تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

الأسئلة الشائعة حول نقل مرجع التصديق الأساسي في "منصة خرائط Google"

يحتوي هذا المستند على الأقسام التالية:

للحصول على نظرة عامة أكثر تفصيلاً حول عملية النقل الحالية لهيئة إصدار الشهادات (CA) الجذرية في Google، يُرجى الاطّلاع على ما الذي يحدث؟.

المصطلحات

لقد جمعنا في ما يلي قائمة بأهم المصطلحات التي يجب استخدامها على دراية بها في هذا المستند. للحصول على نظرة عامة أكثر شمولاً حول المصطلحات، يُرجى الانتقال إلى الأسئلة الشائعة حول خدمات الثقة في Google

شهادة SSL/TLS: تربط الشهادة مفتاح تشفير بهوية.; تُستخدَم شهادات طبقة المقابس الآمنة (SSL)/بروتوكو�� أمان طبقة النقل (TLS) لمصادقة وإنشاء اتصالات آمنة. إلى مواقع الويب. يتم إصدار الشهادات وتوقيعها بطريقة مشفّرة من قِبل الكيانات. والمعروفة باسم المراجع المصدقة.; تعتمد المتصفحات على الشهادات الصادرة عن مراجع تصديق موثوق بها لمعرفة أن المعلومات التي يتم نقلها يتم إرسالها إلى الخادم الصحيح يتم تشفيرها أثناء نقلها.
طبقة المقابس الآمنة (SSL): كانت "طبقة المقابس الآمنة" البروتوكول الأكثر انتشارًا المستخدَمة للتشفير. اتصالات الإنترنت. لم يعد بروتوكول طبقة المقابس الآمنة (SSL) آمنًا بعد الآن ولا ينبغي استخدامها.
بروتوكول أمان طبقة النقل (TLS): بروتوكول أمان طبقة النقل هو العنصر اللاحق لطبقة المقابس الآمنة.
مصدر الشهادة (CA): يشبه مرجع التصديق مكتب جواز السفر الرقمي للأجهزة الأشخاص. تصدر المستندات المحمية بالتشفير (الشهادات) أن الشخص (مثل موقع الويب) هو من يدعي أنه صاحبه.; قبل إصدار أي شهادة، تقع على عاتق مراجع التصديق مسؤولية التحقق من أن وترتبط الأسماء الواردة في الشهادة بالشخص أو الكيان الذي يطلبها.; يمكن أن يشير مصطلح هيئة إصدار الشهادات إلى كلتا المؤسستين مثل Google Trust Services والأنظمة التي تصدر الشهادات
مخزن شهادات الجذر: يحتوي مخزن شهادات الجذر على مجموعة من مراجع التصديق الموثوق بها. أحد مورّدي برامج التطبيقات. تمتلك معظم متصفحات الويب وأنظمة التشغيل مخزن شهادات الجذر الخاصة بها.; لتضمينها في مخزن شهادات الجذر، يجب أن تتضمن هيئة إصدار الشهادات الالتزام بالمتطلبات الصارمة التي نصها مورّد برامج التطبيقات.; تتضمن هذه عادةً الامتثال للمعايير المتّبعة في المجال مثل متطلبات منتدى CA/المتصفح.
مصدر الشهادة الجذر: يعتبر مرجع التصديق الجذر (أو بشكل صحيح، الشهادة الخاصة به) هو أعلى شهادة في سلسلة شهادات.; عادةً ما تكون شهادات CA الجذر موقعة ذاتيًا. المفاتيح الخاصة المرتبطة يتم تخزينها في مرافق آمنة للغاية، وصيانتها في حالة عدم الاتصال لحمايتها من الوصول غير المصرّح به.
مرجع الشهادة المتوسطة: مرجع التصديق المتوسط (أو شهادته بشكل صحيح)، هو عبارة عن شهادة يتم استخدامها لتوقيع شهادات أخرى في سلسلة شهادات.; تتوفر مراجع تصديق متوسطة المستوى في المقام الأول لإتاحة إصدار الشهادات على الإنترنت، بينما السماح لشهادة CA الجذر بالبقاء بلا اتصال بالإنترنت.; تُعرَف شهادات CA المتوسطة أيضًا باسم مراجع التصديق الفرعية.
مصدر الشهادة: يعد مرجع التصديق، أو بعبارة أخرى، ��هادته الشهادة التي يتم استخدامها لتوقيع الشهادة السفلية في إحدى الشهادات السلسلة.; يُطلق على هذه الشهادة في الجزء السفلي عادةً اسم شهادة المشترك، شهادة الكيان النهائي أو الشهادة الطرفية. في هذا المستند، سنستخدم أيضًا مصطلح شهادة الخادم.
سلسلة الشهادات: يتم ربط الشهادات بجهة إصدارها (موقَّعة بطريقة تشفيرية). حاسمة سلسلة الشهادات من شهادة أوراق شجر، وجميع شهادات جهة الإصدار وشهادة جذر.
التوقيع المتقاطع: مورِّدو برامج التطبيقات على العملاء تعديل شهادات الجذر المتاجر على تضمين شهادات CA جديدة حتى يتم الوثوق بها في منتجاتهم. يستغرق الأمر بعض الوقت حتى يتم نقل المنتجات التي تحتوي على شهادات CA الجديدة شائعة الاستخدام.; لزيادة التوافق مع البرامج القديمة، يمكن تحويل شهادات CA "علامة زائد" من قِبل هيئة إصدار الشهادات (CA) الأخرى الأقدم. وهذا ينشئ بشكل فعال شهادة CA الثانية للهوية نفسها (الاسم وزوج المفاتيح).; بناءً على مراجع التصديق المضمّنة في مخزن شهادات الجذر، سيحصل العملاء إنشاء سلسلة شهادات مختلفة وصولاً إلى جذر يثقون به.

معلومات عامة

ما الذي يحدث؟

نقطة رئيسية: في عام 2021، ستواصل Google نقل بياناتها لعدة سنوات إلى خدماتها الخاصة هيئة إصدار الشهادات (CA) Google Trust Services (GTS) بدأت عام 2017. يتم استخدام مرجع الشهادة الجذر للتحقق من الأمان جميع اتصالات بروتوكول أمان طبقة النقل (TLS) بمنصة خرائط Google. الغالبية العظمى من لن يتأثر العملاء بهذا التغيير، ولكن مالكي بعض التطبيقات، وخاصة أولئك الذين لم يتخذوا أي إجراء في عام 2017، قد يحتاجون إلى تحديث الخدمات لضمان انتقال سلس خلال بقية عملية الترحيل عن طريق باتّباع الاقتراحات الواردة في هذا المستند

الصورة الشاملة

في عام 2017، بدأت Google مشروعًا لعدّة سنوات لإصدار واستخدام جذرها الخاص التوقيعات المشفرة التي تشكل أساس بروتوكول أمان طبقة النقل (TLS) للإنترنت الأمان المستخدم بواسطة HTTPS.

بعد انتهاء المرحلة الأولى، يصبح أمان بروتوكول أمان طبقة النقل (TLS) في خدمات "منصة خرائط Google" مضبوطًا على بضمان GS Root R2، وهو جذر معروف وموثوق به على نطاق واسع هيئة إصدار الشهادات (CA)، التي حصلت عليها Google من شركة GMO GlobalSign لتسهيل ��لانتقال إلى مراجع تصديق (CA) جذرية صادرة عن Google Trust Services (GTS) والصادرة ذاتيًا.

عمليًا جميع برامج بروتوكول أمان طبقة النقل (TLS) (مثل متصفحات الويب والهواتف الذكية والتطبيقات الخوادم) في شهادة الجذر هذه، ولذلك تمكنا من الاتصال الآمن بخوادم "منصة خرائط Google" خلال المرحلة الأولى من الترحيل.

ومع ذلك، لا يمكن لمصدر الشهادة تصميمًا إصدار شهادات صالحة خارج ووقت انتهاء صلاحية شهادته الخاصة. نظرًا لانتهاء صلاحية GS Root R2 في في 15 كانون الأول (ديسمبر) 2021، ستنقل Google خدماتها إلى مصدر تصديق جديد، GTS Root R1 Cross، باستخدام شهادة صادرة عن مرجع تصديق جذري من Google GTS Root R1

في حين أن الغالبية العظمى من أنظمة التشغيل الحديثة ومكتبات عملاء بروتوكول أمان طبقة النقل (TLS) الوثوق بالفعل في شهادات CA الجذرية في GTS، لضمان انتقال سلس لمعظم على الأنظمة القديمة، حصلت Google على علامة X من شركة GMO GlobalSign باستخدام GlobalSign Root CA - R1، هي إحدى أقدم مراجع CA الجذر والأكثر موثوقيةً في الوقت الحالي المتوفرة.

لذلك، لا يعتقد معظم العملاء سيستخدم عملاء "منصة خرائط Google" التعرف على أي من (أو كليهما) من شهادات CA الجذر الموثوق بها هذه، وسيتم لا تتأثر تمامًا بالمرحلة الثانية من الترحيل.

ينطبق ذلك أيضًا على العملاء الذين اتخذوا إجراءً خلال المرحلة الأولى من نقل البيانات في عام 2018، بافتراض أنهم في ذلك الوقت اتبعوا تعليماتنا، تثبيت جميع الشهادات من حزمة CA الجذر الموثوق بها من Google.

