الأقدم من tcpdump).
  • إن أمكن، تعرض مقتطفات من سجلات خدمتك سبب تعذُّر الاتصال ببروتوكول أمان طبقة النقل (TLS)، ويفضَّل أن يكون ذلك مع تضمين المعلومات الكاملة لسلسلة شهادات الخادم.

للحصول على تعليمات حول الحصول على الأدوات المطلوبة، يُرجى الاطّلاع على السؤال أين يمكنني الحصول على الأدوات التي أحتاجها؟.

نشر مشكلة عامة رقم 186840968

عند نشر تعليق على المشكلة العامة 186840968، يُرجى تضمين المعلومات الواردة في القسم تحديد المشاكل وحلّها الأولية.

كيف يمكنني تحديد العنوان العام لنظام أسماء النطاقات الخاص بي؟

على نظام التشغيل Linux، يمكنك تشغيل الأمر التالي:

dig -t txt o-o.myaddr.l.google.com

على نظام التشغيل Windows، يمكنك استخدام nslookup في الوضع التفاعل:

C:\> nslookup -
set type=TXT
o-o.myaddr.l.google.com

طريقة تفسير ناتج curl

ويوفّر تشغيل curl مع العلامات -vvI معلومات مفيدة. فيما يلي بعض الإرشادات لتفسير المخرجات:

  • تعرض الأسطر التي تبدأ بـ "*" نتائج من مفاوضات بروتوكول أمان طبقة النقل (TLS)، بالإضافة إلى معلومات إنهاء الاتصال.
  • تعرض الأسطر التي تبدأ بـ ">" طلب HTTP الصادر الذي يرسله curl.
  • تعرض الأسطر التي تبدأ بـ "<" استجابة HTTP التي تحصل عليها من الخادم.
  • إذا كان البروتوكول هو HTTPS، يعني وجود السطرين ">" أو "<" أنّ عملية تأكيد الاتصال ناجحة عبر بروتوكول أمان طبقة النقل (TLS).

استخدام مكتبة بروتوكول أمان طبقة النقل (TLS) وحزمة شهادات الجذر

يؤدي تشغيل curl مع علامات -vvI أيضًا إلى طباعة مخزن شهادات الجذر المستخدَمة، ولكن قد يختلف الناتج الدقيق حسب النظام كما هو موضّح هنا.

قد يحتوي الإخراج من جهاز Red Hat Linux الذي يتضمّن curl المرتبط بـ NSS على الأسطر التالية:

* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none

قد يحتوي الإخراج من جهاز Ubuntu أو Debian Linux على هذه الأسطر:

* successfully set certificate verify locations:
* CAfile: none
  CApath: /etc/ssl/certs

قد يحتوي الإخراج من جهاز Ubuntu أو Debian Linux باستخدام ملف PEM لشهادة الجذر من Google المقدم باستخدام علامة --cacert على الأسطر التالية:

* successfully set certificate verify locations:
* CAfile: /home/<user>/Downloads/roots.pem
  CApath: /etc/ssl/certs

وكيل المستخدم

تحتوي الطلبات الصادرة على عنوان User-Agent الذي قد يوفّر معلومات مفيدة حول curl ونظامك.

مثال من أحد أجهزة Red Hat Linux:

> HEAD / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh1/1.4.2
> Host: maps.googleapis.com
> Accept: */*
>

تعذّرت تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

تشير الأسطر، مثل تلك الموجودة في نموذج الرمز هذا، إلى إنهاء الاتصال في أثناء تأكيد الاتصال عبر بروتوكول أمان طبقة النقل (TLS) بسبب شهادة خادم غير موثوق بها. إنّ عدم ظهور نتائج تصحيح الأخطاء التي تبدأ بـ > أو < هي أيضًا مؤشرات قوية على محاولة الاتصال غير الناجحة:

*** SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0**

تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS) بنجاح

يشار إلى عملية تأكيد الاتصال الناجحة عبر بروتوكول أمان طبقة النقل (TLS) من خلال وجود أسطر ذات مظهر مشابه لتلك الموجودة في نموذج الرمز هذا. ينبغي إدراج مجموعة التشفير المستخدمة للاتصال المشفر، وكذلك تفاصيل شهادة الخادم المقبولة. بالإضافة إلى ذلك، يشير وجود أسطر تبدأ بـ > أو < إلى أنّ حركة بيانات حمولة البيانات عبر HTTP يتم نقلها بنجاح عبر الاتصال المشفَّر من خلال بروتوكول أمان طبقة النقل (TLS):

