ما هي شهادة SSL ومن هم أفضل مقدمي الخدمة؟

تُعدّ شهادة SSL وهي شهادة رقمية أمرًا هامًا وضروريًا لكل المواقع والمتاجر الإلكترونية اليوم لأنها تساعد في حماية البيانات والخصوصية وتشفير بيانات الاتصال (Encryption) وتأمينها لإجراء عمليات الدفع الإلكتروني وحماية الخصوصية.

---

ما هو SSL؟

رمز SSL هو اختصار لعبارة Secure Sockets Layer والتي تعني طبقة مآخذ التوصيل الآمنة، وهو بروتوكول أمان يتيح الاتصالات المشفرة بين جهازين، أو بما معناه بروتوكول أمان ينشئ رابطًا مشفرًا بين خادم الويب (Server) ومتصفح الويب (User) بحيث يتم حجب معلومات المستخدم عن أيّ طرف آخر غير المستخدم والمتصفح من خلال شفرة خاصة.

أما شهادة SSL فهي ملف بيانات صغير يستفيد من بروتوكول الأمان هذا لخدمة وظيفتين اثنتين:

• المصادقة: تعمل شهادات SSL كأوراق اعتماد لمصادقة هوية موقع الويب. يتم إصدارها إلى اسم نطاق (Domain) معين وخادم ويب بعد أن يقوم المرجع المصدق (CA) بإجراء فحص صارم للموقع الذي يطلب الشهادة. اعتمادًا على نوع الشهادة، يمكنه توفير معلومات حول هوية العمل أو موقع الويب والمصادقة على أن موقع الويب هو عمل تجاري شرعي.
• اتصال آمن للبيانات: عند تثبيت SSL على خادم ويب، فإنه يتيح ظهور علامة القفل في رابط الموقع على متصفح الويب. يقوم بتنشيط بروتوكول HTTPS وإنشاء اتصال آمن بين الخادم والمتصفح، وبالتالي يتيح استخدام خوارزميات التشفير لخلط البيانات التي يتم نقلها إلى تنسيق غير قابل للفك لا يمكن قراءته إلا باستخدام مفتاح فك التشفير المناسب.

ملحوظــــــــــــة: لا تعرض متصفحات الويب سوى المؤشرات الآمنة لـ SSL الموقعة من قِبل مرجع مصدق موثوق به. لكي تصبح مرجعًا موثوقًا به، يجب على الشركة إجراء عمليات تدقيق منتظمة لمعايير عملية الأمان والمصادقة التي وضعتها المتصفحات الرائدة وهيئة معايير الصناعة المسماة CA / Browser Forum.

عندما يصدر المرجع المصدق (CA) شهادة لمؤسسة ما، سيتعرف المتصفح على الشهادة على أنها شرعية. لاسيما أن المتصفح يتيح للمستخدم معرفة أن عنوان الويب آمن، ويمكن للمستخدم تصفح الموقع بأمان وإدخال معلوماته الشخصية دون الخوف من سرقة هذه البيانات أو محاولة اختراق خصوصيته أو جهازه.

ما الفرق بين HTTP و HTTPS؟

بروتوكول HTTP هو بروتوكول غير موثوق وغير آمن لأصحاب المواقع في حين أن بروتوكول HTTPS هو بروتوكول آمن يستخدم شهادة SSL أو (TSL وهو الاسم الأقل شيوعًا) في تشفير البيانات العادية في HTTP. إذ يطمح الهاكرز أو المتسللين إلى سرقة بعض البيانات المهمة مثل حسابك البنكي أو موقعك الإلكتروني نفسه!

ويُعرف الموقع الأكثر أمنًا الذي يستخدم بروتوكول HTTPS من إشارة القفل التي تظهر في بداية العنوان الإلكتروني على متصفح الويب كما هو موضّح في الصورة أدناه:

ما هي أهمية شهادة SSL؟

• حماية بيانات المستخدمين.
• إضافة أمان أكثر ضدّ محاولات الاختراق.
• رفع ترتيبات موقعك الإلكتروني على محركات البحث من ناحية السيو SEO.
• استيفاء معايير الدفع الإلكتروني PCI في المواقع الإلكترونية.
• بناء مصداقية وشفافية مُطلقة مع مستخدمي موقعك.
• طلب المصادقة قبل إرسال بياناتك إلى جهة خارجية.
• طلب تحقق المستخدمين من بياناتهم المُدخلة لتجنب انتحال الشخصية.
• إخطار أصحاب المواقع بوجود محاولات اختراق للموقع أو وجود أي تهديد أمني.

