شهادة SSL وطريقة عملها وأفضل مزوديها وكيفية استخدامها في الووردبريس

Posted by علي ملص
شهادة SSL وطريقة عملها وأفضل مزوديها وكيفية إضافتها في الووردبريس
شهادة SSL وطريقة عملها وأفضل مزوديها وكيفية إضافتها في الووردبريس

يعد الأمان واحدًا من أكثر الجوانب أهمية في المواقع التي تعمل بنظام إدارة المحتوى ووردبريس أو غيره، إذ إن تسرب بيانات حساسة خاصة بالزوار أو العملاء أو الموقع يمكن أن يتسبب بخسائر مادية لأعداد كبيرة من المستخدمين، الأمر الذي يمكن أن يقود إلى انهيار مشروع الموقع أو المتجر الإلكتروني بشكل كلي.

ويعتبر وجود شهادة SSL أحد أكثر متطلبات الأمان أهمية للمواقع الإلكترونية، لأنها تقوم بتشفير البيانات التي يتم تبادلها بين المستخدمين وموقع الويب، ولهذا السبب سنعرفكم في هذه المقالة على مفهوم شهادات SSL وأنواعها، ونوضح لكم طريقة عملها، ونطلعكم على أفضل مزوديها، وعلى الفرق بين الشهادة المجانية والمدفوعة، كما سنشرح كيفية إضافتها واستخدامها في مواقع الووردبريس.

ما هي شهادة SSL؟

ترمز SSL إلى العبارة الإنجليزية (Secure Sockets Layer) التي تعني بالعربية طبقة المقابس الآمنة، وهي تقنية تسمح بتشفير الاتصال بين خادم الويب ومستعرض الويب لتأمين جميع عمليات تبادل البيانات والمحافظة على معلومات المستخدمين آمنة ومنع تسربها.

عندما يتم تثبيت شهادة SSL على الموقع الإلكتروني، يتحول بروتوكول نقل البيانات فيه من بروتوكول نقل النص الفائق (HTTP) إلى بروتوكول نقل النص الفائق الآمن (HTTPS)، حيث تظهر HTTPS في بداية عنوان URL الخاص به، ويشير ذلك إلى أن الاتصال بالموقع مشفر وآمن.

يتم إضافة حرف s إلى عنوان الموقع الإلكتروني بعد تفعيل شهادة SSL عليه
يتم إضافة حرف s إلى عنوان الموقع الإلكتروني بعد تفعيل شهادة SSL عليه

ويعني وجود شهادة SSL في الموقع أن الاتصال به مشفر طرفًا إلى طرف (End-to-end encryption)، حيث يمكن فقط لطرفي الاتصال (الخادم والمتصفح) قراءة البيانات بشكل صحيح، وكل عنصر آخر يحصل على تلك المعلومات عن طريق اعتراض الاتصال بين الموقع والمتصفح أو لأن البيانات تمر من خلاله كطريق نقل لها، لن يتمكن من قراءة المعلومات المنقولة لأنها تكون مشفرة وليس بإمكانه فك تشفيرها.

اقرأ أيضًا: حماية الووردبريس من خلال 9 ممارسات فعالة لإبقاء موقعك آمنًا

طريقة عمل شهادة SSL

تعتمد طريقة عمل شهادة SSL على ما يسمى بالتشفير غير المتماثل (Asymmetric Encryption) والتشفير المتماثل (Symmetric encryption). يعتمد التشفير غير المتماثل على مفتاحين أحدهما يستخدم للتشفير، والآخر يستخدم لفك التشفير، بينما يستخدم التشفير المتماثل مفتاحًا واحدًا للتشفير وفك التشفير.

في إطار شهادة SSL في التشفير غير المتماثل، يسمى مفتاح التشفير بالمفتاح العام (Public Key)، ويسمى مفتاح فك التشفير بالمفتاح الخاص (Private Key). يكون المفتاح العام متاحًا للجميع إذ يرسله الخادم إلى المتصفح، أما المفتاح الخاص فيستخدم فقط من قبل الخادم، ولا يمكن لأي أحد آخر معرفته.