*   Trying 108.177.15.95:443...
* Connected to maps.googleapis.com (108.177.15.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Mountain View; O=Google LLC; CN=upload.video.google.com
*  start date: Mar 23 08:24:47 2021 GMT
*  expire date: Jun 15 08:24:46 2021 GMT
*  subjectAltName: host "maps.googleapis.com" matched cert's "*.googleapis.com"
*  issuer: C=US; O=Google Trust Services; CN=GTS CA 1O1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55c4acf0c560)
> HEAD / HTTP/2
> Host: maps.googleapis.com
> user-agent: curl/7.74.0
> accept: */*
>
> HTTP/2 302
…

كيفية طباعة شهادات الخادم التي تم استلامها بتنسيق يمكن للمستخدمين قراءته

بافتراض أنّ المخرجات بتنسيق PEM، على سبيل المثال، الناتج من openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null، يمكنك طباعة الشهادة المعروضة من خلال اتّباع الخطوات التالية:

  • انسخ شهادة Base 64 المشفَّرة بالكامل، بما في ذلك الرأس والتذييل:

    -----BEGIN CERTIFICATE-----
    …
    -----END CERTIFICATE-----
    
  • ثم قم بما يلي:

    openssl x509 -inform pem -noout -text
    ````
    
  • بعد ذلك، الصق محتوى المخزن المؤقت للنسخ في الوحدة الطرفية.

  • اضغط على مفتاح Return.

على سبيل المثال، الإدخال والإخراج، يُرجى الاطّلاع على القسم كيفية طباعة شهادات PEM بتنسيق يمكن للمستخدمين قراءته.

كيف تبدو شهادات Google الموقَّعة على مواقع مختلفة في OpenSSL؟

…
---
Certificate chain
 0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog
   i:C = US, O = Google Trust Services LLC, CN = GTS Y1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
 1 s:C = US, O = Google Trust Services LLC, CN = GTS Y1
   i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog

issuer=C = US, O = Google Trust Services LLC, CN = GTS Y1

---
…

إدارة الشهادات الموثوق بها

كيف يمكنني التحقّق من شهادات الجذر الموثوق بها على هاتفي الجوّال؟

شهادات Android الموثوق بها

كما ذكرنا ضمن السؤال هل التطبيقات للأجهزة الجوّالة معرّضة لخطر التعطُّل؟، ومنذ الإصدار 4.0، أتاح نظام Android لمستخدمي الهواتف التحقق من قائمة الشهادات الموثوق بها ضمن الإعدادات. يعرض هذا الجدول مسار قائمة الإعدادات الدقيق:

إصدار Android مسار القائمة
1.x، 2.x، 3.x لا ينطبق
4.x، 5.x، 6.x، 7.x الإعدادات > الأمان > بيانات الاعتماد الموثوق بها
8.x، 9 الإعدادات > الأمان والموقع > التشفير وبيانات الاعتماد > بيانات الاعتماد الموثوق بها
+10 الإعدادات > الأمان > إعدادات متقدّمة > التشفير وبيانات الاعتماد > بيانات الاعتماد الموثوق بها

يوضِّح هذا الجدول المحتمل مدى توفّر شهادات الجذر الأكثر أهمية لكل إصدار من إصدارات Android، استنادًا إلى التحقق اليدوي باستخدام صور نظام Android Virtual Device (AVD) المتاحة حاليًا، إذ يعود ذلك إلى شهادات ca-certificates AOSP سجلّ إصدارات مستودع Git الذي لم تعُد صور النظام متوفّرة فيه:

إصدار Android جذر GTS R1 شهادة CA للجذر GlobalSign - R1 GlobalSign Root R2 (سارٍ حتى 15 كانون الأول/ديسمبر 2021)
2.3، 3.2، 4.x، 5.x، 6.x، 7.x، 8.x، 9
+10

بشكل عام، لا يمكن تحديث متجر شهادات الجذر لنظام Android بدون تحديث البرامج الثابتة أو تزويد الجهاز بإذن الوصول إلى الجذر. ومع ذلك، في معظم إصدارات Android التي لا تزال قيد الاستخدام على نطاق واسع، من المرجَّح أن توفّر المجموعة الحالية من شهادات الجذر الموثوق بها خدمة بلا انقطاع لسنوات متعددة، وذلك لفترة تتجاوز العمر الفعلي لمعظم الأجهزة الحالية.

