ما هي شهادة الأمان SSL؟

لعلك تلاحظ في غالبية المواقع التي تزورها أن الموقع يبدأ بـ HTTPs وليس HTTP، وتكون مكتوبة باللون الأخضر (دلالة على الأمان)، ماذا يعني حرف الـ S هنا؟ وما هو الأمان الذي نتحدث عنه؟ ما الذي يدفع شركة جوجل لأن تظهر كلمة Not Secure بشكل واضح على متصفحها كروم عندما تقوم بتصفح موقع لا يستخدم شهادة الأمان SSL؟

شهادة الأمان SSL

البروتوكول الذي يقوم عليه عمل مواقع الإنترنت هو Hyper Text Transfer Protocol على مخرج رقم 80 (لنفترض أن المراسلات تتم عبر أنابيب مرقّمة، وهنا البروتوكول يستخدم الأنبوب رقم 80)، المشكلة في هذا الأنبوب أن المراسلات فيه تكون غير مشفرة، وهو وضع طبيعي في بعض الحالات (أو كان كهذا في السابق كما سنرى بعد قليل)، لكن المواقع التي تتطلب تفاعلاً من المستخدم، مثل أن يتم عليها تسجيل دخول للمستخدم بكلمة سر، أو عمليات شراء ودفع إلكتروني أو غير ذلك، حتى لو كان الموقع محتوى فقط كالذي تقرأ منه حالياً، يجب عليها استخدام بروتوكول أكثر أماناً من HTTP، وهو النسخة المشفرة منه HTTPs اختصاراً لكلمة Secure، ويعمل هذا البروتوكول على مخرج (أنبوب) رقم 443، أي أنه بروتوكول مختلف كلياً عن HTTP.

في السابق كان من الطبيعي أن تعمل المواقع على بروتوكول HTTP العادي، لكن نظراً لأهمية معرفة تشفير البيانات والمراسلات عند جميع مستخدمي الإنترنت، توسع استخدام البروتوكول الآمن HTTPs خلال السنين الماضية، ولهذا قامت جوجل عام 2014 باعتبار التشفير أحد معايير ترتيب الموقع وصفحاته في نتائج محرك البحث، أي ما يطلق عليه تحسين محركات البحث SEO، وبعدها بعدة سنوات، بدأت بإظهار كلمة Not Secure كما رأينا في الأعلى، لتشجيع ثقافة الإنترنت الآمن بين جميع المستخدمين.

فهمنا الآن المغزى من استخدام هذا البروتوكول، بقي الآن أن نعرف كيف يمكننا استخدامه، وهل هو متاح للجميع ومجاني مثل HTTP؟ أي هل يمكننا الحصول على شهادة الأمان SSL مجانا؟

كيف يعمل بروتوكول HTTPs؟

شهادة الأمان SSLلاستخدام بروتوكول HTTPs عليك تنصيب ما يسمى شهادة SSL، اختصاراً لـ Secure Socket Layer، ولنتجاوز جميع المفاهيم التقنية هنا، هذه الشهادة تسمح للخادم الذي عليه الموقع (الاستضافة) بالتواصل ونقل البيانات مع متصفح جهازك (مثل جوجل كروم) باستخدام مستوى أمان عالي، أي أن تصفحك للموقع، وإرسالك أي بيانات له (مثل تعبئة نموذج، كلمة سر، بطاقة دفع) سيكون مشفّراً باستخدام طرق تشفير مختلفة، تضمن عدم نقل البيانات كنص قابل للقراءة Plain Text في حال استطاع أحد سرقة البيانات أثناء انتقالها بين متصفحك والموقع الذي تتصفحه.

من ناحية أخرى، تعطي الشهادة مصداقية للموقع أن صاحبه معروف (على الأقل باسم الدومين) كما سنرى بعد قليل، وفي بعض الأنواع يمكن التأكد من أن الموقع يتبع لشركة مسجّلة رسمياً حسب نوع شهادة SSL المستخدمة.

هل شهادة الأمان SSL مجانية؟

نعم ولا، هناك العديد من أنواع شهادة الأمان SSL حسب متطلبات الموقع، ودرجة موثوقيتها ومصداقية الجهة التي تصدرها، فهي بالأساس تقوم شركات بإنشائها بناءً على أسس تشفير مختلفة، وتبيعها (أو تقدمها مجاناً، المزيد عن ذلك بعد قليل) للزبائن الذي يقومون بتنصيب هذه الشهادات على مواقعهم، يتراوح سعر الشهادة المدفوعة بين 30$ إلى عدة مئات من الدولارات سنوياً (يتم تجديدها سنوياً بالطبع)، وهناك بالطبع جهات غير ربحية مثل Let’s Encrypt (أي: هيا بنا نشفّر) بطرح شهادات SSL مجانية دون أي مقابل، ومتوافقة مع غالبية أنواع الاستضافات الموجودة اليوم عن طريق تعاونها مع cPanel وشركات استضافة عالمية لتسهيل عملية تنصيب الشهادات، وإذا أردت التحقق من شركة الاستضافة التي تتعامل معها إن كانت تدعم هذه الشهادة، فيمكنك البحث في هذه القائمة.