هذا يعني أنه بخلاف من قام بتشفير البيانات لا أحد يمكنه أن يفهم البيانات المشفرة بالمفتاح العام سوى الخادم، لأنه الوحيد الذي يملك مفتاح فك تشفيرها (المفتاح الخاص). يتم الاعتماد على التشفير غير المتماثل لإنشاء مفتاح تشفير وفك تشفير واحد يمتلكه المتصفح والخادم يطلق عليه اسم مفتاح الجلسة (Session Key)، حيث بعد ذلك:

  • يقوم المتصفح بتشفير البيانات باستخدام مفتاح الجلسة ويرسلها إلى الخادم.
  • يقوم الخادم بفك تشفيرها باستخدام نفس المفتاح، ويرسل بالمقابل البيانات التي طلبها المتصفح بعد تشفيرها باستخدام مفتاح الجلسة، وهكذا دواليك.

لكن كيف يتم نقل مفتاح الجلسة بين المتصفح والخادم دون إرساله بشكله المفهوم، لأنه لو تم إرساله بالشكل المفهوم سيكون بإمكان المتسللين الحصول عليه واستخدامه لفك تشفير البيانات المتبادلة وفهمها.

كيف يتم نقل مفتاح الجلسة؟

يتم نقل مفتاح الجلسة من المتصفح إلى الخادم دون أن يعرفه أي أحد آخر بالاعتماد على التشفير غير المتماثل الذي أشرنا إليه سابقًا عبر مصافحة TLS (بالإنجليزية: TLS handshake)، وتتم العملية كالتالي:

  • يحتوي الخادم الذي يمتلك شهادة SSL على ملف يتضمن بيانات أهمها: اسم النطاق – تاريخ إصدار الشهادة – تاريخ انتهاء صلاحيتها – المفتاح العام (مفتاح التشفير) – المرجع المصدَّق (CA)، وغيرها.
  • عندما ينشئ المتصفح اتصالًا بالموقع الإلكتروني، فإنه يطلب أن يعرف الموقعُ عن نفسه.
  • يستجيب الموقع بإرسال البيانات الموجودة في ملف شهادة SSL.
  • يقوم المتصفح بالتأكد من أن المعلومات التي تلقاها من الموقع صحيحة بالاعتماد على جهة خارجية هي المرجع المصدَّق (CA).
  • إذا كان المتصفح راض عن البيانات التي تلقاها من الموقع بعد مقارنتها بالبيانات الموجودة في المرجع المصدَّق، أي إذا تبين بالاعتماد على المرجع المصدَّق أن البيانات التي تم الحصول عليها من الموقع مطابقة للبيانات التي يجب أن يتم الحصول عليها، يقوم المتصفح بإنشاء مفتاح الجلسة ويشفره باستخدام المفتاح العام الذي حصل عليه من الخادم، ثم يرسله إليه.
  • يقوم الخادم بفك تشفير الرسالة التي حصل عليها باستخدام المفتاح الخاص (الذي لا يملكه أحد آخر)، ويعرِف مفتاح الجلسة الذي أرسله المتصفح، ثم يستخدمه ليقوم بتشفير رسالة إقرار تؤكد على وصول مفتاح الجلسة إليه، ويرسلها إلى المتصفح.
  • يستخدم الآن كل من المتصفح والخادم مفتاح الجلسة لتشفير وفك تشفير البيانات التي يتم تبادلها (تشفير متماثل)، وبهذا لا يكون بإمكان أي جهة أخرى فهمها.

أنواع شهادات SSL

يتم تصنيف شهادات SSL اعتمادًا على مستوى التحقق (يعبر ذلك درجة التشفير والثقة والأمان) أو اعتمادًا على النطاقات التي تستخدم الشهادة لحمايتها (عدد النطاقات التي تستخدم نفس الشهادة).