بدءًا من الإصدار 7.0، يوفّر Android لمطوّري التطبيقات طريقة آمنة لإضافة الشهادات الموثوق بها التي لا يثق فيها سوى تطبيقاتهم. ويتم ذلك من خلال تجميع الشهادات مع التطبيق وإنشاء ضبط مخصّص لأمان الشبكة، كما هو موضَّح في المستند التدريبي أفضل الممارسات المتعلّقة بالأمان والخصوصية على Android ضبط أمان الشبكة.

ومع ذلك، لن يتمكّن مطوّرو التطبيقات التابعون لجهات خارجية من التأثير في إعدادات أمان الشبكة التي تنشأ عن حِزمة APK لخدمات Google Play، ومن المحتمل أن توفّر هذه الجهود حلاً بديلاً جزئيًا فقط.

بالنسبة إلى الأجهزة القديمة القديمة، يكون الخيار الوحيد المتاح أمامك هو الاعتماد على مراجع التصديق التي يضيفها المستخدمون، سواء تم تثبيتها من خلال سياسة مجموعة شركة مطبَّقة على جهاز المستخدم النهائي، أو من قِبل المستخدمين النهائيين أنفسهم.

متجر موثوق به لنظام التشغيل iOS

على الرغم من أنّ Apple لا تعرض مباشرةً مجموعتها التلقائية من شهادات الجذر الموثوق بها لمستخدم الهاتف، تمتلك الشركة روابط إلى مجموعات مراجع التصديق الجذر الموثوق بها للإصدار 5 من نظام التشغيل iOS والإصدارات الأحدث من مقالات "دعم Apple":

ومع ذلك، ينبغي أن تكون أي شهادات إضافية مُثبّتة على جهاز iOS مرئية ضمن الإعدادات > عامة > الملف الشخصي. في حال عدم تثبيت أي شهادات إضافية، قد لا يتم عرض عنصر قائمة الملف الشخصي.

يوضِّح هذا الجدول مدى توفّر شهادات الجذر الأكثر أهمية لكل إصدار من إصدارات iOS، وذلك استنادًا إلى المصادر المذكورة أعلاه:

إصدار iOS جذر GTS R1 شهادة CA للجذر GlobalSign - R1 GlobalSign Root R2 (سارٍ حتى 15 كانون الأول/ديسمبر 2021)
5، 6، 7، 8، 9، 10، 11، 12.0
12.1.3+

أين يتم تخزين شهادات الجذر للنظام وكيف يمكنني تحديثه؟

يختلف موقع مخزن شهادات الجذر التلقائية حسب نظام التشغيل ومكتبة طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل (TLS) المستخدَمة. ومع ذلك، في معظم توزيعات Linux، يمكن العثور على شهادات الجذر الافتراضية ضمن أحد المسارات التالية:

  • /usr/local/share/ca-certificates: إصدارات Debian وUbuntu وRHEL وCentOS الأقدم
  • /etc/pki/ca-trust/source/anchors و/usr/share/pki/ca-trust-source: Fedora، إصداران أحدث من RHEL وCentOS
  • /var/lib/ca-certificates: OpenSUSE

قد تتضمن مسارات الشهادات الأخرى ما يلي:

  • /etc/ssl/certs: Debian، Ubuntu
  • /etc/pki/tls/certs: RHEL، CentOS

من المحتمل أن تكون بعض الشهادات في هذه الأدلة روابط رمزية إلى ملفات في أدلة أخرى.

