إذا كنت صاحب موقع إلكتروني وتهتم بامتلاك بيئة برمجية آمنة، فإن شهادات SSL تعتبر عنصرًا أساسيًا من عناصر أمان موقعك، وإعطاء ثقة للمستخدمين في استخدام موقعك.
في هذه المقالة سنتعرف ما هي شهادات الأمان (SSL Certiciates)، وكيف تعمل، وما هي أنواعها، وكيف يمكنك الحصول عليها وتنصيبها لموقعك. وهل يمكن الحصول عليها بشكل مجاني؟ وما هي أنواعها والفائدة منها؟
محتويات المقالة:
ما هي شهادات SSL
باختصار فإن شهادات SSL هي التي تقوم بإظهار موقعك في المتصفح بامتداد HTTPS بدلًا من HTTP من HTTP، وهذا الامتداد يشير إلى أن موقعك أكثر أمانًا حيث يقوم ببإنشاء اتصال مشفر بين الخادم والعميل.
فمثلًا إذا كان موقع ووردبريس بالعربية يحتوي على شهادة SSL سيظهر للمستخدم بهذا الشكل: HTTPS://www.wpar.net
أما في حالة كان لا يمتلك شهادة SSL ، فسيظهر للمستخدم بهذا الشكل: HTTP://www.wpar.net
ولكن اطمئن فقد قمنا باستخدام شهادة أمان موثوقة في موقع ووردبريس بالعربية 🙂
هل الفارق هو إضافة حرف "S"، فقط لنطاق موعي؟
هذا الحرف ما يظهر للمستخدم، أما في الحقيقة فإن هذا يعني للمستخدم أن اتصالك بهذا الموقع آمن ومشفّر؛ حيث تتم مشاركة أي بيانات تدخلها بأمان مع هذا الموقع، ولكن ما يحدث في الخلفية أكبر من ذلك بكثير، حيث تعتبر SSL ملفات بيانات صغيرة، تقوم بإنشاء إرتباط مشفر بين خادم الويب والمتصفح. يضمن هذا الارتباط أن تظل جميع البيانات التي يتم تمريرها بين خادم الويب والمتصفح خاصة وسرية.
عندما تقرر زيارة موقع على الإنترنت (في حال كان هذا الموقع يملك شهادة SSL)، أو شيء يقوم به متصفحك هو إنشاء إتصال مع خادم الويب، وبعد ذلك يحدث الربط ما بين المتصفح والخادم. هذا الربط وبسبب أن الموقع لديه شهادة أمان، يعتبر إرتباطاً آمنناً وبالتالي تكون المعلومات التي بينك وبين الموقع آمنة وغير معرضة للسرقة.
بمعنى آخر، عندما تقوم بزيارة موقع ويب لديه شهادة SSL، سيقوم متصفحك بتكوين اتصال بخادم الويب، ثم يقوم بربط المتصفح والخادم. يعتبر هذا الربط آماناً لضمان عدم تمكن أي شخص غيرك وموقع الويب من رؤية ما تكتبه أو الوصول إليه.
ما الذي تستفيد منه المواقع عند استخدام SSL؟
يسمح بروتوكول SSL بنقل المعلومات الحساسة مثل أرقام بطاقات الائتمان وبيانات اعتماد تسجيل الدخول بأمان. عادة، يتم إرسال البيانات المرسلة بين المتصفحات و خوادم الويب بنص عادي، وهذا يعني أن هذه المعلومات يمكن مشاهدتها وإستخدامها في حالة عدم وجود بروتوكل SSL.
أما في حالة وجود بروتوكول SSL فإنه يتم تشفير تلك البيانات، وهذا يعني زيادة أمان بيانات المستخدمين، وزيادة ثقة المستخدمين في موقعك لأن هذا البروتوكل يظهر لهم كما أوضحنا، لتتم عملية الإتصال بشكلٍ يشبه الشكل التالي 🙂
ما هي أنواع شهادات SSL
هناك عدة أنواع شهادات الأمان التي يمكن الحصول عليها ومنها:
1-شهادات EV
تُظهر هذه الشهادة القفل و HTTPS واسم النشاط التجاري وبلد العمل في شريط العناوين لتقليل الخلط بينك وبين موقع ويب غير مرغوب فيه. على سبيل المثال، إذا كان موقعك على الويب يعالج أمور الدفع والشراء أو يجمع البيانات، فقد ترغب في الحصول على هذه الشهادة.
