مقدمة لشهادات SSL لـ WooCommerce

نشرت: 2015-12-24

يتمثل جزء من عملية بدء متجر عبر الإنترنت في إيجاد طريقة لتأمين التجربة للمتسوقين. تريد بالطبع أن يشعر عملاؤك المحتملون بالأمان وأن يعرفوا أن بياناتهم لن تقع في الأيدي الخطأ.

إذا كنت جديدًا في مجال التجارة الإلكترونية ، فربما تكون قد سمعت بعض الأحاديث حول شهادات SSL أو HTTPS كجزء من عملية الأمان هذه. وقد تكون في حيرة من أمرك. استرخ - هذا طبيعي ، ويمكننا المساعدة.

يبدو أن بروتوكول SSL موضوع معقد ، ولكن بمجرد أن تفهم الفرضية ولماذا قد يحتاجها متجرك ، فلن تضطر إلى قضاء أي وقت في القلق بشأنه . في الواقع ، بالنسبة لمعظم مالكي المتاجر ، يمكنك الحصول على شهادة لإضافة SSL إلى متجرك في غضون دقائق قليلة.

دعنا نتعرف على ماهية SSL ، ولماذا قد تحتاجها ، وكيف يمكنك الحصول على شهادة لمتجرك. في نهاية هذا المنشور ، يجب أن يختفي ارتباكك ، ويجب أن تكون أكثر استعدادًا لبدء البيع عبر الإنترنت.

وأوضح شهادة SSL

لفهم ماهية شهادة SSL ولماذا قد تحتاج إليها ، دعنا أولاً نلقي نظرة سريعة على التكنولوجيا التي تقف وراءها.

درس سريع عن SSL

يرمز SSL إلى "طبقة مآخذ التوصيل الآمنة" ، على الرغم من أنها تسمى أحيانًا "أمان طبقة النقل" (أو TLS). SSL بمفرده هو بروتوكول يستخدم لتأمين وحماية المعاملات - وإن لم يكن بالضرورة المعاملات المالية - بين الوجهات على الشبكة .

يعتمد SSL على التشفير لجعل هذه المعاملات خاصة. يجب أن تمر كل رسالة يتم إرسالها بفحص داخلي للتأكد من سلامة هذا التشفير قبل أن ينجح. إذا فشل الفحص (بسبب تلف البيانات ، أو أي محاولة غير متوقعة لتغيير البيانات أو التقاطها) ، فلن يتم كشف البيانات المشفرة.

نستخدم SSL كل يوم عندما نتصفح مواقع الويب الشائعة مثل Facebook و YouTube والمتاجر عبر الإنترنت. يمنع التشفير المستخدم أولئك الذين لديهم نوايا خبيثة من اعتراض المعاملات على أنها بريئة مثل استعلامات البحث ... أو خطيرة مثل معلومات بطاقتك الائتمانية.

كيف يتم تطبيق SSL على شهادات مواقع الويب

عندما يريد موقع ويب تأمين معاملاته ، فإنه سيحصل على شهادة SSL لهذا المجال. تطبق شهادة SSL التشفير الموضح أعلاه لجميع أنشطة موقع الويب ، بما في ذلك عمليات إرسال الصفحة والنموذج والمعاملات المالية وما إلى ذلك. هذا يمنع سرقة البيانات أو غيرها من الهجمات المماثلة.

تحتوي شهادات SSL أيضًا على معلومات أمان مهمة ، بما في ذلك:

  • اسم الشركة
  • موقع الشركة
  • طول الفترة الزمنية التي تصلح فيها الشهادة
  • تفاصيل الجهة التي أصدرت الشهادة

يتيح ذلك للأفراد غير متأكدين من مصداقية موقع الويب أو مصداقيته بالنقر فوق رمز "القفل" الأخضر في متصفحهم لمراجعة مزيد من المعلومات. إذا استمروا في عدم الشعور بالأمان ، فيمكنهم الخروج من الموقع.