ما هي أنواع شهادات الأمان SSL؟

تقسم شهادات SSL إلى 3 درجات، سنتكلم عنهم ببعض التفصيل هنا:

1.شهادة التحقق من النطاق Domain Validated Certificate

وهي أدنى درجات الشهادة، وتصلح للمواقع التي تكون أشبه بالمدونات أو المواقع التي لا تحتاج أسس تشفير متقدمة، هذه المواقع التي تقدم محتوى فقط لن تحتاج إلى إرسال بيانات من المستخدم بالغالب، ولهذا لا مشكلة في استخدامها في المدونات والمواقع الصغيرة.

هذه الشهادة تخبرك بأن نطاق الموقع مسجّل ومعروف وأنه حقيقي، يتم التحقق من ذلك باستخدام الايميل المسجل لصاحب النطاق، تستخدم الشهادة تشفير باستخدام 256 بت مثل غيرها، ونحن نستخدم هذه الشهادة لموقعنا أقوى الاستضافات HostingTops، كما ترى في شريط العنوان (لمعرفة معلومات الشهادة، اضغط على إشارة القفل قرب اسم الموقع، ثم اختر Certificate، ستظهر لك معلومات الشهادة ومصدرها كاملة) فموقعنا هنا لا يحتاج إلى أكثر من ذلك كونه موقع محتوى فقط. لا تحتاج هذه الشهادة إلى أكثر من دقائق لإصدارها، كونها شبه تلقائية دون أي تدخل بشري.

بالمناسبة، إذا كانت استضافتك تدعم لوحة تحكم cPanel، فبالغالب يمكنك الحصول على هذا النوع من الشهادات مجاناً، وسنشرح ذلك في مقال آخر عن كيفية تنصيب شهادة SSL مجاناً.

عندما تكون صاحب موقع تجارة إلكترونية، أو هناك تفاعل بين موقعك والمستخدمين، خصوصاً عمليات شراء وتبادل بيانات، ننصحك باستخدام درجة شهادة أمان SSL أعلى من هذه، مثل النوع الثاني والثالث.

2. شهادة التحقق من الشركة (المؤسسة) Organization Validated Certificate

إذا كان موقعك يتطلب من المستخدمين إدخال بعض بياناتهم، أو لديك تطبيقات على الموقع تتطلب من المستخدمين التسجيل (مثل الألعاب)، فشهادة الأمان SSl هذة هي الخيار الأفضل لك، كونها لا تقتصر فقط على ضمان مصداقية صاحب الدومين مثل النوع الأول، بل تطلب من صاحب الموقع (الدومين) إثباتات إضافية عن الموقع، مثل أنه شركة مسجلة بأوراق رسمية، أو كشوفات حسابات، أو غير ذلك، ويعتمد هذا على شروط الجهة المصدرة للشهادة وتسمى Certificate Authority CA. إصدار الشهادة يتطلب من يوم إلى 3 أيام حسب الجهة المصدّرة أيضاً.

شركة مسجلةمن ناحية تقنية، لا تختلف هذه الشهادة عن سابقتها، فالاثنتان تستخدمان نفس درجة التشفير وهي 256 بت، لكن الفرق هو ما وضحناه في النقطة الأولى، وهذا يضمن أن مستخدمي المواقع التي تملك هذا النوع من الشهادة سيكونون واثقين أن الموقع مسجّل ورسمي في الدولة الموجود فيها الموقع، وليس موقع هاوي من الممكن أن يسرق بياناتهم في حال تعبئة أي معلومات.

هناك عدة أنواع فرعية لهذه الشهادة، أو لنقل ميزات، مثل Wildcard Validation التي تتيح لصاحب الموقع أن يقوم بإنشاء دومينات فرعية لا نهائية تحت اسم الدومين الرئيسي، وتبقى جميعها موثقة باستخدام الشهادة الأم للدومين الأصلي، وهناك ميزة Multi-domain Validation التي تتيح لصاحب الموقع (الدومين) أن يقوم بتنصيب الشهادة على أكثر من دومين يملكه.

هذا النوع يصلح لجميع المواقع والمتاجر الإلكترونية المتوسطة وكبيرة الحجم (وحتى العالمية كما سنرى بعد قليل) والتي يتم عليها عمليات شراء وبيع إلكترونية بحيث تضمن الشهادة أن الموقع حقيقي، وأن المعلومات التي تقدمها للموقع مشفرة وآمنة، وهذا النوع يمكن تحصيله مقابل 50$-200$ أو أكثر.

