ما هو SSL؟ دليلك لمواقع آمنة
نشرت: 2024-06-21لا بد أنك لاحظت أن بعض مواقع الويب تبدأ بـ HTTP وبعضها الآخر بـ HTTPS (يُشار إليه عمومًا بنص أخضر به قفل، خاصة عندما تحاول الوصول إلى موقع ويب حساس أو صفحة دفع).
هل تساءلت يومًا لماذا يحدث ذلك وماذا يعني؟ حسنًا، تشير هذه العناصر الإضافية في HTTP إلى أن موقع الويب الذي تحاول الوصول إليه آمن وأن جميع عمليات نقل البيانات مشفرة بسبب تشفير SSL.
دعنا نتحقق من المزيد حول هذا الأمر ونحاول الإجابة على جميع أسئلتك وشكوكك في هذا المنشور الشامل.
ما هو SSL؟
SSL أو طبقة المقابس الآمنة هي تقنية أمان قياسية تستخدم بروتوكول أمان خاص قائم على التشفير لإنشاء اتصال مشفر بين الخادم والعميل. إما بين خادم الويب والمتصفح أو خادم البريد وعميل البريد الإلكتروني.
تضمن تقنية التشفير هذه أن تظل جميع عمليات نقل البيانات أو الاتصالات بين خادم الويب والعميل خاصة ومتكاملة.
تم تقديم SSL لأول مرة في عام 1995 بواسطة Netscape، وتهدف إلى تأمين الاتصال عبر الإنترنت وحماية الخصوصية وضمان المصادقة وسلامة البيانات.
نستخدم الآن إصدارًا متقدمًا من SSL، يُعرف باسم TLS أو Transport Layer Security Encryption.
ما هي بروتوكولات SSL وTLS؟ هل هم نفس الشيء؟
يعد كل من SSL وTLS من بروتوكولات الإنترنت المشفرة القياسية، وقد تم تطويرهما خصيصًا لتوفير اتصال آمن ومشفر عبر شبكة الكمبيوتر.
SSL هو إصدار سابق أو أكثر تقدمًا من TLS تم تطويره بواسطة فريق عمل هندسة الإنترنت في عام 1999. كان يُطلق عليه في البداية SSL 3.1 ولكن بعد تحسينات وتحسينات طفيفة على الأمان والأداء يطلق عليه اسم TLS.
تحتوي طبقة المقابس الآمنة (SSL) على بعض العيوب ونقاط الضعف التي يمكن أن تعرض أي موقع ويب للخطر. حتى إصدارات SSL 2.0 وSSL 3.0 تم تصنيفها على أنها غير آمنة ولم يعد يوصى باستخدامها.
لقد اكتشف TLS نقاط الضعف ونقاط الضعف هذه في SSL وتوصل إلى طريقة تشفير أكثر دقة وأقوى. في الوقت الحاضر، يعتبر TLS 1.2 و1.3 الإصدارين الأكثر أمانًا والأكثر استخدامًا اليوم.
بالتأكيد، إليك جدول مقارنة سريع سيساعدك على فهم الاختلافات بين SSL وTLS بشكل أفضل:
ميزة | طبقة المقابس الآمنة | TLS |
---|---|---|
الاسم الكامل | طبقة المقابس الآمنة | أمن طبقة النقل |
طورت بواسطة | نتسكيب | فريق عمل هندسة الإنترنت (IETF) |
الحالة الحالية | إهمال | نشيط |
احدث اصدار | طبقة المقابس الآمنة 3.0 | تلس 1.3 |
حماية | عرضة للخطر (SSL 2.0 وSSL 3.0 تعتبر غير آمنة) | أكثر أمانًا، مع التحسينات المستمرة في كل إصدار |
خوارزميات التشفير | يدعم الخوارزميات الأقدم والأقل أمانًا | يدعم خوارزميات أحدث وأقوى |
كفاءة المصافحة | المزيد من الخطوات، أقل كفاءة | مبسطة وأكثر كفاءة |
استئناف الجلسة | قدرات محدودة | الآليات المتقدمة (تذاكر الجلسة، معرفات الجلسة) |
بروتوكول السجل | أقل كفاءة ومرونة | تحسين الأداء والأمن |
استخدم في الممارسة العملية | نادرا ما تستخدم، تعتبر عفا عليها الزمن | يستخدم على نطاق واسع، وهو معيار للاتصال الآمن |
التوافق | متوافق مع الأنظمة القديمة | يمكنه العمل مع إصدارات SSL الأقدم ولكنه يفضل الخوارزميات والبروتوكولات الآمنة |
شهادات رقمية | ويستخدم أنواع الشهادات الأقدم | ويستخدم أنواع الشهادات الحديثة ويدعم ميزات إضافية مثل تدبيس OCSP |
كيف يعمل SSL/TLS؟
يستخدم SSL/TLS تقنية قائمة على الشهادات لإنشاء اتصال مشفر بين الخادم والعميل.