أنواع شهادة SSL بناء على مستوى التحقق

تبعًا لمستوى التحقق هناك 3 أنواع من شهادة SSL هي:

  • شهادات التحقق الممتدة (EV): تتميز هذه الشهادات بمستويات تشفير وأمان وثقة عالية للغاية، وتخضع المواقع التي تتقدم بطلب للحصول عليها إلى تدقيق صارم للغاية، وهي تستخدم في المواقع التي يتبادل معها المستخدم بيانات حساسة، مثل المتاجر الإلكترونية التي تتم فيها معاملات مالية.
  • شهادات التحقق من صحة المؤسسة (OV): لهذا النوع من الشهادات مستويات تشفير وأمان وثقة عالية أيضًا، لكنها ليست بنفس مستوى EV. تخضع المواقع التي تتقدم بطلب للحصول عليها إلى تدقيق صارم أيضًا، لكن ليس بمستوى EV. هذا النوع مناسب لتوفير أمان قوي عند تصفح الويب، وعادة ما يتم استخدامه قبل المواقع التجارية.
  • شهادات التحقق من صحة النطاق (DV): تمتلك شهادات DV مستويات تشفير وأمان وثقة منخفضة نسبيًا بالمقارنة مع النوعين الآخرين، لكن وجودها أفضل من عدم وجود شهادة SSL على الإطلاق. وهي تعتبر ملائمة للمدونات الإلكترونية ومواقع الويب المخصصة للحصول على المعلومات.

أنواع شهادة SSL بناء على النطاق

وبناء على النطاقات، هناك 3 أنواع من شهادة SSL هي:

  • شهادات SSL ذات نطاق واحد (Single domain SSL): يمكن استخدام شهادة SSL من هذا النوع على نطاق واحد فقط رئيسي أو فرعي، ولا يمكن استخدامها أبدًا على نطاقين حتى لو كان أحدهما نطاق فرعي من الآخر.
  • شهادات SSL أحرف البدل (Wildcard SSL): تستطيع استخدام شهادة SSL من هذا النوع على نطاق رئيسي واحد بالإضافة إلى جميع النطاقات الفرعية الخاصة به.
  • شهادة SSL متعددة النطاقات (Multi-domain SSL): تُستخدم شهادة SSL من هذا النوع على مجموعة من النطاقات الرئيسية والفرعية التي تمتلكها نفس الجهة، وذلك سواء أكانت مستضافة على نفس الخادم أو على خوادم مختلفة.

أفضل مزودي شهادة SSL

هناك عدد كبير من الشركات التي تبيع شهادات SSL، لكن لا تقدم جميعها الخدمة بنفس الجودة، إذ تكون الأسعار لدى بعضها مرتفعة، والدعم لدى بعضها الآخر منخفض الجودة، وتعاني بعضها من عيوب أخرى. لهذا من المفضل دائمًا الحصول على شهادة SSL من أفضل المزودين.

وبناء على مختلف المعايير المتعلقة بشهادة SSL، بما فيها الأسعار والدعم الفني، والوقت اللازم لمعالجة طلب الحصول على الشهادة وغيرها، تعد الشركات التالية أفضل المزودين لشهادة SSL:

  1. Comodo SSL: تعد واحد من أشهر الشركات التي تبيع شهادات SSL وأفضلها، حيث توفر كل أنواع الشهادات المتاحة، وبأسعار تنافسية، خاصة عند الشراء لمدة 5 سنوات، كما تقدم أيضًا ضمانات متعددة، بما في ذلك ضمان استرداد الأموال، ولديها دعم فني ممتاز مستعد للمساعدة دائمًا عبر الدردشة الحية أو الهاتف.
  2. DigiCert: هي شركة موجودة منذ فترة طويلة نسبيًا، تبيع مختلف أنواع شهادات SSL، وتتميز بدعم فني ذو جودة عالية عبر الهاتف والدردشة المباشرة والبريد الإلكتروني على مدار الساعة، بالإضافة إلى ضمان استعادة أموال.
  3. SSL.com: تعتبر واحدة من أكبر الشركات لشراء شهادات SSL، إذ تعتمد عليها الشركات والحكومات في مختلف أنحاء العالم لحماية شبكاتها، وهي توفر جميع أنواع شهادات SSL، لكن أسعارها ليست أفضل من أسعار Comodo SSL. أهم ما يميزها عن معظم الشركات الأخرى هو سرعة إصدار معظم أنواع شهادات SSL، إذ في بعض الأحيان لا يزيد الوقت اللازم للحصول على الشهادة أكثر من دقائق معدودة.

جميع هذه الشركات الثلاث تعرض ضمانات مالية لتبرهن على قوة شهاداتها، حيث يصل مقدار الضمان المالي لبعض أنواع الشهادات فيها إلى 2 مليون دولار أمريكي، ولذلك فإذا أردت شهادة SSL عالية الجودة، يمكنك بالتأكيد أن تعتمد على إحدى هذه الشركات.