مخزن شهادات الجذر OpenSSL

بالنسبة إلى التطبيقات التي تستخدم OpenSSL، يمكنك التحقّق من الموقع الذي تم ضبطه لمكوِّناته المثبَّتة، بما في ذلك مخزن شهادات الجذر التلقائي باستخدام الأمر التالي:

openssl version -d

يطبع الأمر OPENSSLDIR، الذي يتوافق مع دليل المستوى الأعلى في المكتبة ويمكن العثور على إعداداتها ضمن:

OPENSSLDIR: "/usr/lib/ssl"

يقع مخزن شهادات الجذر في الدليل الفرعي certs.

ls -l /usr/lib/ssl/certs
lrwxrwxrwx 1 root root 14 Apr 21  2020 /usr/lib/ssl/certs -> /etc/ssl/certs
ls -l /etc/ssl/certs
…
-rw-r--r-- 1 root root 214904 Apr 15 17:01  ca-certificates.crt
…
lrwxrwxrwx 1 root root     50 Apr 15 16:57  GTS_Root_R1.pem -> /usr/share/ca-certificates/mozilla/GTS_Root_R1.crt
…

إذا كانت أداة OpenSSL تعتمد على مخزن شهادات الجذر التلقائي للنظام كما في المثال أعلاه، راجِع قسم المستوى الأعلى. أين يتم تخزين شهادات الجذر للنظام وكيف يمكنني تحديثه؟ للتأكّد من أنّ حزمة شهادات الجذر للنظام مُحدَّثة.

للحصول على تعليمات حول الحصول على openssl، راجع قسم الحصول على OpenSSL.

مخزن شهادات الجذر جافا

قد تستخدم تطبيقات Java مخزن شهادات الجذر الخاصة بها، ويقع على أنظمة Linux عادةً في /etc/pki/java/cacerts أو /usr/share/ca-certificates-java، والذي يمكن إدارته باستخدام أداة سطر الأوامر keytool في Java.

لاستيراد شهادة فردية إلى مخزن شهادات Java، أصدر الأمر التالي:

keytool -import -trustcacerts -file cert.pem -alias alias -keystore certs.jks

ما عليك سوى استبدال cert.pem بملف الشهادة المقابل لكل شهادة جذر مقترَحة، واستبدال alias باسم مستعار فريد لشهادة ذات مغزى، واستبدال certs.jks بملف قاعدة بيانات الشهادات المستخدم في بيئتك.

لمزيد من المعلومات، يُرجى الرجوع إلى مقالات Oracle وStack Overflow التالية:

مخزن شهادات الجذر في Mozilla NSS

قد تستخدم التطبيقات التي تستخدم Mozilla NSS أيضًا بشكل تلقائي قاعدة بيانات شهادات على مستوى النظام موجودة عادةً ضمن /etc/pki/nssdb، أو مخزنًا تلقائيًا خاصًا بالمستخدم ضمن ${HOME}/.pki/nssdb.

لتعديل قاعدة بيانات NSS، استخدِم أداة certutil.

لاستيراد ملف شهادة فردي إلى قاعدة بيانات NSS، أصدر الأمر التالي:

certutil -A -t "C,," -i cert.pem -n cert-name -d certdir

ما عليك سوى استبدال cert.pem بملف الشهادة المقابل لكل شهادة جذر مقترَحة، واستبدال cert-name بلقب شهادة ذي معنى، واستبدال certdir بمسار قاعدة بيانات الشهادات المستخدم في بيئتك.

للاطّلاع على مزيد من المعلومات، يُرجى الرجوع إلى دليل شهادة أدوات NSS الرسمي، بالإضافة إلى مستندات نظام التشغيل.

مخزن شهادات الجذر Microsoft .NET

قد يجد مطورو Windows .NET على الأقل مقالات Microsoft التالية مفيدة لتحديث مخزن شهادات الجذر:

تنسيقات ملفات الشهادات

ما هو ملف PEM؟

البريد المُحسن للخصوصية (PEM) هو تنسيق ملف نصي عادي في الواقع لتخزين وإرسال شهادات التشفير والمفاتيح وغيرها، ويتم إضفاء طابع رسمي عليه كمعيار بحكم القانون في RFC 7468.

على الرغم من أنّه يمكن للإنسان قراءة تنسيق الملف نفسه، لا يمكن الاطّلاع على معلومات بيانات الشهادة الثنائية التي تم ترميزها باستخدام Base64. ومع ذلك، تسمح مواصفات PEM بنشر نص تفسيري إما قبل أو بعد النص الأساسي للشهادة، وتستخدم العديد من الأدوات هذه الميزة أيضًا لتوفير ملخص نصي واضح لعناصر البيانات الأكثر صلة في الشهادة.