يجب التحقّق من أنظمتك في حال كان ذلك منطبقًا:

تشغيل خدماتك لأنظمة أساسية غير قياسية أو قديمة و/أو تحتفظ تخزين شهادات الجذر الخاصة
ولم تتخذ أي إجراء في 2017-2018، خلال المرحلة الأولى من نقل هيئة إصدار الشهادات (CA) الجذر، أو لم يتم تثبيت المجموعة الكاملة من الشهادات من حزمة CA الجذر الموثوق بها من Google

إذا كان الأمر ينطبق على الحالة المذكورة أعلاه، فقد يحتاج العملاء إلى إطلاعهم على لشهادات الجذر حتى تتمكّن من ضمان عدم انقطاعها استخدام "منصة خرائط Google" خلال هذه المرحلة من نقل البيانات.

انظر أدناه للاطّلاع على المزيد من التفاصيل الفنية. للاطّلاع على التعليمات العامة، يُرجى يُرجى الرجوع إلى القسم كيفية التحقُّق مما إذا كان متجر شهادات الجذر بحاجة إلى تحديث.

ننصحك أيضًا بمواصلة الاحتفاظ بمخازن شهادات الجذر في المزامنة مع حزمة هيئة إصدار الشهادات (CA) الجذر المنظّمة أعلاه لحماية خدماتك تغييرات CA الجذرية. ومع ذلك، سيتم الإعلان عن ذلك مسبقًا. الاطّلاع على الأقسام كيف يمكنني الحصول على آخر الأخبار حول مرحلة نقل البيانات هذه؟ أو كيف يمكنني تلقّي إشعار مُسبَق بعمليات نقل البيانات المستقبلية؟ للحصول على مزيد من الإرشادات حول كيفية مواكبة آخر المعلومات.

الملخّص الفني

كما تم الإعلان في 15 آذار (مارس) 2021، بتاريخ مدونة أمان Google، GS Root R2، وهو الجذر الذي تستخدمه "منصة خرائط Google" في CA منذ أوائل عام 2018 ستنتهي صلاحيته في 15 كانون الأول (ديسمبر) 2021. لذلك، ستنفّذ Google هذا الإجراء خلال هذه السنة نقل البيانات إلى GTS Root R1 Cross الصادر حديثًا من CA. وهذا يعني أنّ خدماتنا سيتم النقل تدريجيًا إلى شهادات طبقة النقل الآمنة (TLS) التي أصدرتها هيئة إصدار الشهادات (CA) الجديدة هذه.

يتم إعداد جميع برامج وأنظمة بروتوكول أمان طبقة النقل (TLS) الحديثة بشكل مسبق من قبل باستخدام شهادة GTS Root R1 أو تلقّيها من خلال تحديثات البرامج العادية وGlobalSign Root CA - R1 وكذلك على الأنظمة القديمة القديمة.

ومع ذلك، يجب عليك التحقّق من أنظمتك على الأقل في حال كانت النقطتان التاليتان معًا ينطبق:

تشغيل خدماتك على أنظمة أساسية غير قياسية أو قديمة و/أو الحفاظ على تخزين شهادات الجذر الخاصة
ولم تتخذ أي إجراء في 2017-2018، خلال المرحلة الأولى من نقل هيئة إصدار الشهادات (CA) الجذر، أو لم يتم تثبيت المجموعة الكاملة من الشهادات من حزمة CA الجذر الموثوق بها من Google

يوفِّر القسم كيفية التحقُّق ممّا إذا كان مخزن شهادات الجذر بحاجة إلى تحديث معلومات عامة إرشادات لاختبار ما إذا كان نظ��مك سيتأثر

عرض السؤال لماذا يجب مزامنة شهادات الجذر الخاصة بي مع حزمة CA الجذر الموثوق بها من Google؟ للحصول على التفاصيل الكاملة.

كيف يمكنني الحصول على آخر الأخبار حول مرحلة نقل البيانات هذه؟

تمييز المشكلة العامة بنجمة 186840968 لـ التحديثات. ويتم أيضًا تعديل هذه الأسئلة الشائعة خلال عملية نقل البيانات، عندما موضوعات قد تكون ذات اهتمام عام.

كيف يمكنني الحصول على إشعار مسبق بعمليات النقل المستقبلية؟

ننصحك باتباع مدونة أمان Google. سنسعى أيضًا إلى تحديث الوثائق الخاصة بالمنتج في أقرب وقت ممكن، باتباع على المدونة.

يُرجى أيضًا الاشتراك في إشعارات منصة "خرائط Google"، نظرًا لأننا ننشر بانتظام آخر الأخبار على المنتدى حول التغييرات التي يُحتمل أن تؤثر على عدد أكبر من العملاء.

نحن نستخدم خدمات متعدّدة من Google. هل ستؤثر عملية نقل هيئة إصدار الشهادات (CA) الجذر في جميع هذه الأجهزة؟

نعم، سيتم تنفيذ عملية نقل مرجع تصديق الجذر عبر جميع خدمات Google وواجهات برمجة التطبيقات، ولكن وقد يختلف الجدول الزمني حسب الخدمة. ومع ذلك، بمجرد التحقق من أن الجذر متاجر الشهادات التي تستخدمها تطبيقات عميل "منصة خرائط Google" تحتوي على جميع المراجع المصدقة المدرجة في حزمة CA الجذر الموثوق بها من Google، خدمات لا تتأثر بعملية نقل البيانات الجارية، والاحتفاظ بهذه البيانات المزامنة ستحميك أيضًا من التغييرات المستقبلية لهيئة إصدار الشهادات (CA) الجذر.

الاطّلاع على الأسئلة لماذا يجب مزامنة شهادات الجذر الخاصة بي مع حزمة CA الجذر الموثوق بها من Google؟ أو ما هي أنواع التطبيقات المعرّضة للتعطُّل؟ للحصول على مزيد من الأفكار.

يوفّر أيضًا القسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر بحاجة إلى تحديث أدناه. تعليمات عامة لاختبار النظام.

كيفية التحقّق مما إذا كان مخزن شهادات الجذر بحاجة إلى تحديث

اختبِر بيئة تطبيقك على نقاط نهاية الاختبار الواردة أدناه:

��ذا كنت قادرًا على إنشاء اتصال عبر بروتوكول أمان طبقة النقل (TLS) بوحدة نقطة نهاية الاختبار المتبادل GTS Root R1، من المفترض ألا يتأثر بانتهاء صلاحية الجذر R2 في GS Root R2.
إذا كنت قادرًا على إنشاء اتصال عبر بروتوكول أمان طبقة النقل (TLS) بوحدة نقطة نهاية اختبار GTS Root R1، فمن المحتمل أن يكون تطبيقك محميًا من انتهاء GTS Root R1 Cross وGlobalSign Root CA - R1 في عام 2028

سيكون نظامك متوافقًا بشكل عام مع تغيير هيئة إصدار الشهادات (CA) الجذر هذا في الحالات التالية:

فإن خدمتك تعمل على نظام تشغيل أساسي تم صيانته، وكان لديك الاحتفاظ بكل من نظام التشغيل والمكتبات التي تستخدمها الخدمة مصححة ولا تحتفظ بتخزين شهادات الجذر الخاصة بك، أو:
اتبعت توصياتنا السابقة وثبّت جميع المراجع المصدقة الجذرية من حزمة CA الجذر الموثوق بها من Google

على العملاء الذين من المحتمل تأثرهم تثبيت الشهادات على الفور من حزمة CA الجذر الموثوق بها من Google لتجنُّب انقطاع الخدمة في المستقبل.

هل هناك أداة بسيطة يمكنني استخدامها لإثبات ملكية متجر شهادات الجذر؟

قد تجد أداتي سطر الأوامر curl وopenssl مفيدتين في التحقيقات. يتوفر كلاهما على معظم الأنظمة الأساسية، ويوفران خيارات لاختبار الإعداد.

للحصول على تعليمات حول الحصول على curl، يُرجى الاطّلاع على القسم الحصول على تجعيد الشعر أدناه.

أوامر openssl المعروضة أدناه تخصّ الإصدار 1.1.1 أو الإصدارات الأحدث. ولا يتوفّر الدعم في الإصدارات السابقة على الإصدار 1.1.1. إذا كنت تستخدم إصدارًا سابقًا، ترقية هذه الأوامر أو تعديلها حسب الضرورة لإصدارك. للحصول على التعليمات حول الحصول على openssl، راجع قسم الحصول على OpenSSL أدناه.

كما ستجد المزيد من الأدوات المفيدة ضمن القسم أين يمكنني الحصول على الأدوات التي أحتاجها؟ أدناه.