تحتوي هذه الشهادة على مفتاح عام، مما يساعد في التحقق من موثوقية موقع الويب ويسمح بتشفير البيانات. وهذا يعني أن المعلومات يتم تحويلها إلى رمز خاص باستخدام التشفير الذي لا يستطيع الآخرون قراءته بسهولة. الخادم فقط لديه المفتاح الخاص المطابق، والذي يظل سريًا، لفك تشفير المعلومات.
هذه هي الطريقة التي يعمل بها تشفير SSL/TLS بالكامل:
1. عندما تحاول الوصول إلى جزء آمن من الموقع، أي صفحة الدفع أو تسجيل الدخول. يرسل خادم موقع الويب شهادة SSL الخاصة به إلى متصفحك.
2. تحتوي هذه الشهادة على مفتاح عام يساعد في التعرف على الخادم.
3. بعد ذلك يتحقق متصفحك مما إذا كانت الشهادة صالحة وحقيقية. (تساعد هذه الخطوة في التحقق مما إذا كان الخادم أصليًا وليس دجالًا)
4. عندما يتم التحقق بنجاح، يقوم متصفحك بإنشاء مفتاح صغير ومؤقت يسمى أيضًا مفتاح الجلسة المتماثل لتشفير البيانات التي سيتم إرسالها أثناء الجلسة.
5. الآن يقوم متصفحك بتشفير مفتاح الجلسة هذا باستخدام المفتاح العام للخادم (من الشهادة) ويرسله إلى الخادم. (هذه الخطوة مهمة للتأكد من أن الخادم فقط يمكنه قراءة مفتاح الجلسة.)
6. بعد ذلك يستخدم الخادم مفتاحه الخاص لفك تشفير مفتاح الجلسة.
7. الآن، يستخدم كل من المتصفح والخادم مفتاح الجلسة المتماثل لتشفير وفك تشفير جميع البيانات المرسلة بينهما. (وهذا يضمن بقاء البيانات خاصة وآمنة). تسمى هذه العملية مصافحة SSL/TLS. فهو يقوم بإعداد قناة آمنة ومشفرة بين متصفحك والخادم دون مشاركة المعلومات الحساسة بطريقة غير آمنة.
أصبح الآن جاهزًا لنقل البيانات عبر الويب، وكلها مشفرة مما يجعلها غير قابلة للقراءة لأي شخص قد يحاول اعتراضها. بالإضافة إلى ذلك، يقوم SSL/TLS أيضًا بتوقيع البيانات رقميًا للتأكد من عدم العبث بها للحفاظ على سلامة البيانات.
ما هي شهادة SSL؟
لا يمكن استخدام SSL إلا عندما يكون لمواقع الويب شهادة خاصة مثبتة، أي شهادة SSL. هذه الشهادة عبارة عن ملف بيانات صغير يساعد على إنشاء اتصال آمن بين الخادم والمتصفح لمشاركة البيانات بشكل خاص.
وهي نفس بطاقة الهوية الخاصة بك والتي تحتوي على جميع المعلومات الحيوية الخاصة بك والتي تساعد في تحديد هويتك.
مكونات شهادة SSL :
- المفتاح العام : يُستخدم هذا المفتاح لتشفير البيانات ويتم تضمينه في شهادة SSL. تتم مشاركتها بشكل علني مع أي شخص يزور الموقع.