ويمكن أيضًا استخدام أدوات مثل openssl لفك ترميز الشهادة بأكملها إلى نموذج يمكن للإنسان قراءته. لمزيد من المعلومات، راجِع القسم كيفية طباعة شهادات PEM بتنسيق يمكن للمستخدمين قراءته.

ما هو ملف ".crt"؟

الأدوات التي تسمح بتصدير الشهادات بتنسيق PEM عادة ما تستخدم امتداد الملف "crt." للإشارة إلى أنّ الملف يستخدم ترميزًا نصيًا.

ما هو ملف DER؟

قواعد الترميز المميزة (DER) هي تنسيق ثنائي موحد لشهادات الترميز. وتكون الشهادات في ملفات PEM عادةً شهادات DER بترميز Base64.

ما هو ملف ".cer"؟

قد يحتوي الملف المُصدَّر الذي يتضمّن اللاحقة ".cer" على شهادة بترميز PEM، ولكنه عادةً ما تكون شهادة ثنائية بترميز DER. حسب اصطلاح، تحتوي ملفات ".cer" عادةً على شهادة واحدة فقط.

يرفض نظامي استيراد جميع الشهادات منroots.pem.

تستخدم بعض الأنظمة، على سبيل المثال، يمكن لـ Java keytool استيراد شهادة واحدة فقط من ملف PEM، حتى إذا كانت تحتوي على عدة شهادة. يمكنك الاطّلاع على السؤال التالي: كيف يمكنني استخراج الشهادات الفردية منroots.pem؟ لمعرفة كيفية تقسيم الملف أولاً.

كيف يمكنني استخراج الشهادات الفردية منroots.pem؟

يمكنك تقسيم roots.pem إلى شهادات المكوّنات باستخدام النص البرمجي bash البسيط التالي:

csplit -z -f roots.pem. roots.pem '/-----END CERTIFICATE-----/+1' '{*}' &>/dev/null && \
for f in roots.pem.*; \
  do mv "${f}" $(openssl x509 -in "${f}" -noout -issuer_hash).pem; \
done

من المفترض أن يؤدي ذلك إلى إنشاء عدد من ملفات PEM الفردية المشابهة للملفات المدرَجة هنا:

ls -l *.pem
-rw-r----- 1 <user> <group>  2217 Apr 28 11:04 02265526.pem
-rw-r----- 1 <user> <group>  1722 Apr 28 11:04 062cdee6.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 0a775a30.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 1001acf7.pem
-rw-r----- 1 <user> <group>  1796 Apr 28 11:04 106f3e4d.pem
-rw-r----- 1 <user> <group>  1315 Apr 28 11:04 1d3472b9.pem
-rw-r----- 1 <user> <group>  1919 Apr 28 11:04 244b5494.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 2b349938.pem
-rw-r----- 1 <user> <group>  1651 Apr 28 11:04 2c543cd1.pem
-rw-r----- 1 <user> <group>  1858 Apr 28 11:04 3513523f.pem
-rw-r----- 1 <user> <group>  2000 Apr 28 11:04 40547a79.pem
-rw-r----- 1 <user> <group>  1862 Apr 28 11:04 4a6481c9.pem
-rw-r----- 1 <user> <group>  1927 Apr 28 11:04 4bfab552.pem
-rw-r----- 1 <user> <group>  1745 Apr 28 11:04 5ad8a5d6.pem
-rw-r----- 1 <user> <group>  1813 Apr 28 11:04 607986c7.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 626dceaf.pem
-rw-r----- 1 <user> <group>  1738 Apr 28 11:04 653b494a.pem
-rw-r----- 1 <user> <group>  2294 Apr 28 11:04 6b99d060.pem
-rw-r----- 1 <user> <group>  2510 Apr 28 11:04 75d1b2ed.pem
-rw-r----- 1 <user> <group>  1788 Apr 28 11:04 76cb8f92.pem
-rw-r----- 1 <user> <group>  1383 Apr 28 11:04 7f3d5d1d.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 93bc0acc.pem
-rw-r----- 1 <user> <group>  1220 Apr 28 11:04 9c8dfbd4.pem
-rw-r----- 1 <user> <group>  1838 Apr 28 11:04 9d04f354.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 a3418fda.pem
-rw-r----- 1 <user> <group>  2194 Apr 28 11:04 aee5f10d.pem
-rw-r----- 1 <user> <group>  1249 Apr 28 11:04 b0e59380.pem
-rw-r----- 1 <user> <group>  1882 Apr 28 11:04 b1159c4c.pem
-rw-r----- 1 <user> <group>  2346 Apr 28 11:04 b727005e.pem
-rw-r----- 1 <user> <group>  1940 Apr 28 11:04 cbf06781.pem
-rw-r----- 1 <user> <group>  2609 Apr 28 11:04 d6325660.pem
-rw-r----- 1 <user> <group>  2474 Apr 28 11:04 dc4d6a89.pem
-rw-r----- 1 <user> <group>  1358 Apr 28 11:04 dd8e9d41.pem
-rw-r----- 1 <user> <group>  1972 Apr 28 11:04 ee64a828.pem
-rw-r----- 1 <user> <group>  1462 Apr 28 11:04 eed8c118.pem
-rw-r----- 1 <user> <group>  1944 Apr 28 11:04 f081611a.pem
-rw-r----- 1 <user> <group>  1488 Apr 28 11:04 f30dd6ad.pem
-rw-r----- 1 <user> <group>  1975 Apr 28 11:04 f387163d.pem
-rw-r----- 1 <user> <group>  2632 Apr 28 11:04 fc5a8f99.pem
-rw-r----- 1 <user> <group> 72865 Apr 20 12:44 roots.pem