ما الفرق بين شهادات SSL المجانية والمدفوعة؟

يمكن الحصول على شهادات SSL عن طريق شرائها من الشركات التي توفرها، لكن هناك شركات توفر شهادات SSL مجانية، حيث يمكن الحصول على شهادة منها دون دفع أية أموال، مثل (Let’s Encrypt) التي تعد أفضل المزودين لشهادات SSL المجانية.

يدفعك هذا للتساؤل عن الاختلافات بين الشهادات المجانية والمدفوعة، ولماذا لا تختار الشركات دائمًا شهادة SSL المجانية. في الواقع، توجد اختلافات عديدة ومهمة بين شهادات SSL المجانية وشهادات SSL المدفوعة، وتشمل أبرز هذه الاختلافات ما يلي:

مستوى التحقق

يقتصر مستوى التحقق في شهادات SSL المجانية على النطاق. هذا يعني أنه إذا كان لديك شهادة SSL مجانية، فإنه عندما يزور المستخدم الموقع سيتم إعلامه أن الموقع آمن، وأنه في النطاق الصحيح، والموقع الذي يزوره ليس غير من يدعي، لكن لن يكون بإمكانه معرفة من الذي يدير الموقع، وهل هو نشاط تجاري حقيقي أم لا.

يعود ذلك إلى أن شهادات SSL المجانية دائمًا ما تكون من النوع DV التي يتم فيها التحقق من النطاق فحسب، أما النوعان الآخران EV و OV اللذين يتم فيهما التحقق من تفاصيل الشركة أو الجهة التي تقف خلف الموقع فهي دائمًا مدفوعة، ولا يمكن الحصول عليها مجانًا، لكنهما يمكنان المستخدم من الحصول على معلومات مؤكدة وصحيحة حول الموقع الإلكتروني والشركة التي يتبع لها.

فترة الصلاحية

تمتد صلاحية شهادة SSL المجانية على فترة تتراوح ما بين شهر واحد و 3 أشهر، ما يعني أن عليك تجديد شهادتك أو شهاداتك بشكل متكرر إذا كانت مجانية، بينما تمتد صلاحية شهادة SSL المدفوعة إلى سنة، وبهذا ستوفر على نفسك جهد وعناء التجديد المتكرر إذا استخدمت شهادة مدفوعة وليس مجانية.

ملحوظة: توفر بعض الشركات التي تقدم شهادات SSL مجانية إمكانية تفعيل التجديد التلقائي، وبهذا لن تحتاج إلى تجديد الشهادة بشكل متكرر بنفسك.

الدعم الفني

يقدم مزودو شهادات SSL المدفوعة دعمًا فنيًا عالي الجودة عادة عن طريق الهاتف أو الدردشة المباشرة أو البريد الإلكتروني، حيث يمكنك الحصول على المساعدة عن طريق التحدث إلى شخص خبير، وذلك بعكس شهادات SSL المجانية التي لا يتم تقديم دعم فني معها بهذه الطرق، إنما يتوجب عليك أن تبحث بنفسك عن حلول للمشاكل التي تحدث معك في المدونات وتسأل في المنتديات، وهذا يمكن ألا يكون مناسبًا دائمًا لك.

الضمان

تقدم الشركات التي تبيع شهادات SSL مدفوعة ضمانات بعدم سرقة البيانات أو الوقوع ضحية أي نوع آخر من الانتهاكات، حيث تعدك بتقديم مبلغ من المال محدد مسبقًا لك إذا فقدت المال أو تمت سرقة بياناتك أو بيانات عملائك نتيجة معاملات احتيالية كان سببها نقطة ضعف في الشهادة، لكن الجهات التي تقدم شهادات مجانية لا تقدم أي ضمانات مشابهة.

كذلك توجد اختلافات أخرى بين شهادات SSL المجانية والمدفوعة تجعل الأخيرة منهما أفضل من الأخرى، لكن مع ذلك عندما لا يكون لهذه الاختلافات تأثير مهم على موقعك الإلكتروني أو مدونتك، قد يكون الحصول على شهادة SSL مجانية كافيًا إذا لم تكن الميزانية تسمح بشراء شهادة مدفوعة.