3. شهادات التحقق الموسّعة Extended Validation Certificate

هذا النوع من شهادة الأمان SSL لا يحتاجه الغالبية، نظراً لأنه يتطلب إجراءات معقدة أكثر من النوع الثاني Organization Validation، ما يميزه أنه يقوم بإظهار اسم الشركة في شريط العنوان بجانب الدومين، والدولة التي تم تسجيل الموقع فيها، مثل هذه الصورة:

شهادة أمان Extended Validation SSL

هذه الشهادة تفيد أن الموقع مسجّل في دولة ايرلندا، باسم سجل رسمي Hostedo Limited، تضمن الشهادة أنه تم التواصل مع الجهة مالكة الموقع لضمان أنه موقع فعلي ولديه أوراق ثبوتية تثبت ذلك.

ستستغرب لو قلنا لك أنه من ناحية نوع التشفير (الأمان) فهذا النوع لا يختلف عن الأنواع السابقة، فائدته (الوحيدة) كما تقول الشركات المتخصصة بإصدار شهادات SSL أنه يعطي “طمأنينة” لزائر الموقع في حال كان يريد الشراء من الموقع، أو إدخال معلومات حسّاسة مثل معلومات بطاقته الائتمانية، فحتى عندما يكون هناك محاولة احتيال لسرقة معلومات زوار موقع عن طريق التلاعب باسم الدومين (لنفترض أن أحداً استخدم موقع amzon بدل Amazon)، فلن يستطيع هذا الشخص الحصول على اسم الشركة ظاهراً بجانب موقعه المزيف.

هل جميع المتاجر الإلكترونية أو المواقع العالمية تحتاج هذا النوع من الشهادة؟

هناك جدل كبير بين مختصي تراسل وتشفير البيانات حول هذا النوع من الشهادات، فلو ألقيت نظرة سريعة على أكبر المواقع العالمية، ستجد أن غالبها لا يستخدم هذا النوع من الشهادة، لماذا؟ لأنه في نظرهم شهادة Organization Validation كافية لإثبات أن الموقع وشركته مسجّلة وحقيقية، ولا داعي لأن يظهر اسم الشركة بجانب الدومين، وهذه بعض الأمثلة:

شهادة الأمان SSL

ما رأيك؟ هذه أكبر مواقع العالم، وجميعها يستخدم شهادة OV SSL فقط، إذاً من يستخدمها؟

للأمانة، أكثر المواقع التي تستخدم هذا النوع من الشهادة هي المواقع التي تتربح من بيعها، أي باختصار، المواقع التي تبيع شهادات SSL مثل DigiCert، وموقع Global Sign ومتجر الـ SSL، نقصد TheSSLStore وهو من أكبرهم.

ماذا نقصد بهذا؟

فعلياً، هذا النوع من الشهادات تسويقي ولم يعد له أثر كما كان في السابق، تستفيد منه الشركات التي تبيعه فقط، وحتى أن الكثير من المتصفحات على الهواتف لم تعد تظهر اسم الشركة في شريط العنوان (كون المساحة محدودة، فيظهر اسم الموقع أو الدومين فقط)، لهذا تركت المواقع العالمية الكبرى هذا التوجه، لتشجع الناس على استخدام الـ Organization Validation Certificate.

كيف يمكن معرفة معلومات شهادة الأمان SSL لأي موقع؟

يقوم متصفح جهازك بالتحقق من كل شهادة Secure في شريط العنوان، يقوم المستخدم بفتح موقعها، فلو ضغطت على كلمة HTTPs في أي موقع، سترى بعض المعلومات عن الشهادة ومصدرها مثل هذه الصورة لشهادة موقع جوجل:

شهادة SSL

كيف يمكنني الحصول على شهادة الأمان SSL مجاناً أو شراءها لموقعي؟

عندما تريد أن تشتري استضافة، سيعرض عليك الموقع شراء شهادة SSL ، فإذا كنت بحاجة للنوع الثاني من الشهادات (Organization Validation)، والموقع يتمتع بمصداقية عالية (جميع المواقع التي ذكرناها في مقالنا عن مزودي الاستضافة ذات مصداقية عالية)، وكان السعر مناسب (متوسط 50$-70$ تقريباً)، يمكنك طلبها أثناء تسجيل اسم موقعك الجديد، والفائدة هنا من شراءها من نفس الموقع هو أنهم سيقومون بتركيبها لك على موقعك، على عكس شراءك للشهادة من موقع مختلف عن موقع الاستضافة.

أما إذا كان موقعك مدونة أو يقدم محتوى فقط وليس عليه عمليات بيع وشراء، فيمكنك الحصول على الشهادة بشكل مجاني بطريقتين:

الحصول على شهادة SSL مجانية من موقع Let’s Encrypt

كيف يمكنني الحصول على شهادة SSL مجانية من موقع CloudFlare؟

هل بقي لديك أي سؤال أو استفسار؟ اسألنا في التعليقات أو تواصل معنا وسنسعد بمساعدتك.