يمكن بعد ذلك استيراد ملفات PEM الفردية، مثل 02265526.pem، بشكل منفصل، أو تحويلها إلى تنسيق ملف يقبله مخزن الشهادات.

كيفية التحويل بين ملف PEM وتنسيق متوافق مع النظام

يمكن استخدام أداة سطر الأوامر OpenSSL لمجموعة الأدوات openssl لتحويل الملفات بين جميع تنسيقات ملفات الشهادات الشائعة الاستخدام. تم سرد تعليمات التحويل من ملف PEM إلى تنسيقات ملفات الشهادات الأكثر استخدامًا أدناه.

للحصول على قائمة كاملة بالخيارات المتاحة، راجِع مستندات أدوات سطر الأوامر OpenSSL الرسمية.

للحصول على تعليمات حول الحصول على openssl، راجع قسم الحصول على OpenSSL.

كيف يمكنني تحويل ملف PEM إلى تنسيق DER؟

باستخدام openssl، يمكنك إصدار الأمر التالي لتحويل ملف من PEM إلى DER:

openssl x509 -in roots.pem -outform der -out roots.der
كيف يمكنني تحويل ملف PEM إلى PKCS #7؟

باستخدام openssl، يمكنك إصدار الأمر التالي لتحويل ملف من PEM إلى PKCS #7:

openssl crl2pkcs7 -nocrl -certfile roots.pem -out roots.p7b
كيف يمكنني تحويل ملف PEM إلى PKCS #12 (PFX)؟

باستخدام openssl، يمكنك إصدار الأمر التالي لتحويل ملف من PEM إلى PKCS #12:

openssl pkcs12 -export -info -in roots.pem -out roots.p12 -nokeys

تحتاج إلى تقديم كلمة مرور للملف عند إنشاء أرشيف PKCS #12. تأكد من تخزين كلمة المرور في مكان آمن، إذا لم تستورد ملف PKCS #12 على الفور إلى نظامك.

إدراج الشهادات وطباعتها وتصديرها من متجر شهادات الجذر

كيف يمكنني تصدير شهادة من مخزن مفاتيح Java كملف PEM؟

باستخدام keytool، يمكنك إصدار الأمر التالي لإدراج جميع الشهادات في متجر الشهادات، إلى جانب الاسم المستعار الذي يمكنك استخدامه لتصدير كل شهادة:

keytool -v -list -keystore certs.jks

ما عليك سوى استبدال certs.jks بملف قاعدة بيانات الشهادة المستخدم في بيئتك. سيعرض هذا الأمر أيضًا الاسم المستعار لكل شهادة، والذي ستحتاجه إذا أردت تصديرها.