- المفتاح الخاص : يستخدم لفك تشفير البيانات المشفرة بالمفتاح العام. يتم الاحتفاظ بها سرًا وتخزينها بشكل آمن على خادم الويب.
- المرجع المصدق (CA) : مصدر موثوق به يصدر شهادات SSL. تتضمن مراجع التصديق هذه مؤسسات مثل DigiCert وLet's Encrypt وComodo. هذه السلطة مسؤولة عن التحقق من هوية طالب الشهادة قبل إصدار شهادة SSL.
- التفاصيل المدرجة في شهادة SSL :
- اسم المجال الذي تم إصدار الشهادة له.
- الجهة التي صدرت لها الشهادة.
- إصدار CA.
- التوقيع الرقمي للمرجع المصدق (CA).
- مدة صلاحية الشهادة (تاريخ البدء والانتهاء).
- المفتاح العام.
- معلومات إضافية مثل نوع الشهادة والغرض من استخدامها.
لماذا تعتبر شهادات SSL مهمة:
- الأمان : يحمي البيانات الحساسة أثناء النقل، ويمنع الوصول غير المصرح به واختراق البيانات.
- الثقة : بناء الثقة مع المستخدمين من خلال التأكد من أن بياناتهم آمنة. يتم تصنيف مواقع الويب التي تحتوي على شهادات SSL على أنها آمنة بواسطة المتصفحات.
- فوائد تحسين محركات البحث (SEO) : تعمل محركات البحث مثل Google على تعزيز تصنيف مواقع الويب التي تدعم HTTPS.
- الامتثال : يلبي المتطلبات التنظيمية لحماية البيانات في العديد من الصناعات.
ما هي الأنواع المختلفة لشهادات SSL؟
لا يقتصر SSL على نوع أمان محدد فقط. يتعلق SSL بمجموعة من الشهادات. هناك أنواع مختلفة من شهادات SSL الموجودة على الإنترنت. هؤلاء هم:
- شهادة SSL ذات مجال واحد
من الاسم نفسه، يمكنك بسهولة تحديد نوع شهادة SSL. شهادة SSL مسؤولة فقط عن حماية نطاق واحد. على سبيل المثال، إذا تم إصدار الشهادة للنطاق "WPOven.com"، فإنها تنطبق عليه فقط، وليس على نطاقاته الفرعية مثل "blog.wpoven.com" أو أي نطاق آخر مثل "example.com".
- شهادة Wild Card SSL
تمامًا مثل شهادة SSL ذات النطاق الواحد، فإنها تنطبق على نطاق واحد، ولكن هناك مشكلة. وينطبق على جميع النطاقات الفرعية التي تم إنشاؤها تحت نفس اسم المجال.
على سبيل المثال، إذا تم إصدار شهادة SSL للنطاق "WPOven.com"، فسيتم تطبيقها أيضًا على نطاقاته الفرعية مثل "blog.wpoven.com" و"shop.wpoven.com".
- شهادة SSL متعددة المجالات أو الاتصالات الموحدة
يشير الاسم نفسه إلى أنه يمكن إصدار نفس شهادة SSL الفردية لعدة نطاقات مختلفة أو متماثلة.
تعتبر هذه الشهادات مفيدة بشكل خاص للمؤسسات التي تدير مجالات ونطاقات فرعية متعددة، مثل تلك التي تستخدم بيئات Microsoft Exchange وOffice Communications.
يمكن أن تكون هذه فعالة من حيث التكلفة للغاية، وتوفر أمانًا محسنًا، وتقدم العديد من الفوائد. يمكنهم تغطية ما يصل إلى 100 نطاق بشهادة واحدة.
- شهادة SSL للتحقق الممتد (EV) :
النوع الأول من شهادات SSL الموجود اليوم هو شهادة SSL للتحقق الممتد. في هذا النوع من الشهادات، تقوم جهة التصديق بالتحقق من حقوق مقدم الطلب له في استخدام مجال معين. تجري شهادة SSL للتحقق الممتد فحصًا شاملاً وشاملاً للمؤسسة.