مثال على نوع المعلومات التي يمكنك رؤيتها عند مراجعة شهادة SSL - في هذه الحالة ، مدونة Google Webmaster Central.
مثال على نوع المعلومات التي يمكنك رؤيتها عند مراجعة شهادة SSL - في هذه الحالة ، مدونة Google Webmaster Central.

كيفية معرفة ما إذا كان موقع الويب يستخدم SSL / TLS

هناك طريقتان سريعتان لمعرفة ما إذا كان لدى أي موقع ويب شهادة SSL. ابحث عن:

  • رمز "قفل" أخضر في شريط العناوين ، و
  • عنوان URL يبدأ بـ https بدلاً من http

اعتمادًا على كيفية استخدام الموقع لـ SSL ، قد لا ينطبق هذا على كل صفحة - كما ستتعلم أدناه.

كيف يتغير استخدام SSL

لبعض الوقت ، كان معيار الإنترنت هو أن شهادات SSL موصى بها فقط للمجالات أو صفحات معينة من مواقع الويب حيث سيتم إرسال أو استلام معلومات حساسة (مثل البيانات المالية). ومع ذلك ، فإن هذه التوصية تتغير ببطء.

في أغسطس من عام 2014 ، أعلنت Google أنه سيتم إضافة أمان موقع الويب كـ "إشارة ترتيب خفيفة الوزن" للنتائج في محرك البحث الخاص بها . هذا يعني أن موقع الويب المؤمَّن باستخدام SSL / TLS يتمتع بفرصة أفضل في الحصول على ترتيب أعلى لاستعلام ما مقارنةً بالاستعلام غير الآمن ، بافتراض أن جميع العوامل الأخرى هي نفسها.

من الاعلان:

تم إجراء اختبارات مع الأخذ في الاعتبار ما إذا كانت المواقع تستخدم اتصالات آمنة ومشفرة كإشارة في خوارزميات ترتيب البحث لدينا. لقد رأينا نتائج إيجابية ، لذلك بدأنا في استخدام HTTPS كإشارة تصنيف. في الوقت الحالي ، تعد هذه الإشارة خفيفة الوزن للغاية [...] بينما نمنح مشرفي المواقع الوقت للتبديل إلى HTTPS. ولكن بمرور الوقت ، قد نقرر تقويته ، لأننا نرغب في تشجيع جميع مالكي مواقع الويب على التبديل من HTTP إلى HTTPS للحفاظ على أمان الجميع.

خلال العام الماضي ، تسببت الآثار المحتملة لهذا التغيير في قيام العديد من مالكي مواقع الويب - وليس مالكي المتاجر فقط - بتشفير مواقعهم بشهادات SSL كاملة ، وتغيير عناوين URL الخاصة بهم إلى "https" بدلاً من "http".

ومع ذلك ، هذا لا يتطلب من أي شخص تأمين موقعه بالكامل باستخدام SSL . إذا اختاروا ذلك ، فلا يزال بإمكان مالكي مواقع الويب والمتاجر وضع جميع صفحاتهم الحساسة على نطاق فرعي ، وشراء شهادة لهذا المجال وحده ، وترك باقي الصفحات غير مشفرة.

كيف تعرف ما إذا كان متجرك عبر الإنترنت يحتاج إلى SSL

عند قراءة كل هذا ، قد تكون مقتنعًا أنك بحاجة إلى شهادة SSL. بعد كل شيء ، الأمن مهم بالنسبة لك ، أليس كذلك؟

ومع ذلك ، إذا لم تلتقط أي بيانات حساسة أو تخزنها ، فقد لا تحتاج في الواقع إلى شهادة . قد يبدو هذا غريباً ، لذلك دعونا نتعمق في الأمر.