لتصدير شهادة فردية بتنسيق PEM، أدخِل الأمر التالي:

keytool -exportcert -rfc -keystore certs.jks -alias alias > alias.pem

ما عليك سوى استبدال certs.jks بملف قاعدة بيانات الشهادة المستخدَم في بيئتك، وتقديم alias وalias.pem للشهادة التي تريد تصديرها.

للمزيد من المعلومات، يُرجى الرجوع إلى دليل Java Platform, Standard Edition Tools Reference: keyTool.

كيف يمكنني تصدير الشهادات من مخزن شهادات الجذر NSS كملف PEM؟

باستخدام certutil، يمكنك إصدار الأمر التالي لإدراج جميع الشهادات في متجر الشهادات، إلى جانب اللقب الذي يمكنك استخدامه لتصدير كل شهادة:

certutil -L -d certdir

ما عليك سوى استبدال certdir بمسار قاعدة بيانات الشهادة المستخدم في بيئتك. سيعرض هذا الأمر أيضًا اسم كل شهادة، والذي ستحتاجه إذا أردت تصديرها.

لتصدير شهادة فردية بتنسيق PEM، أدخِل الأمر التالي:

certutil -L -n cert-name -a -d certdir > cert.pem

ما عليك سوى استبدال certdir بمسار قاعدة بيانات الشهادة المستخدَم في بيئتك، وتوفير cert-name وcert.pem للشهادة التي تريد تصديرها.

للاطّلاع على مزيد من المعلومات، يُرجى الرجوع إلى دليل شهادة أدوات NSS الرسمي، بالإضافة إلى مستندات نظام التشغيل.

كيفية طباعة شهادات PEM بتنسيق يمكن للمستخدمين قراءته

في الأمثلة التالية، نفترض أنّ لديك الملف GTS_Root_R1.pem الذي يتضمّن المحتوى التالي:

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
طباعة ملفات الشهادات باستخدام OpenSSL

إصدار الأمر

openssl x509 -in GTS_Root_R1.pem -text

يجب أن يؤدي إلى إخراج شيء مشابه لـ:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
        Signature Algorithm: sha384WithRSAEncryption
        Issuer: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Validity
            Not Before: Jun 22 00:00:00 2016 GMT
            Not After : Jun 22 00:00:00 2036 GMT
        Subject: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    …
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                E4:AF:2B:26:71:1A:2B:48:27:85:2F:52:66:2C:EF:F0:89:13:71:3E
    Signature Algorithm: sha384WithRSAEncryption
        …

للحصول على تعليمات حول الحصول على openssl، راجع قسم الحصول على OpenSSL.

طباعة الشهادات باستخدام أداة مفاتيح Java

إصدار الأمر التالي

keytool -printcert -file GTS_Root_R1.pem

يجب أن يؤدي إلى إخراج شيء مشابه لـ:

Owner: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Issuer: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Serial number: 6e47a9c54b470c0dec33d089b91cf4e1
Valid from: Wed Jun 22 02:00:00 CEST 2016 until: Sun Jun 22 02:00:00 CEST 2036
Certificate fingerprints:
   SHA1: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
   SHA256: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#2: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E4 AF 2B 26 71 1A 2B 48   27 85 2F 52 66 2C EF F0  ..+&q.+H'./Rf,..
0010: 89 13 71 3E                                        ..q>
]
]

للحصول على تعليمات حول الحصول على keytool، راجع القسم الحصول على أداة مفاتيح Java.

كيف يمكنني الاطّلاع على الشهادات التي تم تثبيتها في مخزن شهادات الجذر؟

يختلف ذلك حسب نظام التشغيل ومكتبة طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل. ومع ذلك، فإنّ الأدوات التي تسمح باستيراد الشهادات وتصديرها من مخزن شهادات الجذر وإليها عادةً ما توفر أيضًا خيارًا لإدراج الشهادات المثبَّتة.

بالإضافة إلى ذلك، إذا صدّرت بنجاح شهادات الجذر الموثوق بها إلى ملفات PEM، أو إذا كان مخزن شهادات الجذر يتضمّن ملفات PEM مخزنة، يمكنك محاولة فتح الملفات في أي محرِّر نصوص، لأنّه تنسيق ملف نصي عادي.