الحصول على شهادة SSL وتثبيتها على الووردبريس

من أجل تثبيت شهادة SSL على موقعك الووردبريس واستخدامها لتأمينه، يجب أولًا أن تحصل عليها من الشركات التي توفرها مجانًا أو بشكل مدفوع، كما توجد أيضًا شركات استضافة توفر شهادة SSL كجزء من خطط الاستضافة.

تختلف الخطوات الدقيقة لكيفية الحصول على شهادة SSL بناء على الطريقة التي ستحصل عليها عبر اتباعها والشركة التي ستعتمد عليها، لكن ستجد في الغالب مقالات وشروحات ومقاطع فيديو ضمن وثائق الشركة توضح كيفية الحصول على شهادة SSL منها.

تثبيت ملفات الشهادة على الخادم

بعد شراء شهادة SSL من إحدى الشركات، ستحصل على ملفات الشهادة. عليك أن ترفع هذه الملفات إلى خادم الويب الذي يستضيف موقعك، ولذلك فإن التفاصيل الدقيقة لهذه الخطوة تختلف باختلاف مزود خدمة الاستضافة.

لهذا يفضل أن تتواصل مع فريق الدعم الفني في شركة الاستضافة التي تعتمد عليها وتسألهم سؤالًا مباشرًا حول كيفية رفع ملفات شهادة SSL إلى خادم موقعك الإلكتروني، ثم تنفذ بشكل دقيق التوجيهات والإرشادات التي يتم إطلاعك عليها.

إذا كانت شهادة SSL جزءًا من خطة الاستضافة التي اشتريتها، ولم تكن قد حصلت عليها من قبل مزود خارجي، فلن تحتاج إلى رفع ملفات الشهادة إلى الخادم، إنما عليك فقط أن تقوم بتفعيل خيار شهادة SSL من إعدادات الأمان في لوحة التحكم بالاستضافة.

إعداد الووردبريس ليقوم بتأمين الاتصال مع الموقع

بعد رفع ملفات شهادة SSL إلى الخادم الذي يستضيف موقعك، أو تفعيل خيار الشهادة في لوحة التحكم بالاستضافة، يجب عليك أن تقوم بإعداد نظام الووردبريس ليعمل على استخدام بروتوكول HTTPs بدلًا من HTTP من أجل تأمين الاتصالات مع المستخدمين عبر استخدام SSL.

يمكن فعل ذلك عبر استخدام إضافة مخصصة أو يدويًا من خلال تنفيذ مجموعة من الخطوات، ومن المفضل استخدام إضافة مخصصة، إذ إن ذلك أسهل بكثير، ولا يتطلب معرفة تقنية، ولهذا سنكتفي بشرح هذه الطريقة.

هناك إضافات عديدة تساعد على إعداد الووردبريس لاستخدام شهادة SSL، تعد إضافة Really Simple SSL واحدة من أفضلها. لاستخدام هذه الإضافة قم أولًا بتنصيبها وتفعيلها على موقعك الووردبريس من خلال اتباع إحدى الطرق التي أوردناها في هذه المقالة (تنصيب إضافات الووردبريس المجانية والمدفوعة 2022 بالصور).

بعد تنصيب الإضافة وتفعيلها على الموقع، سيظهر خيار (SSL) في تبويب (الإعدادات) في القائمة الجانبية ضمن لوحة تحكم الووردبريس لديك. قم بالنقر على هذا الخيار لزيارة لوحة التحكم الخاصة بالإضافة، وستتعرف الإضافة بشكل تلقائي على شهادة SSL الموجودة في خادم موقعك وتقوم بإعداد جميع جوانب الووردبريس ليقوم باستخدامها عبر:

  • التحقق من وجود الشهادة في الخادم.
  • ضبط نظام الووردبريس ليستخدم بروتوكول HTTPS في الروابط.
  • إنشاء عمليات إعادة التوجيه الملائمة لإعادة توجيه الطلبات غير الآمنة (HTTP) إلى طلبات آمنة (HTTPS).