من يستخدم شهادة SSL؟

• مهندسو المعلومات IT: يجب على متخصصي تكنولوجيا المعلومات استخدام شهادة SSL وتثبيتها في البرامج لحماية معلومات عملائهم.
• مطورو الويب: يمكن لمطوري الويب استخدام شهادات SSL وجعلها أكثر سهولة في الاستخدام ومتوافقة مع التطبيقات.
• البائعين بالتجزئة: بحيث تستخدم شهادات SSL لحماية معلومات البيع، مثل معلومات بطاقة ائتمان العميل.
• المسوقين: بغرض حماية البيانات المتعلقة بميزانيات التسويق والمعلومات الإعلانية.
• موظفو البنوك: تقوم البنوك بتنزيل شهادة SSL في برامجها لحماية الحسابات المصرفية عبر الإنترنت، والتي قد تتضمن معلومات حساسة مثل أرقام بطاقات الائتمان وبيانات الضمان الاجتماعي.
• المعلمون: حماية المعلومات الموجودة على موقع مدرستهم حول السجلات الطبية وبيانات الدرجات الخاصة بالطلاب.
• المدراء الماليون: يمكن للمحترفين الذين يعملون في مجال التمويل استخدام شهادات SSL لتأمين المعلومات المالية لعملائهم وتأمين أي تطبيقات استثمار رقمية.
• متخصصو الرعاية الصحية: يمكن لمرافق الرعاية الصحية استخدام SSL داخل أنظمتها لضمان أمان السجلات الطبية للمرضى ومعلومات التأمين من المتسللين.
• متخصصو التأمين: تتعامل شركات التأمين مع المعلومات المتعلقة بالسياسات الخاصة وحسابات المستخدمين والبيانات المالية، يمكن لمتخصصي التأمين استخدام SSL لحماية بياناتهم.

---

ما هو نظام تشفير شهادة SSL؟

تستخدم شهادة SSL نظام تشفير بمفتاحين؛ مفتاح خاص (Private Key) ومفتاح عام (Public Key)، ولنضرب مثال على لك، لنفرض أنك تودّ الاحتفاظ بأشيائك القيّمة في خزنة آمنة، وعليكَ تأمينها بمفاتيح أمان خاصة بحيث تفتح الخزنة بمفتاح معين (المفتاح الخاص) وتُغلقها بمفتاح آخر تمامًا (مفتاح عام). وإليكَ تفاصيل مفاتيح SSL:

1. مفتاح خاص (Private Key)

المفتاح الخاص هو ملف منفصل يُستخدم في فك تشفير البيانات المُرسلة بين الخادم (السيرفر) والمستخدمين (اليوزرس). يتم إنشاء مفتاح خاص بواسطتك – مالك الشهادة – عندما تطلب شهادتك من خلال طلب توقيع الشهادة (CSR) ويكون مخفي تمامًا ويستحيل على أيّ أحد الحصول عليه.

2. مفتاح عام (Public Key)

المفتاح العام هو المفتاح المسؤول عن تشفير البيانات المُرسلة بين الخادم والمتصفح ويحصل المتصفح على المفتاح العام بمجرد الدخول إلى أيّ موقع ويب يستخدم بروتوكول HTTPS الآمن.

---

أنواع شهادات SSL؟

يخفى عن كثير من أصحاب المواقع أن هنالك أنواع كثيرة من شهادات SSL وسنذكر لكَ أهمها بناءً على موقع الويب نفسه:

1. شهادة الفعالية الممتدة (Extended Validation Certificate):

باستخدام EV SSL، يتحقق المرجع المصدق (CA) من حق مقدم الطلب في استخدام اسم نطاق محدد بالإضافة إلى إجراء فحص شامل للمؤسسة. يتم تحديد عملية إصدار شهادات EV SSL بدقة في إرشادات EV، كما تم التصديق عليها رسميًا من قبل منتدى CA / Browser في عام 2007.