السيناريو الأكثر شيوعًا الذي يتسبب في إعفاء أصحاب المتاجر من الحاجة إلى SSL هو استخدام معالج دفع خارج الموقع - على سبيل المثال ، PayPal. هذا لأن PayPal مسؤول عن التقاط وتخزين جميع معلومات الدفع الحساسة لعميلك ، لذلك لا يتم تخزينها أبدًا في قاعدة البيانات الخاصة بك .

تمتلك معالجات الدفع خارج الموقع معايير الأمان الخاصة بها ، والشهادات ، وطرق نقل البيانات بأمان من وإلى متجرك. لذلك لا تحتاج بالضرورة إلى SSL ، لأنهم سيغطون ذلك.

إذا لم تقم بتخزين أي معلومات دفع حساسة ، فقد لا تحتاج إلى SSL.
إذا لم تقم بتخزين أي معلومات دفع حساسة ، فقد لا تحتاج إلى SSL.

سيناريو آخر هو عدم السماح للعملاء بإنشاء حسابات أو عمليات تسجيل دخول تتضمن كلمات مرور من أي نوع. حتى إذا كنت تستخدم بوابة دفع تابعة لجهة خارجية خارج الموقع بالكامل ، فقد يظل لديك عملاء ينشئون حسابات معك لحفظ عناوين الشحن والفواتير الخاصة بهم .

في حين أن هذه المعلومات أقل حساسية بكثير ، يميل العديد من العملاء إلى استخدام نفس كلمة المرور لكل حساب. لذا فإن القليل من الهندسة العكسية يمكن أن يقود المتسلل إلى الوصول ، على سبيل المثال ، إلى حساب البريد الإلكتروني للمتسوق أو الحساب المصرفي ... سمها ما شئت. هذا يعني أنه ما لم يتم تعطيل إنشاء الحساب في متجرك ، فستحتاج إلى SSL لحماية كلمات المرور وتسجيلات الدخول هذه .

للتلخيص ، العاملان اللذان يمكنهما التخلص من بروتوكول SSL كشرط هما:

  • استخدام بوابة دفع خارج الموقع بالكامل ، و
  • لا يوجد على الإطلاق وظيفة حساب أو كلمة مرور يسمح بها العملاء

إذا لم يكن لديك كلا هذين العاملين ، فستحتاج إلى شهادة لمتجرك. وحتى إذا قمت بذلك ، فلا يزال يتعين عليك التفكير في ذلك ، نظرًا لاحتمال أن تصبح HTTPS أكثر أهمية بالنسبة للتصنيفات - وراحة البال للعملاء - في المستقبل.

هل تحتاج إلى SSL؟ كيفية الحصول على شهادة (طريقتان)

كانت الطريقة القياسية لتأمين متجرك باستخدام SSL حتى وقت قريب جدًا هي الدفع لطرف ثالث للحصول على شهادة. يوجد الآن خيار آخر ، على الرغم من ذلك ، كما ذكر أثناء The State of the Word في WordCamp US.

فيما يلي طريقتان يمكنك من خلالهما تأمين متجرك وإرضاء عملائك.

دفع للحصول على شهادة

يمكن شراء شهادات SSL من مجموعة متنوعة من الجهات الخارجية . يقدمها العديد من بائعي النطاقات لعملائهم (في بعض الأحيان مجمعة مع اسم المجال الخاص بك) ، وهناك أيضًا شركات مستقلة تبيع شهادات SSL فقط.

قد يكون أفضل رهان هو البدء بالشركة التي اشتريت منها (أو تخطط للشراء) اسم نطاق متجرك لتحديد ما إذا كانت تقدم شهادات أو أي نوع من الحزم. إذا لم يكن الأمر كذلك ، فيجب أن يؤدي البحث البسيط إلى ظهور العديد من الخيارات الموثوقة.

قبل الشراء ، اقض بضع دقائق في التفكير بعناية في نوع الشهادة التي تحتاجها . تغطي شهادات SSL الأساسية مجالًا واحدًا فقط - على سبيل المثال. example.com أو subdomain.example.com. ولكن يمكنك أيضًا شراء شهادات متعددة المجالات ، أو شهادات "wildcard" لتغطية عدة نطاقات فرعية (example1.domain.com ، example2.domain.com…).