للحصول على تعليمات لإجراء اختبار ملموس، يُرجى الاطّلاع على القسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر بحاجة إلى تحديث

اختبار مخزن شهادات الجذر التلقائية

curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demo.pki.goog/; \
openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

التحقّق من حزمة هيئة إصدار الشهادات (CA) الجذر الموثوق بها من Google

تنزيل حزمة CA الجذر الموثوق بها من Google، ثم اتبع هذه الخطوات:

curl -vvI --cacert roots.pem https://maps.googleapis.com; \
openssl s_client -CAfile roots.pem -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI --cacert roots.pem https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -CAfile roots.pem -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

كيف ومتى ستستمر عملية نقل بيانات شهادات الجذر من Google؟

المرحلة الأولى (الانتقال إلى GS Root R2) تم الإعلان عنه في كانون الثاني (يناير) 2017 ب��أت في أ��ا��ر عام 2017 وانتهت في النصف الأول من عام 2018.
المرحلة الثانية (الانتقال إلى GTS Root R1 Cross) في آذار (مارس) 2021 وسيتم طرحها خلال الأشهر القادمة، قبل انتهاء صلاحية GS Root R2 في 15 كانون الأول (ديسمبر) 2021

سيتم الإعلان عن الجداول الزمنية لمراحل نقل البيانات اللاحقة مسبقًا. بانتهاء صلاحية الشهادة المستقبلية.

ومع ذلك، ستتمكن من إثبات ملكية تطبيقاتك في المستقبل، إذا احتفظت يتم تخزين شهادات الجذر بشكل متزامن مع القائمة المنظّمة من مراجع التصديق الجذر في حزمة CA الجذر الموثوق بها من Google.

عرض السؤال أيضًا لماذا يجب مزامنة شهادات الجذر الخاصة بي مع حزمة CA الجذر الموثوق بها من Google؟ لمزيد من المعلومات.

خطة طرح عامة لكل خدمة من خدمات Google

يبدأ الطرح على مراحل في مركز بيانات واحد.
تم تمديد الطرح تدريجيًا إلى المزيد من مراكز البيانات حتى يتم طرح والتغطية.
إذا تم رصد مشاكل خطيرة في أي مرحلة، يمكن التراجع عن الاختبارات. مؤقتًا أثناء معالجة المشكلات.
بناءً على الإدخالات من التكرارات السابقة، يتم تضمين المزيد من خدمات Google سيتم تضمينها في عملية الطرح إلى أن يتم تدريجيًا نقل جميع خدمات Google إلى الشهادات الجديدة.

من سيتأثر ومتى وأين؟

سيبدأ عدد متزايد من مطوّري برامج "منصة خرائط Google" في تلقّي الشهادات الجديدة حيث يتم نقل مراكز البيانات الجديدة. ستكون التغييرات مترجمة إلى حد ما، حيث تتم إعادة توجيه طلبات العميل إلى الخوادم في مراكز البيانات القريبة جغرافيًا.

وبما أننا لا نستطيع بشكل مؤكد تحديد من سيتأثر، ومتى وأين، ننصح جميع العملاء بالتحقّق من خدماتهم وإثبات ملكيتها لمستقبل أفضل. قبل مراحل العملية المحتملة لنقل بيانات CA الجذرية في Google.

يُرجى الاطّلاع على القسم كيفية التحقُّق مما إذا كان مخزن شهادات الجذر بحاجة إلى تحديث للحصول على معلومات التوجيه.

ما يجب الانتباه إليه

ولن يتم إيقاف العملاء الذين لم يتم ضبطهم باستخدام شهادة الجذر اللازمة. من التحقّق من اتصال بروتوكول أمان طبقة النقل (TLS) بمنصة خرائط Google. في هذه الدورة، فسيصدر عادةً العملاء تحذيرًا بأن التحقق من صحة الشهادة فشل.

استنادًا إلى تهيئة بروتوكول أمان طبقة النقل (TLS)، قد يستمر العملاء في إصدار Google Maps Platform أو قد يرفضوا مواصلة طلبك.

ما الحد الأدنى من المتطلبات التي يجب أن يستوفيها عميل بروتوكول أمان طبقة النقل (TLS) للتواصل مع "منصة خرائط Google"؟

تستخدم شهادات "منصة خرائط Google" الأسماء البديلة للمواضيع لنظام أسماء النطاقات (SAN)، لذلك ينبغي أن تتوافق معالجة شهادة العميل مع الشبكات الاجتماعية (SAN) التي قد تتضمن حرف بدل واحد باعتباره التصنيف في أقصى اليسار في الاسم، مثل *.googleapis.com.

للاطّلاع على المتطلبات الأخرى، يُرجى مراجعة القسم ما هي المتطلبات المقترَحة لكي يتواصل برنامج بروتوكول أمان طبقة النقل (TLS) مع Google؟ في الأسئلة الشائعة حول GTS.

ما هي أنواع التطبيقات المعرّضة لخطر الكسر؟

يستخدم التطبيق مخزن شهادات الجذر للنظام بدون أي قيود يفرضها المطوّر.

تطبيقات خدمة الويب "منصة خرائط Google"

فإذا كنت تستخدم نظام تشغيل رئيسيًا، على سبيل المثال، Ubuntu أو Red Hat أو Windows 10 أو Server 2019، OS X) التي لا تزال تخضع للصيانة وتتلقّى تحديثات منتظمة، يجب أن يشتمل مخزن شهادات الجذر على شهادة GTS Root R1.

إذا كنت تستخدم إصدارًا قديمًا من نظام التشغيل لم يعد يتلقّى تحديثات، يمكنك أو قد لا يكون لديه شهادة GTS Root R1. ومع ذلك، لا يتم حفظ شهادات الجذر على الأرجح يحتوي على GlobalSign Root CA - R1، وهي إحدى أقدم مراجع تصديق الجذر الأكثر موثوقية على نطاق واسع.

لتطبيقات الأجهزة الجوّالة التي تتصل بخدمات الويب في "منصة خرائط Google" مباشرةً من جهاز المستخدم النهائي، وإرشادات من السؤال هل التطبيقات للأجهزة الجوّالة معرّضة لخطر العطل؟ تطبيقها.

تطبيقات "منصة خرائط Google" من جهة العميل

تعتمد تطبيقات واجهة برمجة تطبيقات JavaScript للخرائط بشكل عام على الجذر شهادات متصفح الويب الذي يشغِّل التطبيق. الاطّلاع على القسم هل تطبيقات JavaScript معرّضة لخطر العطل؟ لمزيد من التفاصيل.

بالنسبة إلى تطبيقات الجوال الأصلية التي تستخدم أيًا من خرائط SDK لنظام التشغيل Android، حزمة تطوير البرامج بالاستناد إلى بيانات "خرائط Google" لتطبيقات iOS أو حزمة تطوير برامج الأماكن لأجهزة Android حزمة تطوير برامج الأماكن لأجهزة iOS، تنطبق القواعد نفسها على التطبيقات التي تطلب خدمات الويب على "منصة خرائط Google".

عرض السؤال هل التطبيقات للأجهزة الجوّالة معرّضة لخطر العطل؟ لمزيد من التفاصيل.

يستخدم التطبيق حزمة الشهادات الخاصة به أو يستخدم ميزات الأمان المتقدّمة، مثل تثبيت الشهادة.

يجب الحرص على تعديل حزمة شهادتك بنفسك. وفقًا لما تمت مناقشته تحت السؤال لماذا عليّ مزامنة شهادات الجذر الخاصة بي مع حزمة CA الجذر الموثوق بها من Google؟، ننصحك باستيراد جميع الشهادات من حزمة CA الجذر الموثوق بها من Google في تخزين شهادات الجذر الخاصة بك.

في حال تثبيت الشهادات أو المفاتيح العامة لنطاقات Google، البيانات، فيجب إضافة الشهادات والمفاتيح العامة إلى قائمة بالكيانات الموثوق بها في طلبك.

لمزيد من المعلومات عن تثبيت الشهادة أو المفتاح العام، يُرجى الرجوع إلى مقالة الموارد الخارجية المدرجة ضمن السؤال هل تحتاج إلى مزيد من المعلومات؟.

لماذا يجب عليّ الحفاظ على مزامنة شهادات الجذر الخاصة بي مع حزمة مرجع تصديق الجذر (CA) الجذر الموثوق بها من Google؟

القائمة المنظمة لشهادات CA الجذرية في حزمة CA الجذر الموثوق بها من Google جميع مراجع التصديق التي قد تستخدمها خدمات Google بشكل معقول في المستقبل المتوقع.

لذلك، إذا كنت تريد إثبات ملكية النظام في المستقبل، ننصحك بشدة التحقق من أن مخزن شهادات الجذر يحتوي على جميع الشهادات من الحزمة، واعتد على الحفاظ على تزامن الاثنين.

هذا مهم بشكل خاص إذا كانت خدماتك تعمل في وضع التشغيل غير المدار إصدار نظام التشغيل، فأنت لأسباب أخرى غير قادرة على الحفاظ على نظام التشغيل والمكتبات التي تم تصحيحها، أو الاحتفاظ بت��زين شهادات الجذر.

عرض السؤال كيف يمكنني تلقّي إشعار مُسبَق بعمليات نقل البيانات المستقبلية؟ لمعرفة طريقة الحصول على تعديلات بشأن عمليات نقل البيانات الجذر الخاصة بهيئة إصدار الشهادات (CA) في المستقبل. بشكل روتيني الحفاظ على مزامنة شهادات الجذر مع القائمة المنظّمة لحماية خدماتك من انقطاع الخدمة في المستقبل بسبب التغييرات في مرجع التصديق (CA) وستحافظ على استمرارية تشغيل خدماتك إلى ما بعد انتهاء صلاحية كليهما GTS Root R1 Cross وGlobalSign Root CA - R1

أيضًا، يرجى الرجوع إلى السؤال أعمل على إنشاء منتج مرتبط بخدمات Google. ما هي شهادات CA التي عليّ الوثوق بها؟ في الأسئلة الشائعة حول GTS للحصول على مزيد من الاقتراحات.