إليكَ الخطوات المطلوبة لـ CA قبل إصدار شهادة SSL محددة:

• التحقق من الوجود القانوني والمادي والتشغيلي للكيان
• التحقق من تطابق هوية الجهة مع السجلات الرسمية
• التحقق من أن الكيان لديه الحق في استخدام المجال المحدد في شهادة EV SSL
• التحقق من أن الكيان قد أذن بإصدار شهادة EV SSL بشكل صحيح

أحدث التطورات، وربما الأكثر أهمية، في تقنية SSL منذ بدايتها الأولى تتبع إرشادات التحقق الموسعة الموحدة. المتصفحات الجديدة ذات الأمان العالي مثل Microsoft Internet Explorer 7+ و Opera 9.5+ و Firefox 3+ و Google Chrome و Apple Safari 3.2+ و iPhone Safari 3.0+ تحدد شهادات SSL الممتدة وتنشط التحسينات الأمنية لواجهة المتصفح. لذا فهي الحل الأمثل لجميع أصحاب المواقع ممن يطمحون إلى الحصول على أعلى درجات الموثوقية والأمان.

تتوفر شهادات EV SSL لجميع أنواع الأعمال، بما في ذلك الكيانات الحكومية والشركات المدرجة وغير المسجلة على حدّ سواء. المجموعة الثانية من الإرشادات، إرشادات تدقيق المركبات الكهربائية، إذ تحدد المعايير التي بموجبها يحتاج المرجع المصدق إلى التدقيق بنجاح قبل إصدار شهادات EV SSL. يتم تكرار عمليات التدقيق سنويًا لضمان سلامة عملية الإصدار.

2. شهادة الفعالية الخاصة بالمؤسسات (Organization Validated Certificate):

يتحقق المرجع المصدق من حق مقدم الطلب في استخدام اسم نطاق معين بالإضافة إلى إجراء بعض عمليات الفحص الخاصة بالمنظمة. يتم عرض معلومات الشركة الإضافية التي تم فحصها للعملاء عند النقر فوق علامة الموقع الآمن، مما يمنح رؤية محسّنة لمن يقف خلف الموقع وما يرتبط به من ثقة معززة. يظهر اسم المؤسسة أيضًا في الشهادة ضمن الحقل “تشغيل”.

3. شهادة فاعلية النطاق أو الدومين (Domain Validated Certificate):

يتحقق المرجع المصدق من حق مقدم الطلب في استخدام اسم نطاق معين. لا يتم التحقق من معلومات هوية الشركة ولا يتم عرض أي معلومات بخلاف معلومات التشفير داخل علامة الموقع الآمن. بينما يمكنك التأكد من أن معلوماتك مشفرة، لا يمكنك التأكد من الشخص الحقيقي في الطرف المتلقي لتلك المعلومات.

يتم دعم شهادات DV SSL بالكامل وتشترك في التعرف على المتصفح نفسه مع OV SSL، ولكنها تأتي مع ميزة إصدارها على الفور تقريبًا ودون الحاجة إلى تقديم أوراق الشركة. هذا يجعل DV SSL مثاليًا للشركات التي تحتاج إلى SSL منخفض التكلفة بسرعة ودون بذل جهد لتقديم مستندات الشركة.

---

أفضل مقدمي خدمة SSL؟

إليكَ قائمة تتضمن أفضل مقدمي خدمة شهادة SSL في العالم:

• شركة ESET

• شركة Digicert Global

• شركة SSL Store

• شركة Rapid SSL Online

• شركة SSL.com

• شركة Sectigo.com

• شركة Network Solutions

---

كيف تعرف نوع شهادة SSL في موقع معين؟

• الخطوة الأولى: اضغط على علامة القفل في عنوان URL موقع معين، ثم على كلمة الاتصال الآمن.

• الخطوة الثانية: اضغط على كلمة الشهادة مصدقة.

• الخطوة الثالثة: يمكن بالضغط على Issued By معرفة الشركة التي قدمت شهادة SSL.

---

أهم الأسئلة الشائعة

---

تعرّفنا في هذا المقال على تعريف شهادة SSL وأفضل الجهات التي تقدم هذه الخدمة للمستخدمين لضمان أن أصحاب المواقع يحافظون على أدنى معايير الأمان على مواقعهم.