تتراوح أسعار الشهادات المدفوعة عادةً من 30 دولارًا إلى 50 دولارًا سنويًا للنطاقات الفردية ، وما يصل إلى 300 دولارًا أمريكيًا سنويًا لخيارات متعددة المجالات أو أحرف البدل.

شهادات مجانية من Let's Encrypt

تمتلك مجموعة أبحاث أمان الإنترنت (ISRG) حاليًا برنامجًا يسمى Let's Encrypt in public beta. يسمح Let's Encrypt لأي شخص بتأمين موقعه باستخدام SSL / TLS مجانًا - مما يمنح مالكي مواقع الويب والمتاجر شهادة SSL مجانية ودائمة .

الهدف: Let's Encrypt ليس واضحًا تمامًا مثل العمل مع مسجل المجال لشراء شهادتك وتثبيتها. كما أنه لا يزال في مرحلة تجريبية ، لذا فمن الممكن حدوث أخطاء. ومع ذلك ، فإنه لا يزال مجانيًا تمامًا ومفتوح المصدر في ذلك الوقت.

رسم تخطيطي من Let's Encrypt يوضح كيفية عمل شهاداتهم.
رسم تخطيطي من Let's Encrypt يوضح كيفية عمل شهاداتهم.

إذا كنت مهتمًا باتباع هذا المسار ، فنحن نوصي بإرسال وثائق Let's Encrypt إلى مطور البرامج لديك ، والذي يمكنه تحديد المكون الإضافي والعميل اللذين تحتاجهما لخادمك ، والتعامل مع عملية تثبيت الشهادة نيابة عنك.

عواقب عدم الحصول على الشهادة

قد تتساءل "ماذا يحدث إذا تجاهلت كل هذا ولم أحصل على شهادة SSL؟"

بصدق ، لم يحدث شيء. ولكن قد تكون هناك أيضًا عواقب وخيمة ، بما في ذلك:

  • يفقد المتسوقون ثقتهم بك لأن متجرك يبدو غير آمن
  • "ينتحل" الأفراد السيئون متجرك لأنه لا توجد طريقة لإثبات أنك المالك الحقيقي أو الشركة المصنعة لبضائعك
  • متسلل يستخدم الهندسة العكسية لاختطاف البريد الإلكتروني للعميل أو الوسائط الاجتماعية أو أي حساب آخر على الإنترنت باستخدام المعلومات المكتسبة من متجرك
  • سرقة بيانات شخصية أو مالية حساسة مخزنة على الخادم الخاص بك
  • رد الفعل المالي العام والمحتمل الناجم عن أي من الأحداث المذكورة أعلاه

كما ترى ، من الأفضل ببساطة أن تدفع مقابل شهادة SSL وأن تنعم براحة البال بدلاً من المخاطرة بها. حتى وجود عملاء محتملين يضايقونك بشأن رمز القفل المفقود - وربما الخروج دون شراء لأنه مفقود - يستحق 30 دولارًا أو نحو ذلك في السنة ، ألا تعتقد ذلك؟

لا يجب أن تكون SSL مسألة معقدة

نأمل أن تساعدك هذه المقدمة لشهادات SSL للتجارة الإلكترونية على فهم أفضل قليلاً لسبب احتياجك - أو عدم احتياجك - إلى شهادة لمتجرك عبر الإنترنت.

مع أي حظ ، من المفترض أن يكون فهم SSL وأمان التخزين أسهل بكثير بالنسبة لك الآن. ولكن إذا كانت لديك أي أسئلة متبقية ، فسنكون أكثر من سعداء للإجابة عليها في التعليقات أدناه! اسأل بعيدًا ، نحن دائمًا هنا للمساعدة.