لماذا يجب عدم تثبيت أي شهادات CA أصلية أو متوسطة؟

سيؤدي ذلك إلى تعرّضك لخطر فقدان طلبك في أي مرحلة نسجّل فيها طلبًا جديدًا الشهادة، أو تبديل شهادات CA المتوسطة. وقد يحدث أي منهما في أي دون أي إشعار مسبق، وينطبق ذلك على جميع الخوادم مثل تلك التي يتم عرضها من خلال maps.googleapis.com، بالإضافة إلى أي من شهادات CA الوسيطة الخاصة بنا، مثل GTS Root R1 Cross.

لحماية خدماتك من ذلك، عليك تثبيت ا��جذر فقط. من الشهادات من حزمة CA الجذر الموثوق بها من Google الاعتماد على شهادة الجذر وحدها للتحقق من موثوقية سلسلة شهادات كاملة مرتبطة بها

من المفترض أن تتوفّر إمكانية التحقّق تلقائيًا من خلال أيّ عملية تنفيذ حديثة لمكتبة بروتوكول أمان طبقة النقل (TLS) سلاسل الثقة هذه طالما أن مرجع الشهادة الجذر موثوق به.

هل تطبيقات JavaScript معرّضة لخطر العطل؟

تكون شهادات الجذر GTS مضمّنة مسبقًا وموثوقة لدى معظم الأجهزة الحديثة. واستخدام العلامة المتقاطعة GMO GlobalSign بسلاسة حتى لمعظم المستخدمين النهائيين على المتصفحات القديمة. ويشمل ذلك كل رسميًا المتصفّحات المتوافقة لواجهة برمجة تطبيقات JavaScript للخرائط.

من المفترض أن يتيح كل متصفح حديث للمستخدمين النهائيين إمكانية التحقق من تلك المعلومات وتعديلها عادةً. الشهادات التي يثق بها المتصفح. وعلى الرغم من اختلاف الموقع الدقيق حسب فإن قائمة الشهادات يمكن العثور عليها عادةً في مكان ما ضمن الإعدادات.

هل تطبيقات الأجهزة الجوّالة معرّضة لخطر العطل؟

لا تزال أجهزة Android وApple iOS تتلقّى تحديثات منتظمة من الجهاز. الشركة المصنعة أيضًا أن تكون دليلاً للمستقبل. معظم هواتف Android الأقدم تتضمن على الأقل شهادة GlobalSign Root CA - R1 على الأقل، على الرغم من قد تختلف قائمة الشهادات الموثوق بها بناءً على الشركة المصنِّعة للهاتف وطراز الجهاز إصدار Android.

في المقابل، قد لا يزال بإمكانك استخدام شهادات CA الجذرية في GTS، بما في ذلك GTS Root R1. محدود في إصدارات Android الأقدم من 10.

بالنسبة إلى أجهزة iOS، تحتفظ Apple بقائمة بمراجع التصديق الجذر الموثوق بها لكل إصدار iOS حديث. على صفحات الدعم الخاصة به. ومع ذلك، يتم دعم الإصدار 5 من iOS والإصدارات الأحدث GlobalSign Root CA - R1

أصبحت شهادات CA الجذر في GTS، بما في ذلك GTS Root R1 متاحة منذ إصدار iOS. 12.1.3.

عرض السؤال كيف يمكنني التحقّق من شهادات الجذر الموثوق بها على هاتفي الجوّال؟ لمزيد من التفاصيل.

متى سيتضمّن المتصفّح أو نظام التشغيل شهادات الجذر في "خدمات الثقة من Google"؟

عملت Google على مدار السنوات الماضية بشكل كبير مع جميع الجهات الخارجية الرئيسية والحفاظ على حزم شهادات الجذر المستخدمة على نطاق واسع وموثوق بها. ومن الأمثلة على ذلك: الشركات المصنعة لأنظمة التشغيل، مثل Apple وMicrosoft، ولكن أيضًا فِرق Android وChromeOS مطورو برامج المتصفح، مثل Mozilla وApple Microsoft، وأيضًا فريق Chrome التابع لشركة Google؛ الشركات المصنعة للأجهزة، مثل هواتف وأجهزة فكّ ترميز المحتوى التلفزيوني وأجهزة التلفزيون ووحدات تحكّم الألعاب والطابع��ت وغيرها الكثير.

وبالتالي، من المرجَّح أن يكون أي نظام تتم صيانته حاليًا يتوافق مع شهادات CA الجديدة في GTS Root CA، بما في ذلك GTS Root R1 وحتى الإصدارات القديمة من المرجح أن تتوافق الأنظمة مع GlobalSign Root CA - R1، والذي سيكون يُستخدم في التوقيع المتبادل للشهادات الصادرة عن Google خلال السنوات القادمة.

ومع ذلك، ونظرًا لأن المخططات الزمنية لتضمين شهادات الجهات الخارجية تتجاوز إلى حد كبير التحكم في Google، فإن أفضل نصيحة عامة يمكننا تقديمها هي التأكد من ذلك تطبيق تحديثات النظام المتاحة بانتظام.

حدد جهات خارجية، مثل برنامج شهادة CA من Mozilla ووثقها المخططات الزمنية لتضمين الشهادة

تحديد المشاكل وحلّها

أين يمكنني الحصول على الأدوات التي أحتاجها؟

جارٍ الحصول على تمويج

إذا كان توزيع نظام التشغيل لا يوفّر curl، يمكنك تنزيله من https://curl.haxx.se/ يمكنك تنفيذ إجراء مما يلي: قم بتنزيل المصدر وتجميع الأداة بنفسك أو تنزيل مجموعة بيانات برنامج ثنائي، إذا كان متاحًا لنظامك الأساسي.

الحصول على مكتبة OpenSSL

إذا كان توزيع نظام التشغيل لا يوفّر openssl، يمكنك تنزيل التطبيق. المصدر من https://www.openssl.org/ وتجميع الأداة. يمكن العثور على قائمة بالبرامج الثنائية التي تنشئها جهات خارجية عبر https://www.openssl.org/community/binaries.html. ومع ذلك، لا يتم دعم أي من هذه الإصدارات أو بأي طريقة محددة من قبل فريق OpenSSL.

الحصول على برنامج Wireshark أو Tshark أو Tcpdump

توفّر معظم توزيعات Linux نظام التشغيل wireshark، إلا أنّ أداة سطر الأوامر tshark فيه وtcpdump، يمكن أن تكون الإصدارات المجمعة مسبقًا من أول اثنين لأنظمة التشغيل الأخرى على https://www.wireshark.org.

يمكن العثور على رمز المصدر لـ Tcpdump وLibPCAP على https://www.tcpdump.org.

يمكن العثور على وثائق لهذه الأدوات المفيدة في دليل مستخدم Wireshark، على صفحة مالك Tshark وعلى صفحة المستخدم في Tcpdump، على التوالي.

الحصول على أداة مفاتيح Java

يجب شحن أداة سطر الأوامر keytool مع كل لغة Java إصدار مجموعة أدوات التطوير (JDK) أو بيئة وقت تشغيل Java (JRE) تثبيت هذه التطبيقات للحصول على keytool.، ومن غير المرجّح أن يتم استخدام keytool. اللازمة للتحقق من شهادة الجذر، ما لم يكن التطبيق مزوّدًا باستخدام Java.

الإجراءات التي يجب اتّخاذها في حال انقطاع الإنتاج

الإجراء الأساسي الذي يجب اتخاذه هو تثبيت الجذر المطلوب. من الشهادات من حزمة CA جذر موثوق بها من Google في تخزن شهادات الجذر التي يستخدمها تطبيقك.

التعاون مع مشرفي النظام لترقية شبكتك مخزن شهادات الجذر.
راجع هذه الأسئلة الشائعة للحصول على المؤشرات التي تنطبق على نظامك.
إذا كنت بحاجة إلى مساعدة إضافية بشأن المنصة أو النظام، يُرجى التواصل مع قنوات الدعم الفني التي يوفّرها موفّر النظام
للحصول على مساعدة عامة، يُرجى التواصل مع فريق الدعم، كما هو موضّح في قسم التواصل مع فريق دعم "منصة خرائط Google". ملاحظة: بالنسبة إلى المشاكل الخاصة بالنظام الأساسي، يتم تقديم الإرشادات حول أفضل جهد فقط. بشكل أساسي.
تمييز المشكلة العامة بنجمة 186840968 لـ المزيد من التحديثات المتعلقة بالنقل.

التواصل مع فريق دعم "منصة خرائط Google"

تحديد المشاكل وحلّها بشكل مبدئي

الاطّلاع على القسم كيفية التحقّق مما إذا كان مخزن شهادات الجذر بحاجة إلى تحديث للحصول على تعليمات عامة حول تحديد المشاكل وحلّها.

قسم يمكن أن تتضمن إدارة الشهادات الموثوق بها أيضًا معلومات قيّمة، إذا كنت بحاجة إلى استيراد أو تصدير الجذر الشهادات.