تعتبر هذه الشهادة من أعلى شهادات الأمان تصنيفاً، وغالباً تستعمل من قبل المواقع التي تحتاج تأكيدً للهوية مثل (المواقع التي تحتاج إلى البيانات أو عمليات تسجيل الدخول أو الأمور المتعلقة بالدفع والشراء عبر الإنترنت).
2- شهادة OV
تتحقق هذه الشهادة من صحة مؤسستك وتتحقق من صحة المجال. توفر شهادات SSL هذه، مستوى متوسطًا من التشفير. تقوم هذه الشهادة بتشفير المعلومات المهمة والحساسة بالنسبة للمستخدمين أثناء التعاملات، كذلك تعرض الشهادة معلومات صاحب موقع الويب في شريط العناوين.
تستخدم هذه الشهادة غالباً من قبل المواقع التجارية والمواقع التي تريد إبقاء معلومات العملاء سرية.
3- شهادة DV
تتحقق هذه الشهادة من صحة المجال ولكن بأقل قدر وإمكانيات من التشفير وتظهر كقفل أخضر بجوار عنوان URL في شريط العنوان. تستخدم عادة من قبل مواقع الويب المختصة بالإعلانات أو المدونات.
عملية الحصول على الشهادة تتطلب فقط اثبات ملكية المجال من خلال الرد على بريد إلكتروني أو مكالمة هاتفية، ويمكنك الحصول على هذه الشهادة بسرعة وبتكلفة أقل من باقي الشهادات.
4- شهادات Wildcard SSL
تضمن Wildcard SSLs أنه إذا اشتريت شهادة لمجال واحد، فيمكنك استخدام نفس الشهادة للنطاقات الفرعية.
على سبيل المثال، لدينا النطاق الأساسي (www.cloudfare.com) والذي يحتوي على عدد من المجالات الفرعية مثل (blog.cloudflare.com) و (support.cloudflare.com) و(developer.cloudflare.com). هذه المجالات هي مجالات فرعية، ضمن المجال الأساسي (cloudflare.com).
بالتالي عند الحصول على شهادة Wildcard SSL، ستحصل على شهادة أمان للمجال الأساسي ومجالاته الفرعية أيضاً.
5-شهادة SSL للاتصالات الموحدة (UCC)
تُعرف شهادات الاتصالات الموحدة (UCC)، أيضًا باسم شهادات SSL متعددة المجالات، أي إنه بإمكانك استخدام أسماء نطاقات متعددة على نفس الشهادة.
وفي المقابل فإن شهادة SSL ذات المجال الواحد، تستخدمها لنطاق واحدًا فقط.أي أنه لا يمكنك استخدامها لحماية النطاقات الفرعية أو نطاق مختلف تمامًا.
كيف تعمل شهادات SSL
يقوم مبدأ عمل SSL على مفهومين (التشفير غير المتماثل و التشفير المتماثل)، حيث يستخدم بروتوكول SSL التشفير غير المتماثل والمتماثل لنقل البيانات بين المتصفح وخادم الويب بأمان.
مفاهيم يجب معرفتها، قبل معرفة آلية عمل SSL:
- المفتاح العام (private key)، يكون مرئي ومعروف للجميع.
- المفتاح الخاص (public key)، يكون سري وخاص وتحصل عليه عند الحصول على الشهادة.
- مفتاح الجلسة (session key)، يتم استخدامه لتشفير جميع البيانات المرسلة.
