البروتوكول الذي يقوم عليه عمل مواقع الإنترنت هو Hyper Text Transfer Protocol على مخرج رقم 80 (لنفترض أن المراسلات تتم عبر أنابيب مرقّمة، وهنا البروتوكول يستخدم الأنبوب رقم 80)، المشكلة في هذا الأنبوب أن المراسلات فيه تكون غير مشفرة، وهو وضع طبيعي في بعض الحالات (أو كان كهذا في السابق كما سنرى بعد قليل)، لكن المواقع التي تتطلب تفاعلاً من المستخدم، مثل أن يتم عليها تسجيل دخول للمستخدم بكلمة سر، أو عمليات شراء ودفع إلكتروني أو غير ذلك، حتى لو كان الموقع محتوى فقط كالذي تقرأ منه حالياً، يجب عليها استخدام بروتوكول أكثر أماناً من HTTP، وهو النسخة المشفرة منه HTTPs اختصاراً لكلمة Secure، ويعمل هذا البروتوكول على مخرج (أنبوب) رقم 443، أي أنه بروتوكول مختلف كلياً عن HTTP. في السابق كان من الطبيعي أن تعمل المواقع على بروتوكول HTTP العادي، لكن نظراً لأهمية معرفة تشفير البيانات والمراسلات عند جميع مستخدمي الإنترنت، توسع استخدام البروتوكول الآمن HTTPs خلال السنين الماضية، ولهذا قامت جوجل عام 2014 باعتبار التشفير أحد معايير ترتيب الموقع وصفحاته في نتائج محرك البحث، أي ما يطلق عليه تحسين محركات البحث SEO، وبعدها بعدة سنوات، بدأت بإظهار كلمة Not Secure كما رأينا في الأعلى، لتشجيع ثقافة الإنترنت الآمن بين جميع المستخدمين. فهمنا الآن المغزى من استخدام هذا البروتوكول، بقي الآن أن نعرف كيف يمكننا استخدامه، وهل هو متاح للجميع ومجاني مثل HTTP؟ أي هل يمكننا الحصول على شهادة الأمان SSL مجانا؟

كيف يعمل بروتوكول HTTPs؟

لاستخدام بروتوكول HTTPS عليك تنصيب ما يسمى شهادة SSL، اختصاراً لـ SECURE SOCKET LAYER، ولنتجاوز جميع المفاهيم التقنية هنا، هذه الشهادة تسمح للخادم الذي عليه الموقع (الاستضافة) بالتواصل ونقل البيانات مع متصفح جهازك (مثل جوجل كروم) باستخدام مستوى أمان عالي، أي أن تصفحك للموقع، وإرسالك أي بيانات له (مثل تعبئة نموذج، كلمة سر، بطاقة دفع) سيكون مشفّراً باستخدام طرق تشفير مختلفة، تضمن عدم نقل البيانات كنص قابل للقراءة PLAIN TEXT في حال استطاع أحد سرقة البيانات أثناء انتقالها بين متصفحك والموقع الذي تتصفحه. من ناحية أخرى، تعطي الشهادة مصداقية للموقع أن صاحبه معروف (على الأقل باسم الدومين) كما سنرى بعد قليل، وفي بعض الأنواع يمكن التأكد من أن الموقع يتبع لشركة مسجّلة رسمياً حسب نوع شهادة SSL المستخدمة.

نعم ولا، هناك العديد من أنواع شهادة الأمان SSL حسب متطلبات الموقع، ودرجة موثوقيتها ومصداقية الجهة التي تصدرها، فهي بالأساس تقوم شركات بإنشائها بناءً على أسس تشفير مختلفة، وتبيعها (أو تقدمها مجاناً، المزيد عن ذلك بعد قليل) للزبائن الذي يقومون بتنصيب هذه الشهادات على مواقعهم، يتراوح سعر الشهادة المدفوعة بين 30$ إلى عدة مئات من الدولارات سنوياً (يتم تجديدها سنوياً بالطبع)، وهناك بالطبع جهات غير ربحية مثل Let’s Encrypt (أي: هيا بنا نشفّر) بطرح شهادات SSL مجانية دون أي مقابل، ومتوافقة مع غالبية أنواع الاستضافات الموجودة اليوم عن طريق تعاونها مع cPanel وشركات استضافة عالمية لتسهيل عملية تنصيب الشهادات، وإذا أردت التحقق من شركة الاستضافة التي تتعامل معها إن كانت تدعم هذه الشهادة، فيمكنك البحث في هذه القائمة.

ما هي أنواع شهادات الأمان SSL؟

تقسم شهادات SSL إلى 3 درجات، سنتكلم عنهم ببعض التفصيل هنا:

1.شهادة التحقق من النطاق Domain Validated Certificate وهي أدنى درجات الشهادة، وتصلح للمواقع التي تكون أشبه بالمدونات أو المواقع التي لا تحتاج أسس تشفير متقدمة، هذه المواقع التي تقدم محتوى فقط لن تحتاج إلى إرسال بيانات من المستخدم بالغالب، ولهذا لا مشكلة في استخدامها في المدونات والمواقع الصغيرة.

هذه الشهادة تخبرك بأن نطاق الموقع مسجّل ومعروف وأنه حقيقي، يتم التحقق من ذلك باستخدام الايميل المسجل لصاحب النطاق، تستخدم الشهادة تشفير باستخدام 256 بت مثل غيرها، ونحن نستخدم هذه الشهادة لموقعنا أقوى الاستضافات HostingTops، كما ترى في شريط العنوان (لمعرفة معلومات الشهادة، اضغط على إشارة القفل قرب اسم الموقع، ثم اختر Certificate، ستظهر لك معلومات الشهادة ومصدرها كاملة) فموقعنا هنا لا يحتاج إلى أكثر من ذلك كونه موقع محتوى فقط. لا تحتاج هذه الشهادة إلى أكثر من دقائق لإصدارها، كونها شبه تلقائية دون أي تدخل بشري.

بالمناسبة، إذا كانت استضافتك تدعم لوحة تحكم cPanel، فبالغالب يمكنك الحصول على هذا النوع من الشهادات مجاناً، وسنشرح ذلك في مقال آخر عن كيفية تنصيب شهادة SSL مجاناً.

عندما تكون صاحب موقع تجارة إلكترونية، أو هناك تفاعل بين موقعك والمستخدمين، خصوصاً عمليات شراء وتبادل بيانات، ننصحك باستخدام درجة شهادة أمان SSL أعلى من هذه، مثل النوع الثاني والثالث.

2. شهادة التحقق من الشركة (المؤسسة) Organization Validated Certificate إذا كان موقعك يتطلب من المستخدمين إدخال بعض بياناتهم، أو لديك تطبيقات على الموقع تتطلب من المستخدمين التسجيل (مثل الألعاب)، فشهادة الأمان SSl هذة هي الخيار الأفضل لك، كونها لا تقتصر فقط على ضمان مصداقية صاحب الدومين مثل النوع الأول، بل تطلب من صاحب الموقع (الدومين) إثباتات إضافية عن الموقع، مثل أنه شركة مسجلة بأوراق رسمية، أو كشوفات حسابات، أو غير ذلك، ويعتمد هذا على شروط الجهة المصدرة للشهادة وتسمى Certificate Authority CA. إصدار الشهادة يتطلب من يوم إلى 3 أيام حسب الجهة المصدّرة أيضاً.