ما هي شهادة SSL/TLS؟
شهادة SSL (والأدق TLS، الاسم الحديث للبروتوكول) هي ملف رقمي يثبت هوية الموقع ويفعّل التشفير بينه وبين المتصفّح. وجودها هو ما يحوّل http إلى https ويُظهر القفل في شريط العنوان. بدونها تنتقل بياناتك — كلمات المرور وأرقام البطاقات — كنص واضح يمكن لأي وسيط اعتراضه.
الشهادة تصدرها جهة موثوقة تُسمّى سلطة التصديق (CA) بعد التحقق من أنك تملك النطاق. المتصفّحات تحمل قائمة بالـ CA الموثوقة، فإذا كانت شهادتك صادرة من إحداها قبلها المتصفّح بصمت؛ وإلا أظهر تحذيرًا مخيفًا يطرد الزوّار.
كيف يعمل الاتصال المشفّر؟
عند فتح موقع https تحدث “مصافحة” (Handshake): يرسل الخادم شهادته، يتحقق المتصفّح من توقيعها وصلاحيتها، ثم يتفقان على مفتاح تشفير مؤقت يُستخدم لبقية الجلسة. هذا المزيج من التشفير غير المتماثل (للتحقق) والمتماثل (للسرعة) هو سرّ كون https آمنًا وسريعًا معًا.
التشفير الحديث يستخدم Forward Secrecy: حتى لو سُرِّب المفتاح الخاص للخادم لاحقًا، لا يمكن فكّ الجلسات السابقة لأن كل جلسة لها مفتاح مؤقت مستقل. هذا يرفع سقف الأمان كثيرًا مقارنة بالأنظمة القديمة.
أنواع الشهادات: DV و OV و EV
DV — التحقق من النطاق
أبسط نوع وأرخصه. تتحقق الـ CA فقط من أنك تتحكم بالنطاق (عبر سجل DNS أو ملف على الخادم). تصدر خلال دقائق وتكفي لمعظم المواقع والمدوّنات والمتاجر الصغيرة. التشفير فيها مطابق للأنواع الأغلى.
OV — التحقق من المؤسسة
تتحقق الـ CA من وجود شركتك قانونيًا إضافة إلى ملكية النطاق. اسم المؤسسة يظهر في تفاصيل الشهادة، ما يمنح ثقة أعلى للمواقع التجارية والمؤسسية التي تتعامل مع بيانات حسّاسة.
EV — التحقق الموسّع
أعلى مستوى تحقق، يتطلب مراجعة قانونية دقيقة للمؤسسة. كانت تُظهر شريطًا أخضر باسم الشركة، لكن المتصفّحات الحديثة قلّلت هذا التمييز البصري. تبقى مناسبة للبنوك والجهات المالية الكبرى.
شهادات Wildcard و SAN
الشهادة العادية تغطّي نطاقًا واحدًا. شهادة Wildcard (مثل *.example.com) تغطّي كل النطاقات الفرعية تحت الجذر بشهادة واحدة — مريحة لمن لديه عشرات النطاقات الفرعية. أما شهادة SAN (Multi-Domain) فتغطّي عدة نطاقات مختلفة تمامًا في شهادة واحدة.
اختر Wildcard إن كنت تنشئ نطاقات فرعية باستمرار، و SAN إن كنت تدير مواقع متعدّدة بنطاقات مستقلة. كلاهما يوفّر إدارة وتكلفة مقارنة بشراء شهادة لكل اسم.
Let’s Encrypt المجانية
أحدثت Let’s Encrypt ثورة بإصدار شهادات DV مجانية وآليًا عبر بروتوكول ACME. صلاحيتها 90 يومًا فقط، لكن التجديد يُؤتمت بالكامل عبر أدوات مثل Certbot فلا تشعر بانتهائها. معظم الاستضافات الحديثة تفعّلها بنقرة.
التشفير في Let’s Encrypt مطابق للشهادات المدفوعة، والفرق الوحيد غياب التحقق المؤسسي (OV/EV) والدعم التجاري. لمدوّنة أو متجر صغير أو مشروع شخصي، هي الخيار الأمثل دون أي تنازل أمني.
متى تحتاج شهادة مدفوعة؟
تستحق الشهادة المدفوعة حين تحتاج: تحقق OV/EV لإظهار اسم مؤسستك، ضمانًا ماليًا من الـ CA، دعمًا فنيًا تجاريًا سريعًا، أو صلاحية أطول (سنة) تقلّل إدارة التجديد. الجهات المالية والحكومية والشركات الكبرى تفضّلها لأسباب امتثال وثقة لا لأسباب تقنية بحتة.
أما إن كان همّك التشفير فقط، فالمجانية تكفي تمامًا. لا تدفع لأن “المدفوع أكثر أمانًا” — هذه مغالطة تسويقية؛ ادفع مقابل التحقق والضمان والدعم إن كنت تحتاجها فعلًا.
أخطاء الشهادات الشائعة
أكثرها شيوعًا: الشهادة منتهية الصلاحية (تذكّر تجديدها)، عدم تطابق الاسم (الشهادة لنطاق غير الذي تزوره)، سلسلة ثقة ناقصة (نسيت تثبيت الشهادة الوسيطة)، أو خوارزمية قديمة غير مدعومة. كل هذه تُظهر تحذير المتصفّح وتطرد الزوّار فورًا.
السبب الأكثر إحراجًا هو النسيان: شهادة تنتهي فجأة فيتعطّل الموقع. الحل المراقبة الآلية والتجديد التلقائي. أداة فحص SSL تكشف هذه المشاكل قبل أن يكتشفها زوّارك.
ماذا تفحص الأداة؟
أداة فحص SSL تتحقق من: تاريخ الانتهاء والأيام المتبقّية، تطابق اسم النطاق، صحة سلسلة الثقة حتى الجذر، قوة الخوارزمية والمفتاح، ودعم البروتوكولات الحديثة (TLS 1.3). كما تكشف الإعدادات الضعيفة مثل بروتوكولات قديمة يجب تعطيلها.
بعد التأكد من الشهادة، أكمل صورة بنيتك التحتية بفحص سجلات DNS ورؤوس HTTP، فالأمان سلسلة لا حلقة واحدة.