التشفير غير المتماثل
التشفير غير المتماثل، يعرف كذلك ب (تشفير المفتاح العام) ويستخدم زوجاً من المفاتيح لتشفير البيانات وفك تشفيرها. الفكرة هنا، أنه يتم مشاركة مفتاح واحد من المفاتيح مع المستخدم الذي يطلب ذلك ويبقى المفتاح الثاني سراً ويسمى المفتاح الخاص.
هذا يعني أنه لا يمكن فك تشفير البيانات المرسلة إلى من خلال استخدام المفتاح العام ذي الصلة.
يستخدم SSL التشفير غير المتماثل لبدء الاتصال المعروف باسم مصافحة SSL.
التشفير المتماثل
الفكرة في التشفير المتماثل، أنه يوجد مفتاح واحد فقط يقوم بتشفير وفك تشفير البيانات وهذا المفتاح يجب أن يكون لدى كل من المرسل والمستقبل هذا المفتاح، وهو معروف لهما فقط.
يستخدم SSL التشفير المتماثل بعد إتمام عملية الاتصال الأولي.
ماذا يحدث في بروتوكل SSL بالخلفية
بدايةً، سيقوم المتصفح وخادم الويب بإنشاء اتصال SSL باستخدام عملية تسمى المصافحة (SSL Handshake). هذه المصافحة تحدث بشكل سريع جداً ولا تلاحظ من قبل المستخدم.
كيف تحدث مصافحة SSL:
- يرسل العميل الطلب (Hello message)، والتي تحتوي على (رقم إصدار الشهادة و إعدادات التشفير ، والبيانات الخاصة بالجلسة والمعلومات الأخرى التي يحتاجها الخادم للتواصل مع العميل باستخدام SSL.)
- يستجيب الخادم برسالة "Hello message". يتضمن ذلك (رقم إصدار SSL للخادم، وإعدادات التشفير، والبيانات الخاصة بالجلسة، شهادة SSL بمفتاح عام).
- يتحقق العميل من شهادة SSL للخادم من CA (المرجع المصدق) ويصادق الخادم. إذا فشلت المصادقة، فإن العميل يرفض اتصال SSL. إذا نجحت المصادقة، عليك بالانتقال إلى الخطوة 4.
- ينشئ العميل مفتاح جلسة، ويشفر بالمفتاح العام للخادم ويرسله إلى الخادم. إذا طلب الخادم مصادقة العميل، يرسل العميل شهادته الخاصة إلى الخادم.
- يفك الخادم تشفير مفتاح الجلسة بمفتاحه الخاص ويرسل الإقرار إلى العميل المشفر باستخدام مفتاح الجلسة.
وبالتالي، في نهاية مصافحة SSL، يكون لدى كل من العميل والخادم مفتاح جلسة صالح سيستخدمانه لتشفير البيانات الفعلية أو فك تشفيرها.
ما هي المعلومات التي تحتوي عليها شهادة SSL؟
تحوي شهادات SSL على مجموعة من المعلومات ومنها:
- اسم المجال الذي تم إصدار الشهادة له.
- الشخص أو المنظمة أو الجهاز الذي تم إصدارها له.
- المجالات الفرعية المرتبطة.
- تاريخ اصدار الشهادة.
- تاريخ انتهاء صلاحية الشهادة.
- المفتاح العام
كيف يمكن الحصول على شهادة SSL مجانًا
يمكن الحصول على شهادات SSL من شركة Let’s Encrypt، بشكل مجاني وهي شركة أعطت شهادات لأكثر من 225 مليون موقع. كذلك حصلت هذه الشركة على دعم شركات كبيرة مثل (Google و Facebook و Shopify و WordPress.com وغيرها).
تكمن الصعوبة هنا، أنك يجب أن خبيراً بعض الشيء بأمور التشفير وأنظمة الخادم لكي تستطيع تثبيت الشهادة على موقعك.
إذا كنت مبتدئًا، فإن هنا العديد من شركات الاستضافة تقدم لك شهادة SSL مجانية مع جميع خطط الاستضافة الخاصة بها، وبهذه الطريقة يمكنك تثبيت الشهادة بسهولة ودون الحاجة إلى خبرة كبيرة.