في حال عدم حلّ المشكلة، وقرّرت التواصل مع "منصة خرائط Google" والدعم على استعداد أيضًا لتقديم المعلومات التالية:

أين توجد الخوادم المتأثرة؟
ما هي عناوين IP التي تستخدمها Google للاتصال بها؟
ما هي واجهات برمجة التطبيقات المتأثرة بهذه المشكلة؟
متى بدأت المشكلة بالضبط؟

مخرجات الأوامر التالية:

curl -vvI https://maps.googleapis.com; \
openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1.demo.pki.goog/; \
openssl s_client -connect good.gtsr1.demo.pki.goog:443 -showcerts </dev/null; \
curl -vvI https://good.gtsr1x.demo.pki.goog/; \
openssl s_client -connect good.gtsr1x.demo.pki.goog:443 -showcerts </dev/null;

للحصول على تعليمات حول الحصول على الأدوات المطلوبة، راجع ال��ؤال أين يمكنني الحصول على الأدوات التي أحتاجها؟

تقديم طلب الحصول على الدعم

يُرجى اتباع التعليمات إنشاء طلب الحصول على دعم أقل من المراجع والدعم في "منصة خرائط Google"

عند تقديم طلب الحصول على الدعم، بالإضافة إلى البيانات المدرجة في القسم تحديد المشاكل وحلّها بشكل مبدئي، يُرجى أيضًا تقديم التالي:

ما هي عناوين IP العلنية الخاصة بك؟
ما هو عنوان IP العلني لخادم نظام أسماء النطاقات؟
إذا أمكن، يتم التقاط حزمة tcpdump أو Wireshark لبروتوكول أمان طبقة النقل (TLS) الذي تعذّر تنفيذه التفاوض ضد https://maps.googleapis.com/ بتنسيق PCAP، باستخدام طول لقطة كبير بما يكفي لالتقاط الحزمة بأكملها بدون جارٍ اقتطاعه (على سبيل المثال، استخدام -s0 في الإصدارات الأقدم من tcpdump)
ستظهر مقتطفات من الخدمة في الخدمة إذا أمكن، وتعرض الاتصال الدقيق لبروتوكول أمان طبقة النقل (TLS). سبب الفشل، ويُفضَّل أن يكون مع معلومات سلسلة شهادة الخادم الكاملة.

للحصول على تعليمات حول الحصول على الأدوات المطلوبة، راجع السؤال أين يمكنني الحصول على الأدوات التي أحتاجها؟

النشر بشأن العدد العام 186840968

عند نشر تعليق على قضية عامة 186840968، يُرجى تضمين المعلومات المدرجة في القسم الإجراءات الأولية لتحديد المشاكل وحلّها:

كيف يمكنني تحديد العنوان العام لنظام أسماء النطاقات (DNS)؟

على نظام التشغيل Linux، يمكنك تشغيل الأمر التالي:

dig -t txt o-o.myaddr.l.google.com

على نظام التشغيل Windows، يمكنك استخدام nslookup في تفاعلي الوضع:

C:\> nslookup -
set type=TXT
o-o.myaddr.l.google.com

طريقة تفسير ناتج التجعيد

يوفّر تشغيل curl باستخدام علامات -vvI معلومات مفيدة جدًا. المعلومات. في ما يلي بعض التعليمات لتفسير المخرجات:

أسطر تبدأ بـ "*" عرض الناتج من بروتوكول أمان طبقة النقل (TLS) والتفاوض، بالإضافة إلى معلومات إنهاء الاتصال.
أسطر تبدأ بـ ">" عرض طلب HTTP الصادر الذي يرسل curl.
أسطر تبدأ بـ "<" عرض استجابة HTTP التي يحصل عليها من الخادم.
إذا كان البروتوكول هو HTTPS، فإن وجود ">" أو "<" الخطوط تشير إلى تأكيد اتصال بروتوكول أمان طبقة النقل (TLS) بنجاح.

تم استخدام مكتبة بروتوكول أمان طبقة النقل (TLS) وحزمة شهادة الجذر.

يؤدي تشغيل curl مع علامات -vvI إلى طباعة أيضًا يتم تخزين شهادات الجذر المستخدمة، إلا أن المخرجات الدقيقة قد تختلف حسب كل نظام كما هو موضح هنا.

الناتج من جهاز Red Hat Linux مع ربط curl مع NSS قد يحتوي على هذه السطور:

* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none

قد تحتوي الإخراج من جهاز Ubuntu أو Debian Linux على هذه السطور:

* successfully set certificate verify locations:
* CAfile: none
  CApath: /etc/ssl/certs

الناتج من جهاز Ubuntu أو Debian Linux باستخدام ملف PEM لشهادة الجذر من Google المقدمة باستخدام العلامة --cacert قد تحتوي على السطور التالية:

* successfully set certificate verify locations:
* CAfile: /home/<user>/Downloads/roots.pem
  CApath: /etc/ssl/certs

وكيل المستخدم

تحتوي الطلبات الصادرة على عنوان وكيل المستخدم الذي قد يكون مفيدًا معلومات حول curl ونظامك.

مثال من جهاز Red Hat Linux:

> HEAD / HTTP/1.1
> User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.27.1 zlib/1.2.3 libidn/1.18 libssh1/1.4.2
> Host: maps.googleapis.com
> Accept: */*
>

تعذُّر تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS)

تشير الأسطر، مثل تلك الموجودة في عينة التعليمات البرمجية هذه، إلى أن الاتصال كان إنهاء تأكيد الاتصال في منتصف بروتوكول أمان طبقة النقل (TLS) بسبب شهادة خادم غير موثوق بها. تشير رسالة الأشكال البيانية وليست هناك أيضًا نتائج تصحيح الأخطاء التي تبدأ بـ > أو < مؤشرات قوية لمحاولة اتصال غير ناجحة:

*** SSLv3, TLS alert, Server hello (2):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0**

تأكيد اتصال بروتوكول أمان طبقة النقل (TLS) بنجاح

يُشار إلى عملية تأكيد الاتصال الناجحة عبر بروتوكول أمان طبقة النقل (TLS) بنجاح من خلال وجود خطوط متشابهة. لتلك الموجودة في عينة التعليمات البرمجية هذه. يشير هذا المصطلح إلى مجموعة الرموز المستخدَمة في الرموز المشفّرة. يجب إدراج اتصال، كما يجب أن تكون تفاصيل الخادم المقبول الشهادة. بالإضافة إلى ذلك، فإن وجود خطوط تبدأ بـ > أو يشير < إلى أنّه يتم بنجاح نقل حركة بيانات HTTP الأساسية. عبر الاتصال المشفر باستخدام بروتوكول أمان طبقة النقل (TLS):

*   Trying 108.177.15.95:443...
* Connected to maps.googleapis.com (108.177.15.95) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/certs/ca-certificates.crt
*  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: C=US; ST=California; L=Mountain View; O=Google LLC; CN=upload.video.google.com
*  start date: Mar 23 08:24:47 2021 GMT
*  expire date: Jun 15 08:24:46 2021 GMT
*  subjectAltName: host "maps.googleapis.com" matched cert's "*.googleapis.com"
*  issuer: C=US; O=Google Trust Services; CN=GTS CA 1O1
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55c4acf0c560)
> HEAD / HTTP/2
> Host: maps.googleapis.com
> user-agent: curl/7.74.0
> accept: */*
>
> HTTP/2 302
…

كيفية طباعة شهادات الخادم التي تم استلامها بصيغة يمكن للمستخدمين قراءتها

بافتراض أنّ الناتج هو تنسيق PEM، مثلاً الناتج من openssl s_client -connect maps.googleapis.com:443 -showcerts </dev/null, يمكنك طباعة الشهادة المعروضة باتباع الخطوات التالية:

انسخ شهادة Base 64 المرمّزة بالكامل، بما في ذلك الرأس والتذييل:
```
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
```

بعد ذلك، نفِّذ ما يلي:

openssl x509 -inform pem -noout -text
````

الصق محتوى المخزن المؤقت للنسخ في الوحدة الطرفية.
اضغط على مفتاح Return.

على سبيل المثال، راجِع القسم طريقة طباعة شهادات PEM بتنسيق يمكن لشخص عادي قراءته

كيف تبدو شهادات Google الموقعة عبر بروتوكول OpenSSL؟

…
---
Certificate chain
 0 s:C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog
   i:C = US, O = Google Trust Services LLC, CN = GTS Y1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
 1 s:C = US, O = Google Trust Services LLC, CN = GTS Y1
   i:C = US, O = Google Trust Services LLC, CN = GTS Root R1
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
2 s:C = US, O = Google Trust Services LLC, CN = GTS Root R1
   i:C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = California, L = Mountain View, O = Google LLC, CN = good.gtsr1x.demo.pki.goog

issuer=C = US, O = Google Trust Services LLC, CN = GTS Y1

---
…

إدارة الشهادات الموثوق بها

كيف يمكنني التحقّق من شهادات الجذر الموثوق بها على هاتفي الجوّ��ل؟

شهادات Android الموثوق بها

كما ذُكر في السؤال هل التطبيقات للأجهزة الجوّالة معرّضة لخطر العطل؟، وقد سمح نظام Android منذ الإصدار 4.0 لمستخدمي الهواتف المحمولة بالتحقق من قائمة شهادات موثوق بها ضمن الإعدادات. يعرض هذا الجدول الإعدادات الدقيقة مسار القائمة:

إصدار Android	مسار القائمة
1.x، 2.x، 3.x	لا ينطبق
4.x و5.x و6.x و7.x	الإعدادات > الأمان > بيانات الاعتماد الموثوق بها
8.x و9	الإعدادات > الأمان الموقع > التشفير credentials > بيانات الاعتماد الموثوق بها
10+	الإعدادات > الأمان > خيارات متقدمة > التشفير credentials > بيانات الاعتماد الموثوق بها

يو��ّح هذا الجدول مدى توفّر الجذر الأكثر أهمية على الأرجح. شهادات لكل إصدار Android، بناءً على إثبات الملكية اليدوي باستخدام نظام التشغيل Android المتوفر حاليًا صور نظام الجهاز الافتراضي (AVD)، والرجوع إلى شهادات CA من AOSP سجلّ إصدارات مستودع Git، حيث لم تعُد صور النظام متاحة:

إصدار Android	جذر GTS R1	GlobalSign Root CA - R1	GlobalSign Root R2 (سارية حتى 15 كانون الأول/ديسمبر 2021)
2.3، 3.2، 4.x، 5.x، 6.x، 7.x، 8.x، 9
10+

بشكل عام، لا يمكن تحديث مخزن شهادات الجذر لنظام Android بدون تحديث البرامج الثابتة أو تزويد الجهاز بإذن الوصول إلى الجذر. ولكن على معظم أجهزة Android هي الإصدارات التي لا تزال مستخدمة على نطاق واسع، وهي المجموعة الحالية من الجذر الموثوق به فمن المحتمل أن توفر الشهادات خدمة متواصلة لسنوات متعددة تتجاوز العمر الفعلي لمعظم الأجهزة الحالية حاليًا.

يوفّر Android بدايةً من الإصدار 7.0 لمطوِّري التطبيقات طريقةً آمنة لإضافة الشهادات الموثوق بها التي لا يتم الوثوق بها إلا في التطبيق. يتم ذلك عن طريق تجميع الشهادات مع التطبيق إنشاء تهيئة مخصصة لأمان الشبكة، كما هو موضح في أفضل ممارسات الأمان ونظام التشغيل Android الخصوصية إعدادات أمان الشبكة وثيقة تدريبية.

ومع ذلك، لن يتمكن مطورو التطبيقات التابعة لجهات خارجية من التأثير في لأمان الشبكة لحركة مرور البيانات الناشئة عن حزمة APK لخدمات Google Play فمن المحتمل أن توفر هذه الجهود حلاً بديلاً جزئيًا.

في الأجهزة القديمة، سيكون الخيار الوحيد المتاح لديك هو الاعتماد على المراجع المصدقة التي يضيفها المستخدم، سواء تم تثبيتها من خلال سياسة مجموعة الشركة التي يتم تطبيقها على جهاز المستخدم أو المستخدمين النهائيين أنفسهم.

متجر موثوق به لأجهزة iOS

لا تعرض Apple المجموعة التلقائية من شهادات الجذر الموثوق بها مباشرةً. إلى مستخدم الهاتف المحمول، فإن الشركة لديها روابط بمجموعات المراجع المصدقة الجذرية الموثوق بها الإصدار 5 من نظام التشغيل iOS والإصدارات الأحدث من مقالات الدعم من Apple:

ومع ذلك، يجب أن تكون أي شهادات إضافية مثبتة على جهاز iOS مرئي ضمن الإعدادات > إعدادات عامة > الملف الشخصي: في حال عدم تضمين معلومات إضافية أحد الشهادات، قد لا يتم عرض عنصر قائمة الملف الشخصي.

يوضح هذا الجدول مدى توفُّر شهادات الجذر الأكثر أهمية. لكل إصدار iOS، بناءً على المصادر المذكورة أعلاه:

إصدار iOS	جذر GTS R1	GlobalSign Root CA - R1	GlobalSign Root R2 (سارية حتى 15 كانون الأول/ديسمبر 2021)
5، 6، 7، 8، 9، 10، 11، 12.0
12.1.3+

أين يتم تخزين شهادات الجذر للنظام وكيف يمكنني تعديلها؟

يختلف موقع مخزن شهادات الجذر التلقائي باختلاف نظام التشغيل واستخدام مكتبة SSL/TLS. ومع ذلك، في معظم توزيعات Linux، يكون الجذر الافتراضي يمكن العثور على الشهادات ضمن أحد المسارات التالية:

/usr/local/share/ca-certificates: Debian وUbuntu وRHEL الأقدم و إصدارات CentOS
/etc/pki/ca-trust/source/anchors و/usr/share/pki/ca-trust-source: Fedora، إصدارات أحدث من RHEL وCentOS
/var/lib/ca-certificates: OpenSUSE

قد تتضمن مسارات الشهادات الأخرى ما يلي:

/etc/ssl/certs: Debian، Ubuntu
/etc/pki/tls/certs: RHEL وCentOS

من المحتمل أن تكون بعض الشهادات في هذه الأدلة روابط رمزية إلى الملفات. في أدلة أخرى.

مخزن شهادات الجذر OpenSSL

بالنسبة إلى التطبيقات التي تستخدم OpenSSL، يمكنك: التحقق من الموقع الذي تم إعداده لمكوناته المثبتة، بما في ذلك الموقع يتم تخزين شهادات الجذر باستخدام الأمر التالي:

openssl version -d

يطبع الأمر OPENSSLDIR، ما يتوافق مع المستوى الأعلى دليل المكتبة وإعداداتها ضمن:

OPENSSLDIR: "/usr/lib/ssl"

يوجد مخزن شهادات الجذر في ال��ليل الفرعي certs.

ls -l /usr/lib/ssl/certs

lrwxrwxrwx 1 root root 14 Apr 21  2020 /usr/lib/ssl/certs -> /etc/ssl/certs

ls -l /etc/ssl/certs

…
-rw-r--r-- 1 root root 214904 Apr 15 17:01  ca-certificates.crt
…
lrwxrwxrwx 1 root root     50 Apr 15 16:57  GTS_Root_R1.pem -> /usr/share/ca-certificates/mozilla/GTS_Root_R1.crt
…

إذا كانت مكتبة OpenSSL تعتمد على تخزين شهادات الجذر للنظام التلقائي كما في المثال أعلاه، فراجع قسم المستوى الأعلى أين يتم تخزين شهادات الجذر للنظام وكيف يمكنني تعديلها؟ للتأكّد من أنّ حزمة شهادة جذر النظام محدَّثة.

للحصول على تعليمات حول الحصول على openssl، راجِع القسم الحصول على OpenSSL

تخزين شهادات الجذر في Java

قد تستخدم تطبيقات Java مخزن شهادات الجذر الخاصة بها، والذي يعمل على نظام التشغيل Linux تقع الأنظمة عادةً في /etc/pki/java/cacerts أو /usr/share/ca-certificates-java، الذي يمكن إدارته باستخدام Java keytool أداة سطر الأوامر.

لاستيراد شهادة فردية إلى مخزن شهادات Java، أصدر الأمر التالي:

keytool -import -trustcacerts -file cert.pem -alias alias -keystore certs.jks

ما عليك سوى استبدال cert.pem بملف الشهادة المقابل لكل ملف شهادة جذر يُنصح بها، وهي alias مع شهادة فريدة ولكنها ذات مغزى وcerts.jks مع ملف قاعدة بيانات الشهادة المستخدم في محددة.

لمزيد من المعلومات، يُرجى الرجوع إلى Oracle وStack Overflow التاليَين المقالات:

مخزن شهادات الجذر NSS في Mozilla

التطبيقات التي تستخدم Mozilla NSS أيضًا بشكل افتراضي استخدام قاعدة بيانات شهادات على مستوى النظام موجودة عادةً أقل من /etc/pki/nssdb، أو متجر تلقائي خاص بالمستخدم ضمن ${HOME}/.pki/nssdb

لتعديل قاعدة بيانات NSS، استخدِم أداة certutil.

لاستيراد ملف شهادة فردي إلى قاعدة بيانات NSS، أصدر الأمر التالي:

certutil -A -t "C,," -i cert.pem -n cert-name -d certdir

ما عليك سوى استبدال cert.pem بملف الشهادة المقابل لكل ملف شهادة جذر يُنصح بها، وهي cert-name مع شهادة ذات معنى وcertdir بمسار قاعدة بيانات الشهادة المستخدم في محددة.