يتم تحديد عملية إصدار شهادة EV SSL بشكل صارم في إرشادات EV. يوضح هذا الدليل الإرشادي كافة متطلبات المرجع المصدق (CA) قبل إصدار الشهادة.
هذه الإرشادات هي:
- التحقق من الوجود المادي والقانوني والتشغيلي للجهة
- التحقق من قيام الجهة بتنظيم إصدار شهادة EV SSL بشكل دقيق
- التحقق من مطابقة هوية الجهة للسجلات الرسمية
- التحقق من أن الجهة لديها الحقوق في المجال الذي تم تحديده في شهادة EV SSL
شهادة EV SSL متاحة تقريبًا لأي نوع من أنواع الأعمال. من الجهات الحكومية إلى الشركات والمؤسسات، يمكن لأي شخص استخدام الشهادات.
- شهادة SSL للتحقق التنظيمي (OV).
النوع الثاني من الشهادات المتاحة والذي يتم استخدامه على نطاق واسع هو شهادة OV SSL. في هذه الشهادة، يتحقق CA من حق مقدم الطلب في استخدام نطاق معين.
علاوة على ذلك، فإنه يقوم أيضًا بإجراء فحص معين للشركة. يتم أيضًا تقديم معلومات الشركة الأخرى التي تم فحصها للعملاء عند استخدامهم لختم الموقع الآمن.
توفر شهادة OV رؤية محسنة لأولئك المرتبطين بالموقع.
- شهادة التحقق من صحة المجال (DV) SSL
من ناحية أخرى، إذا كنا نتحدث عن الشهادات، فإن شهادة SSL للتحقق من صحة النطاق هي اسم لا يمكننا نسيانه. في شهادة التحقق من صحة المجال، يتحقق CA من حقوق مقدم الطلب لاستخدام اسم المجال المحدد.
ومع ذلك، فيما يتعلق بهوية الشركة أو معلوماتها، لا يتم عرض أي قدر من المعلومات. المعلومات الوحيدة المقدمة هي المعلومات المشفرة المخزنة في ختم موقع آمن.
الثلاثة المذكورة أعلاه هي الأنواع الأكثر شيوعًا لشهادات SSL الموجودة والمستخدمة اليوم. ومع ذلك، هناك اسم آخر يرتفع إلى الأعلى وهو Let's Encrypt.
كيف يمكنك الحصول على شهادة SSL؟
أولاً، عليك أن تقرر أي نوع من شهادات SSL هو الأفضل لنشاطك التجاري أو موقع الويب الخاص بك عبر الإنترنت.
على الرغم من أن شهادة SSL القياسية كافية لتوفير الحماية، إلا أنه إذا كان موقع الويب يعمل في مجال صناعي منظم مثل التمويل أو التأمين، فقد يتطلب شهادة SSL مخصصة. من الأفضل التشاور مع فريق تكنولوجيا المعلومات لديك لتحديد الخيار الأنسب.
قد تختلف تكلفة شهادة SSL حسب الموفر ومتطلبات موقع الويب الخاص بك. ومع ذلك، هناك أيضًا العديد من الخيارات المجانية المتاحة.
توفر بعض شركات استضافة الويب خدمة SSL مجانية مع خططها، مثل WPOven . حتى Cloudflare يوفر لك SSL/TLS مجانًا بنقرة واحدة.
بالإضافة إلى ذلك، توفر Let's Encrypt أيضًا شهادات SSL دون أي تكلفة. ولكن سيكون من الأفضل إعداده وتهيئته بواسطة فريق تكنولوجيا المعلومات لديك أو طلب المساعدة من ذوي الخبرة الفنية.
شهادات SSL مجانية، دعونا نقوم بالتشفير: ما هي الشهادات التي نقوم بتشفيرها
Let's Encrypt عبارة عن مرجع مصدق تم إطلاقه في أبريل 2016. توفر الشهادة شهادات X.509 مجانية لتشفير TLS (أمان طبقة النقل) من خلال عملية تلقائية مصممة لإخراج العمليات المعقدة الحالية للتحقق من الصحة والتوقيع والإنشاء اليدوي وتركيب وتجديد الشهادات للمواقع الأمنية.