قد يكون ملف PEM قد تم تصنيفه بشكل صحيح، ما يوفّر معلومات يمكن للمستخدمين قراءتها لمرجع الشهادة المرتبط (مثال من حزمة CA الجذرية الموثوق بها من Google):

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1"
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

قد يحتوي الملف أيضًا على جزء الشهادة. في هذه الحالات، قد يصف اسم الملف، مثل GTS_Root_R1.pem، مرجع التصديق الذي تنتمي إليه الشهادة. ومن المؤكد أيضًا أن سلسلة الشهادة بين الرمزين -----BEGIN CERTIFICATE----- و-----END CERTIFICATE----- المميزين ستكون فريدة لكل مرجع تصديق.

ومع ذلك، حتى في حال عدم توفّر الأدوات المذكورة أعلاه، وبما أنّ كل شهادة في حزمة CA الجذر الموثوق بها من Google مُصنَّفة بشكل صحيح، يمكنك مطابقة شهادات CA الجذرية في الحزمة الأصلية مع تلك الواردة من مخزن شهادات الجذر إما بحلول Issuer أو من خلال مقارنة سلاسل شهادات ملفات PEM.

قد تستخدم متصفحات الويب مخزن شهادات الجذر الخاصة بها أو تعتمد على الشهادة التلقائية التي يوفّرها نظام التشغيل. ومع ذلك، من المفترض أن تسمح لك جميع المتصفحات الحديثة بإدارة مجموعة مراجع التصديق الجذر التي يثقون بها أو عرضها على الأقل. يُرجى الاطّلاع على السؤال هل تطبيقات JavaScript معرّضة لخطر التعطُّل؟ للحصول على مزيد من التفاصيل.

للحصول على التعليمات الخاصة بالهاتف الجوّال، يُرجى الاطّلاع على السؤال المنفصل كيف يمكنني التحقق من شهادات الجذر الموثوق بها على هاتفي الجوّال؟.

الملحق

هل أنت بحاجة إلى مزيد من المعلومات؟

اعتمد دائمًا بشكل أساسي على وثائق نظام التشغيل، ووثائق لغات برمجة التطبيقات، بالإضافة إلى الوثائق من أي مكتبات خارجية يستخدمها تطبيقك.

إنّ أي مصدر آخر للمعلومات بما في ذلك هذه الأسئلة الشائعة قد يكون قديمًا أو غير صحيح، ويجب عدم اعتباره موثوقًا. ومع ذلك، قد تظل تعثر على معلومات مفيدة في العديد من منتديات "أسئلة وأجوبة Stack Exchange"، بالإضافة إلى مواقع إلكترونية مثل AdamW على نظام التشغيل Linux وغيرها ومدونة التأكيد وغيرها.

يُرجى أيضًا الاطّلاع على الأسئلة الشائعة حول Google Trust Services.

لمزيد من التفاصيل حول المواضيع المتقدمة، مثل تثبيت الشهادة، يمكنك الاطّلاع على مقالة مفيدة حول مشروع أمان تطبيقات الويب المفتوح (OWASP) وتثبيت المفتاح العام والشهادة وورقة الملاحظات الموجزة عن تثبيت. للحصول على تعليمات خاصة بنظام التشغيل Android، يُرجى الرجوع إلى مستند التدريب الرسمي على أفضل الممارسات بشأن الأمان والخصوصية في أجهزة Android الأمان باستخدام HTTPS وطبقة المقابس الآمنة. للنقاش حول تثبيت الشهادة مقابل تثبيت المفتاح العام على Android، قد تجد مشاركة المدونة التي نشرها "ماثيو دولان" أمان Android: تثبيت طبقة المقابس الآمنة مفيد.

مستند التدريب حول أفضل الممارسات في ما يخص الأمان والخصوصية في نظام التشغيل Android إعدادات أمان الشبكة ومشاركة مدونة JeroenHD نظام التشغيل Android 7 Nougat والمراجع المصدقة توفّر المزيد من المعلومات حول إدارة الشهادات الإضافية الموثوق بها على Android.

للحصول على قائمة شاملة بمراجع التصديق الجذر التي تثق بها AOSP، يُرجى الرجوع إلى مستودع ca-certificates. بالنسبة إلى أي إصدارات تستند إلى شوكات Android غير الرسمية، مثل LineageOS، يُرجى الرجوع إلى المستودعات المناسبة التي يوفّرها مورّد نظام التشغيل.