لمزيد من المعلومات، يُرجى الرجوع إلى أداة certutil لأدوات NSS يدويًا، بالإضافة إلى وثائق نظام التشغيل.

تخزين شهادات الجذر Microsoft .NET

قد يعثر مطوّرو Windows .NET على الأقل على المقالات التالية من Microsoft مفيدة لتحديث مخزن شهادات الجذر:

تنسيقات ملفات الشهادات

ما هو ملف PEM؟

البريد المحسَّن للخصوصية (PEM) هو تنسيق ملف نصي قياسي لتخزين وإرسال الرموز والشهادات والمفاتيح وغيرها، حيث تم إضفاء صفة رسمية على معيار تقويض للغاية في RFC 7468

وفي حين أن تنسيق الملف نفسه يمكن للإنسان قراءته، برنامج ثنائي مرمّز باستخدام Base64 بيانات الشهادة. ومع ذلك، تسمح مواصفات PEM الانبعاثات نص توضيحي إما قبل أو بعد نص الشهادة المُشفَّر ب��ل��ص�� تست��دم العديد من الأدوات هذه الميزة أيضًا لتقديم ملخص واضح بالنص للبيانات الأكثر صلة والعناصر في الشهادة.

يمكن أيضًا استخدام أدوات مثل openssl لفك ترميز الشهادة بأكملها إلى شكل يمكن لشخص عادي قراءته. الاطّلاع على القسم طريقة طباعة شهادات PEM بتنسيق يمكن للمستخدمين قراءته لمزيد من المعلومات.

ما هو ملف ".crt". الملف؟

الأدوات التي تتيح تصدير الشهادات بتنسيق PEM شائع امتداد الملف ".crt" للإشارة إلى أن الملف يستخدم ترميزًا نصيًا.

ما المقصود بملف DER؟

قواعد الترميز المميّزة (DER) هو تنسيق ثنائي موحد لشهادات التشفير. الشهادات في PEM تكون الملفات عادةً شهادات DER المشفرة باستخدام Base64.

ما المقصود بالامتداد " .cer" الملف؟

ملف تم تصديره باستخدام " .cer" قد تحتوي اللاحقة على شهادة بترميز PEM، ولكنها في العادة عبارة عن شهادة ثنائية، بترميز DER في العادة. من اصطلاح، " .cer" تحتوي الملفات عمومًا على شهادة واحدة فقط.

يرفض نظامي استيراد جميع الشهادات من الجذر.pem

هناك بعض الأنظمة، مثل يمكن لـ Java keytool استيراد شهادة واحدة فقط من ملف PEM، حتى إذا كان يحتوي على العديد. عرض السؤال كيف يمكنني استخراج الشهادات الفردية من الجذر الجذرs.pem؟ لمعرفة كيف يمكن تقسيم الملف أولاً.

كيف يمكنني استخراج الشهادات الفردية منroots.pem؟

يمكنك تقسيم roots.pem إلى الشهادات الأساسية باستخدام ما يلي: نص bash بسيط:

csplit -z -f roots.pem. roots.pem '/-----END CERTIFICATE-----/+1' '{*}' &>/dev/null && \
for f in roots.pem.*; \
  do mv "${f}" $(openssl x509 -in "${f}" -noout -issuer_hash).pem; \
done

من المفترض أن يؤدي ذلك إلى إنشاء عدد من ملفات PEM الفردية المشابهة للملفات المُدرجة. هنا:

ls -l *.pem

-rw-r----- 1 <user> <group>  2217 Apr 28 11:04 02265526.pem
-rw-r----- 1 <user> <group>  1722 Apr 28 11:04 062cdee6.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 0a775a30.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 1001acf7.pem
-rw-r----- 1 <user> <group>  1796 Apr 28 11:04 106f3e4d.pem
-rw-r----- 1 <user> <group>  1315 Apr 28 11:04 1d3472b9.pem
-rw-r----- 1 <user> <group>  1919 Apr 28 11:04 244b5494.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 2b349938.pem
-rw-r----- 1 <user> <group>  1651 Apr 28 11:04 2c543cd1.pem
-rw-r----- 1 <user> <group>  1858 Apr 28 11:04 3513523f.pem
-rw-r----- 1 <user> <group>  2000 Apr 28 11:04 40547a79.pem
-rw-r----- 1 <user> <group>  1862 Apr 28 11:04 4a6481c9.pem
-rw-r----- 1 <user> <group>  1927 Apr 28 11:04 4bfab552.pem
-rw-r----- 1 <user> <group>  1745 Apr 28 11:04 5ad8a5d6.pem
-rw-r----- 1 <user> <group>  1813 Apr 28 11:04 607986c7.pem
-rw-r----- 1 <user> <group>  2425 Apr 28 11:04 626dceaf.pem
-rw-r----- 1 <user> <group>  1738 Apr 28 11:04 653b494a.pem
-rw-r----- 1 <user> <group>  2294 Apr 28 11:04 6b99d060.pem
-rw-r----- 1 <user> <group>  2510 Apr 28 11:04 75d1b2ed.pem
-rw-r----- 1 <user> <group>  1788 Apr 28 11:04 76cb8f92.pem
-rw-r----- 1 <user> <group>  1383 Apr 28 11:04 7f3d5d1d.pem
-rw-r----- 1 <user> <group>  1668 Apr 28 11:04 93bc0acc.pem
-rw-r----- 1 <user> <group>  1220 Apr 28 11:04 9c8dfbd4.pem
-rw-r----- 1 <user> <group>  1838 Apr 28 11:04 9d04f354.pem
-rw-r----- 1 <user> <group>  1279 Apr 28 11:04 a3418fda.pem
-rw-r----- 1 <user> <group>  2194 Apr 28 11:04 aee5f10d.pem
-rw-r----- 1 <user> <group>  1249 Apr 28 11:04 b0e59380.pem
-rw-r----- 1 <user> <group>  1882 Apr 28 11:04 b1159c4c.pem
-rw-r----- 1 <user> <group>  2346 Apr 28 11:04 b727005e.pem
-rw-r----- 1 <user> <group>  1940 Apr 28 11:04 cbf06781.pem
-rw-r----- 1 <user> <group>  2609 Apr 28 11:04 d6325660.pem
-rw-r----- 1 <user> <group>  2474 Apr 28 11:04 dc4d6a89.pem
-rw-r----- 1 <user> <group>  1358 Apr 28 11:04 dd8e9d41.pem
-rw-r----- 1 <user> <group>  1972 Apr 28 11:04 ee64a828.pem
-rw-r----- 1 <user> <group>  1462 Apr 28 11:04 eed8c118.pem
-rw-r----- 1 <user> <group>  1944 Apr 28 11:04 f081611a.pem
-rw-r----- 1 <user> <group>  1488 Apr 28 11:04 f30dd6ad.pem
-rw-r----- 1 <user> <group>  1975 Apr 28 11:04 f387163d.pem
-rw-r----- 1 <user> <group>  2632 Apr 28 11:04 fc5a8f99.pem
-rw-r----- 1 <user> <group> 72865 Apr 20 12:44 roots.pem

يمكن بعد ذلك استيراد ملفات PEM الفردية، مثل 02265526.pem. بشكل منفصل أو تحويلها إلى تنسيق ملف مخزن الشهادات المستخدم.

كيفية التحويل بين ملف PEM وتنسيق متوافق مع نظامي

أداة سطر أوامر OpenSSL يمكن استخدام openssl لتحويل الملفات بين جميع الشهادات الشائعة الاستخدام. تنسيقات الملفات. تعليمات التحويل من ملف PEM إلى ملف PEM الأكثر استخدامًا تم إدراج تنسيقات ملفات الشهادات أدناه.

للحصول على قائمة كاملة بالخيارات المتاحة، يُرجى الرجوع إلى مستندات أدوات سطر أوامر OpenSSL

للحصول على تعليمات حول الحصول على openssl، راجِع القسم الحصول على OpenSSL

كيف يمكنني تحويل ملف PEM إلى تنسيق DER؟

باستخدام openssl، يمكنك إصدار الأمر التالي لتحويل ملف من PEM. إلى DER:

openssl x509 -in roots.pem -outform der -out roots.der

كيف يمكنني تحويل ملف PEM إلى PKCS #7؟

باستخدام openssl، يمكنك إصدار الأمر التالي لتحويل ملف من PEM. إلى PKCS #7:

openssl crl2pkcs7 -nocrl -certfile roots.pem -out roots.p7b

كيف يمكنني تحويل ملف PEM إلى PKCS #12 (PFX)؟

باستخدام openssl، يمكنك إصدار الأمر التالي لتحويل ملف من PEM. إلى PKCS #12:

openssl pkcs12 -export -info -in roots.pem -out roots.p12 -nokeys

يجب إدخال كلمة مرور الملف عند إنشاء أرشيف PKCS #12. الماركة تأكد من تخزين كلمة المرور في مكان آمن، إذا لم تقم باستيراد ملف PKCS #12 إلى النظام.

إدراج الشهادات وطباعتها وتصديرها من متجر شهادات الجذر

كيف يمكنني تصدير شهادة من ملف تخزين مفاتيح Java كملف PEM؟

باستخدام keytool، يمكنك إصدار الأمر التالي لإدراج الكل الشهادات في مخزن الشهادات، إلى جانب الاسم المستعار الذي يمكنك استخدامه تصدير كل منها:

keytool -v -list -keystore certs.jks

ما عليك سوى استبدال certs.jks بملف قاعدة بيانات الشهادة المستخدَم في محددة. سيعرض هذا الأمر أيضًا الاسم المستعار لكل شهادة، وهو التي ستحتاج إليها إذا كنت تريد تصديرها.

لتصدير شهادة فردية بتنسيق PEM، يمكنك إصدار الأمر التالي:

keytool -exportcert -rfc -keystore certs.jks -alias alias > alias.pem

ما عليك سوى استبدال certs.jks بملف قاعدة بيانات الشهادة المستخدَم في وتوفير alias وalias.pem بما يتوافق مع الشهادة التي ترغب في تصديرها.

للمزيد من المعلومات، يُرجى الرجوع إلى دليل Java Platform، مرجع أدوات الإصدار العادي: keytool.