الأطراف المشاركة في Let's Encrypt أو دعنا نقول Let's Encrypt هي خدمة تقدمها ISRG (Internet Security Research Group)، وهي منظمة منفعة عامة.
الرعاة الرئيسيون للشهادة هم مؤسسة الحدود الإلكترونية، مؤسسة موزيلا، سيسكو سيستمز، وأكاماي.
في يونيو 2015، تمكنت Let's Encrypt من إنشاء شهادة جذر RSA باستخدام المفتاح الخاص المخزن على وحدة أمان الأجهزة المحددة التي تم إبقاؤها غير متصلة بالإنترنت. يتم استخدام شهادة الجذر لتوقيع شهادتين متوسطتين مختلفتين تم توقيعهما بشكل مشترك بواسطة IdenTrust.
يتم استخدام إحدى هذه الشهادات المتوسطة لتوقيع الشهادة الممنوحة وإصدارها، في حين يتم الاحتفاظ بالأخرى دون اتصال لاستخدامها كنسخة احتياطية في حالة وجود مشكلة في الشهادة المتوسطة الأولى.
كيف أتحقق من SSL لموقع الويب؟
عندما تقوم بزيارة موقع ويب تم تمكين أمان SSL فيه، تظهر بعض المؤشرات المرئية داخل المتصفحات.
1. سيبدأ عنوان URL بـ "://HTTPS" بدلاً من "://http".
2. يظهر رمز القفل مع عنوان URL في شريط العناوين بالمتصفح.
سيظهر رمز القفل في أقصى الجانب الأيسر من عنوان URL لموقع الويب.
3. أظهرت الشهادة صالحة.
هناك احتمال أنه على الرغم من أن موقع الويب الخاص بك يعرض "://HTTPS" أو رمز القفل، إلا أن شهادة SSL قد تظل غير صالحة أو منتهية الصلاحية.
سيقوم المتصفح بإعلامك ويطلب أيضًا بعض المعلومات من جانبك. إذا كان الأمر كذلك، فيجب عليك إجراء المزيد من التحري والتحقق من صحة طبقة المقابس الآمنة (SSL) للموقع بمجرد النقر على أيقونة "عرض معلومات الموقع" في متصفح كروم، كما هو موضح أدناه:
4. يمكنك أيضًا الاستفادة من أداة فحص SSL المجانية الخاصة بـ WPOven.
ملخص
يوفر SSL/TLS طبقة أمان أساسية في اتصالات الإنترنت، مما يعني أنه على الأقل يجب أن يتم تمكين ميزة الأمان هذه في موقع ويب أساسي. على الرغم من أن الأمر يبدو بسيطًا جدًا، إلا أنه أحد أقوى أنظمة الأمان التي تمنع سرقة البيانات وانتهاك الخصوصية.
لا يتعين عليك اختيار ميزات SSL باهظة الثمن أو باهظة الثمن؛ حتى الشخص العادي يمكنه القيام بهذه المهمة. هناك الكثير من موفري شهادات SSL المجانية المتاحة، وكل ما عليك فعله هو تجديدهم من وقت لآخر.
ومع ذلك، الحصول عليها من أطراف ثالثة له عيوبه. يمكنك تجنب ذلك بسهولة عن طريق اختيار مضيف ويب يوفر SSL مجانيًا في خطط الاستضافة الخاصة به، تمامًا مثل ما يقدمه WPOven.
إذا كان لديك أي استفسارات أو اقتراحات بخصوص SSL، فيرجى إخبارنا بها في قسم التعليقات أدناه:
راهول كومار هو أحد عشاق الويب وخبير استراتيجي للمحتوى متخصص في WordPress واستضافة الويب. بفضل سنوات من الخبرة والالتزام بالبقاء على اطلاع بأحدث اتجاهات الصناعة، قام بإنشاء استراتيجيات فعالة عبر الإنترنت تعمل على زيادة حركة المرور وتعزيز المشاركة وزيادة التحويلات. إن اهتمام راهول بالتفاصيل وقدرته على صياغة محتوى جذاب يجعله رصيدًا قيمًا لأي علامة تجارية تتطلع إلى تحسين تواجدها عبر الإنترنت.