يؤدي كل ذلك بالإضافة إلى الإجراءات الأخرى التي تقوم بها الإضافة إلى تأمين جميع عمليات تبادل البيانات مع الزوار والعملاء على موقعك أو متجرك الإلكتروني، وهذا يحافظ على بياناتهم آمنة تمامًا ويزرع في نفوسهم الثقة بك.

الأسئلة الشائعة حول شهادات SSL

ما فائدة استخدام شهادة SSL على الموقع؟

ذكرنا أن شهادة SSL تقوم بتأمين الاتصال بين الموقع والزوار أو العملاء، ما يعني زيادة أمان الموقع، الأمر الذي يعود بفوائد عديدة عليه، منها تحسن مكانه في نتائج البحث، ورفع ثقة الزوار به.
كذلك من المهم تنصيب شهادة SSL لمنع متصفحات الزوار من إظهار تحذير أمان عند زيارته. هذا مهم لأن تحذير الأمان الذي يظهره المتصفح للزائر عندما يزور أحد المواقع كفيل في معظم الأحيان بجعله يتوجه خارجًا منه بلا عودة.أحد تحذيرات الأمان التي يمكن أن يظهرها المتصفح عند زيارة موقع لا يتضمن شهادة SSL

كيف يمكنني معرفة فيما إذا كان موقع ما يتضمن شهادة SSL؟

يمكن معرفة فيما إذا كان الموقع يتضمن شهادة SSL أم لا، بالإضافة إلى معرفة معلومات الشهادة إن وجدت، من خلال النقر على رمز القفل (أو علامة التعجب المعكوسة) الذي يوجد بجانب رابط الموقع عند زيارته، فإذا ظهرت عبارة (الاتصال بهذا الموقع الإلكتروني آمن) أو ما شابهها، فهذا يعني أن هناك شهادة SSL مثبتة على الموقع.
وإذا أردت معرفة معلومات الشهادة، تستطيع النقر على عبارة (الاتصال بهذا الموقع الإلكتروني آمن)، ثم على (الشهادة صالحة)، إذ ستظهر لك كل المعلومات التي يمكن أن تحتاجها حول الشهادة المستخدمة.
كما يمكنك أيضًا أن تستخدم أداة تفحص الموقع بحثًا عن معلومات حول شهادة SSL مثل (HubSpot SSL Checker) أو (SSl shopper – SSL Checker).كيفية معرفة فيما إذا كان الموقع يتضمن شهادة SSL وإظهار معلوماتها

ما هو TLS، وبماذا يختلف عن SSL؟

TLS هو اختصار لعبارة (Transport Layer Security) التي تعني طبقة النقل الآمنة. لا يختلف TLS بشكل جوهري عن SSL، إنما هو مجرد إصدار محدث منه يعمل بنفس الطريقة، وفي معظم الأحيان يُستخدم مصطلح SSL بدلًا من TLS حتى من قبل الشركات التي تبيع الشهادات.

وإلى هنا عزيزي القارئ ننتهي من تعريفك على مفهوم شهادة SSL وطريقة عملها وأنواعها وأفضل مزوديها، وعلى أهم الاختلافات بين الشهادات المجانية والمدفوعة، ومن شرح طريقة إضافتها إلى موقع الويب واستخدامها في الووردبريس، ونود لفت انتباهك ختامًا إلى أننا مستعدون لمساعدك على حل أي مشكلة تواجهها أثناء تفعيل شهادة SSL على موقعك الووردبريس بعد طرحها في مجتمع عرب ووردبريس.

المجتمع الأكبر عربيًا لمستخدمي ووردبريس

انضم لمجتمع عرب ووردبريس الأكبر عربيًا لدعم مستخدمي ووردبريس. من خلال المجتمع ستحصل على المساعدة اللازمة في إنشاء موقعك الووردبريس أو تخصيص متجرك على ووكومرس

زيارة منتدى عرب ووردبريس ←
علي ملص
شاهد المزيد من المقالات
متخصص في تطوير المواقع باستخدام ووردبريس، حيث أتمتع بخبرة شاملة في إنشاء وتخصيص المواقع لتلبية احتياجات العملاء. تمتد خبرتي لتشمل تعديل القوالب وتحسين واجهات المستخدم، مما يمكنني من مساعدة أصحاب المواقع في بناء مواقعهم بطريقة احترافية.