كيف يمكنني تصدير الشهادات من تخزين شهادات الجذر NSS كملف PEM؟

باستخدام certutil، يمكنك إصدار الأمر التالي لإدراج الكل الشهادات في مخزن الشهادات، إلى جانب اللقب الذي يمكنك استخدامه لتصدير كل منها:

certutil -L -d certdir

ما عليك سوى استبدال certdir بمسار قاعدة بيانات الشهادة المستخدَم في محددة. سيعرض هذا الأمر أيضًا لقب كل شهادة، وهو التي ستحتاج إليها إذا كنت تريد تصديرها.

لتصدير شهادة فردية بتنسيق PEM، يمكنك إصدار الأمر التالي:

certutil -L -n cert-name -a -d certdir > cert.pem

ما عليك سوى استبدال certdir بمسار قاعدة بيانات الشهادة المستخدَم في وتوفير cert-name وcert.pem بما يتوافق مع الشهادة التي ترغب في تصديرها.

لمزيد من المعلومات، يُرجى الرجوع إلى أداة certutil لأدوات NSS يدويًا، بالإضافة إلى وثائق نظام التشغيل.

طريقة طباعة شهادات PEM بتنسيق يمكن لشخص عادي قراءته

في الأمثلة التالية، نفترض أن لديك الملف GTS_Root_R1.pem مع المحتوى التالي:

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

طباعة ملفات الشهادات باستخدام مكتبة OpenSSL

إصدار الأمر

openssl x509 -in GTS_Root_R1.pem -text

يجب أن يُخرج شيئًا مشابهًا لـ:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
        Signature Algorithm: sha384WithRSAEncryption
        Issuer: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Validity
            Not Before: Jun 22 00:00:00 2016 GMT
            Not After : Jun 22 00:00:00 2036 GMT
        Subject: C = US, O = Google Trust Services LLC, CN = GTS Root R1
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (4096 bit)
                Modulus:
                    …
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Key Usage: critical
                Certificate Sign, CRL Sign
            X509v3 Basic Constraints: critical
                CA:TRUE
            X509v3 Subject Key Identifier:
                E4:AF:2B:26:71:1A:2B:48:27:85:2F:52:66:2C:EF:F0:89:13:71:3E
    Signature Algorithm: sha384WithRSAEncryption
        …

للحصول على تعليمات حول الحصول على openssl، راجِع القسم الحصول على OpenSSL

طباعة الشهادات باستخدام أداة مفاتيح Java

إصدار الأمر التالي

keytool -printcert -file GTS_Root_R1.pem

يجب أن يُخرج شيئًا مشابهًا لـ:

Owner: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Issuer: CN=GTS Root R1, O=Google Trust Services LLC, C=US
Serial number: 6e47a9c54b470c0dec33d089b91cf4e1
Valid from: Wed Jun 22 02:00:00 CEST 2016 until: Sun Jun 22 02:00:00 CEST 2036
Certificate fingerprints:
   SHA1: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
   SHA256: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
Signature algorithm name: SHA384withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
  CA:true
  PathLen:2147483647
]

#2: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
  Key_CertSign
  Crl_Sign
]

#3: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E4 AF 2B 26 71 1A 2B 48   27 85 2F 52 66 2C EF F0  ..+&q.+H'./Rf,..
0010: 89 13 71 3E                                        ..q>
]
]

للحصول على تعليمات حول الحصول على keytool، راجِع القسم الحصول على أداة مفاتيح Java.

كيف يمكنني الاطّلاع على الشهادات التي تم تثبيتها في متجر شهادات الجذر؟

يختلف هذا باختلاف نظام التشغيل ومكتبة SSL/TLS. ومع ذلك، فإن الأدوات التي يسمح باستيراد الشهادات وتصديرها إلى شهادات الجذر ومنها. التخزين المتوفر عادةً خيارًا لسرد الشهادات المثبتة.

بالإضافة إلى ذلك، في حال تصدير شهادات الجذر الموثوق بها إلى PEM بنجاح. أو كان مخزن شهادات الجذر يحتوي بالفعل على ملفات PEM مخزنة، محاولة فتح الملفات في أي محرر نصوص، حيث إنها تنسيق ملف نص عادي.

قد تتم تسمية ملف PEM بشكل صحيح، مما يوفر معلومات يمكن للإنسان قراءتها هيئة إصدار الشهادات ذات الصلة (مثال من حزمة CA الجذر الموثوق بها من Google):

# Operating CA: Google Trust Services LLC
# Issuer: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Subject: C=US, O=Google Trust Services LLC, CN=GTS Root R1
# Label: "GTS Root R1"
# Serial: 6e:47:a9:c5:4b:47:0c:0d:ec:33:d0:89:b9:1c:f4:e1
# MD5 Fingerprint: 82:1A:EF:D4:D2:4A:F2:9F:E2:3D:97:06:14:70:72:85
# SHA1 Fingerprint: E1:C9:50:E6:EF:22:F8:4C:56:45:72:8B:92:20:60:D7:D5:A7:A3:E8
# SHA256 Fingerprint: 2A:57:54:71:E3:13:40:BC:21:58:1C:BD:2C:F1:3E:15:84:63:20:3E:CE:94:BC:F9:D3:CC:19:6B:F0:9A:54:72
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----

وقد يحتوي الملف أيضًا على جزء الشهادة فقط. في مثل هذه الحالات، يكون اسم الملف، مثل GTS_Root_R1.pem لوصف مرجع التصديق الذي تنتمي إليه الشهادة. سلسلة الشهادة بين الرمزان المميزان -----BEGIN CERTIFICATE----- و-----END CERTIFICATE----- تضمن أيضًا أن تكون فريدة لكل مرجع تصديق.

ومع ذلك، حتى إذا كنت تفتقد الأدوات المذكورة أعلاه، ونظرًا لأن كل شهادة في حزمة CA الجذر الموثوق بها من Google هي بشكل صحيح، يمكنك مطابقة شهادات CA الجذرية من مصدر الشهادة تخزن تلك الشهادات من شهادات الجذر إما عبر Issuer، أو من خلال مقارنة سلاسل شهادة ملف PEM

قد تستخدم متصفّحات الويب مخزن شهادات الجذر الخاصة بها، أو تعتمد على الإعدادات التلقائية. واحد توفره التشغيل. ولكن يجب أن تسمح لك جميع المتصفحات الحديثة إدارة أو على الأقل عرض مجموعة المراجع المصدقة الجذر التي يثقون بها. عرض السؤال هل تطبيقات JavaScript معرّضة لخطر العطل؟ لمزيد من التفاصيل.

للحصول على تعليمات خاصة بالهاتف الجوّال، راجع السؤال المنفصل كيف يمكنني التحقّق من شهادات الجذر الموثوق بها ��لى هاتفي الجوّال؟

الملحق

هل أنت بحاجة إلى مزيد من المعلومات؟

تعتمد دومًا بشكل أساسي على وثائق نظام التشغيل لغات برمجة تطبيقك، بالإضافة إلى الوثائق من وأي مكتبات خارجية يستخدمها التطبيق.

أي مصدر آخر للمعلومات بما في ذلك هذه الأسئلة الشائعة قد يكون قديمًا أو غير صحيح، ولا ينبغي اعتباره موثوقًا. ومع ذلك، يمكنك لا تزال تجد معلومات مفيدة حول العديد من منتديات الأسئلة والأجوبة في Stack Exchange، بصفتك بالإضافة إلى مواقع مثل AdamW على نظام التشغيل Linux والمزيد وتأكيد المدونة، من بين عوامل أخرى.

يُرجى أيضًا الاطّلاع على الأسئلة الشائعة حول خدمات الثقة في Google

للاطلاع على مزيد من التفاصيل حول الموضوعات المتقدمة، مثل تثبيت الشهادة، يمكنك البحث عن مشروع أمان تطبيق الويب المفتوح (OWASP) تثبيت الشهادة والمفتاح العام المقالة ورقة الملاحظات الموجزة لتثبيت التطبيق وغنية بالمعلومات. للحصول على التعليمات الخاصة بنظام Android، يُرجى الرجوع إلى أفضل ممارسات الأمان ونظام التشغيل Android الخصوصية الأمان باستخدام HTTPS وطبقة المقابس الآمنة وثيقة تدريبية. للنقاش حول تفعيل الشهادة مقابل تثبيت المفتاح العام Android، قد تجد مشاركة المدونة التي نشرها "ماثيو دولان" أمان Android: تثبيت طبقة المقابس الآمنة مفيدة.

أفضل ممارسات Android المتعلقة بالأمان تدريب على الخصوصية والأمان بالإضافة إلى مشاركة مدونة JeroenHD نظام التشغيل Android 7 Nougat ومراجع التصديق تقديم المزيد من المعلومات حول إدارة الشهادات الإضافية الموثوق بها على Android

للحصول على قائمة شاملة بشهادات CA الجذرية الموثوق بها لدى AOSP، يُرجى الرجوع إلى شهادات CA Git. لأي إصدارات تستند إلى شوكة Android غير رسمية، مثل تشير LineageOS إلى المستودعات المناسبة التي يوفرها مورّد نظام التشغيل.