بعض من شركات الإستضافة التي تقدم شهادة SSL مجانية:
وغيرها من الشركات الموثوقة التي توضح ذلك للمستخدم غالبًا، في صفحة شراء الاستضافة.
إذا كنت تستخدم بالفعل إحدى هذه الشركات، فيمكنك تشغيل شهادة SSL المجانية الخاصة بك من لوحة تحكم الاستضافة. ما عليك سوى تسجيل الدخول إلى لوحة تحكم cPanel ، والذهاب إلى قسم "Secutity"، ومن خلالها تستطيع تثبيت شهادة SSL على موقعك الخاص.
بعد تثبيت شهادة SSL، سيكون عليك إعداد الووردبريس لكي تبدأ بإستخدام HTTPS عوضاً عن HTTP، ويمكنك تثبيت الشهادة على موقعك بكل سهولة عن طريق تثبيت وتفعيل إضافة (Really Simple SSL).
عند التنشيط، ستقوم الإضافة بالتحقق لمعرفة ما إذا تم تمكين شهادة SSL الخاصة بك. بعد ذلك، سيتم تشغيل إعادة توجيه HTTP إلى HTTPS وتغيير إعدادات موقع الويب لبدء استخدام SSL / HTTPs.
يجب الإنتباه، إلا أن هذه الشركات تقدم شهادة SSL لمواقع واحد أما لو كان لديك أكثر من موقع، ستحتاج إلى أكثر من شهادة من مزود الاستضافة.
اقرأ أيضًا: الحصول على شهادة SSL مجانًا من خلال sslforfree
الأسئلة الشائعة
كيف يمكن معرفة ما إذا كان الموقع به SSL؟
يمكنك استخدام أداة لفحص وجود شهادات SSL من عدمها، وهي أداة مجانية.
ما فائدة شهادة SSL لتحسين محركات البحث؟
وفقًا لمحللي اتجاهات مشرفي المواقع من Google، تعد طبقة شهادات الأمان جزءًا من خوارزمية ترتيب البحث في جوجل، والمواقع التي تمتلك الشهادة هي أكثر فرصة من المواقع التي لا تمتلك شهادة SSL.
أين يمكن الحصول على شهادات SSL؟
الجزء الأكثر أهمية في شهادة SSL هو مصدرها. يتم إصدار شهادات SSL من قبل المراجع المصدقة (Certificate Authorities)، وهي مؤسسات موثوق بها للتحقق من هوية وشرعية أي كيان يطلب شهادة.
من يحتاج إلى شهادة SSL؟
أي فرد أو منظمة تستخدم موقع الويب الخاص بها لطلب أو تلقي أو معالجة أو جمع أو تخزين أو عرض معلومات للمستخدمين أو حساسة. منها:
- تسجيلات الدخول وكلمات المرور
- المعلومات المالية (على سبيل المثال، أرقام بطاقات الائتمان والحسابات المصرفية)
- البيانات الشخصية (مثل الأسماء والعناوين وأرقام الضمان الاجتماعي وتواريخ الميلاد)
- معلومات الملكية
- الوثائق والعقود القانونية
بشكل عام، يجب الإنتباه أنه في حال أنك لا تملك شهادة أمان لموقعك، فإن المتصفح سوف يعطي إشارة أن الموقع غير آمن، وبالتالي فهي ضرورية لأي صاحب موقع.
ما هي إضافات الووردبريس التي تساعد على تثبيت SSL؟
يوجد العديد من الإضافات التي تمكنك تثبيت شهادات الأمان ومنها:
بشكل عام اليوم، وبظل الإهتمام الكبير بآمن ومعلومات المستخدمين، سوف تحتاج إلى الحصول على شهادة أمان لموقعك لزيادة الحماية والأمان وكذلك لتحسين ظهور موقعك وزيادة الجمهور الخاص بك.
اريد مساعدة في تثبيت شهادة SSL لموقعي الخاص
شاهد هذا الشرح:
https://www.wpar.net/getting-free-ssl-certficiate/