Defaults.Exposed › الإصلاحات › سلامة شهادة TLS

كيف تُصلح سلامة شهادة TLS

شهادة SSL/TLS الخاصة بك هي بطاقة الهوية الرقمية التي تثبت أن الزائر يتحدّث فعلاً إلى موقعك — لا إلى منتحِل — وهي التي تشغّل القفل في المتصفح. يتفحّص هذا الفحص ما إذا كانت تلك الشهادة صالحة وموثوقة، وغير وشيكة الانتهاء، ومبنية بتشفير قوي وحديث.

الخلاصة لعملك: تستبدل الشهادة المعطوبة أو المنتهية موقعك بتحذير أحمر بملء الشاشة يقول 'اتصالك ليس خاصاً' في كل متصفح. يغادر معظم الزوّار فوراً ولا يعودون — تتوقف المبيعات عبر الإنترنت، وتتوقف عمليات التسجيل، ويمكن اعتراض الاتصال الذي كان من المفترض أن يكون خاصاً بهدوء.

ماذا قد يكلّفك هذا

• تنتهي شهادتك بهدوء خلال عطلة نهاية أسبوع؛ وبحلول الاثنين يصطدم كل زائر بتحذير أمني بملء الصفحة، وتتعطّل صفحة الدفع ونماذج الاتصال، وتخسر مبيعات عن كل ساعة تستغرقها لتلاحظ الأمر وتجدّد.
• يتلقّى عميل يدفع عبر شبكة Wi-Fi في مقهى أو فندق تحذيراً بأن شهادتك لا تطابق نطاقك — فيفترض أن موقعك مزيّف أو مخترَق، فيتخلّى عن الشراء، ويخبر الآخرين أنه 'بدا مشبوهاً'.
• يُجري فريق تقني لدى عميل أكبر فحصاً أمنياً قبل التعاقد، فيرى شهادة موقّعة ذاتياً أو غير موثوقة، فيصنّفك كخطر — فتتعثّر الصفقة بسبب شيء لا يكلّف إصلاحه شيئاً.
• تستخدم شهادتك طريقة توقيع قديمة أو مفتاحاً ضعيفاً؛ فتبدأ المتصفحات الحديثة بإظهار تحذيرات عليها، ويخفض تدقيق أمني تقييمك بسبب تشفير خرج من قائمة المُوصى به منذ سنوات.
• تقبل مدفوعات البطاقات فيعيد مزوّد الدفع تدقيقك؛ فيخالف مفتاح ضعيف أو شهادة منتهية قواعد أمن المدفوعات فتُجمَّد صفحة الدفع لديك حتى يُصحَّح الأمر.

لماذا يهمّ. الشهادة هي أكثر قطعة مرئية في أمن موقعك — حين تكون سليمة تكون غير مرئية، وحين تتعطّل تُسقِط موقعك بأكمله مع تحذير مُفزِع يدفع العملاء مباشرة إلى المنافسين. وانتهاء الشهادة هو السبب الأول لانقطاعات المواقع غير المتوقعة، وهو قابل للوقاية تماماً. والحصول على شهادة صالحة مجاني، والحفاظ على سلامتها مسألة تتعلق في معظمها بترك التجديد يجري تلقائياً.

ما هذا، بكلمات بسيطة

حين يزور أحدهم موقعك، لا بد أن يحدث أمران ليشعر بالأمان عند كتابة كلمة مرور أو رقم بطاقة. أولاً، يجب أن يكون الاتصال مشفّراً حتى لا يستطيع الغرباء قراءته. وثانياً — وهذا الجزء الذي ينساه الناس — يجب أن يتأكد متصفح الزائر من أنه فعلاً موقعك أنت على الطرف الآخر، لا منتحِل أعدّ نسخة مزيّفة مقنعة. والشيء الذي يقوم بالمهمتين هو شهادة TLS الخاصة بك (التي تُسمّى غالباً “شهادة SSL”).

فكّر فيها كبطاقة هوية مانعة للعبث لنطاقك. تُصدِرها جهة معترف بها، ومختومة باسم نطاقك وتاريخ انتهاء، وتحمل المفتاح التشفيري الذي يشوّش الاتصال. وحين يكون كل شيء صحيحاً، يُظهِر المتصفح القفل ويُحمَّل موقعك بشكل طبيعي. وحين يكون هناك خطأ في بطاقة الهوية، يفعل المتصفح عكس طمأنة زائرك — يُلقي تحذيراً بملء الشاشة يقول، في جوهره، “قد لا يكون هذا الموقع آمناً.”

يتفحّص هذا الفحص سلامة بطاقة الهوية تلك عبر أربعة أمور يكسرها كلّ منها على نحو مستقل:

• هل هي صالحة وموثوقة؟ — صادرة عن جهة معترف بها، مطابقة لنطاقك بالضبط، غير موقّعة ذاتياً، وغير منتهية.
• هل هي على وشك الانتهاء؟ — لأن الشهادة التي تنقضي تُسقِط موقعك بأكمله.
• هل وُقّعت بطريقة قوية؟ — يمكن تزوير خوارزميات التوقيع القديمة.
• هل مفتاحها قوي بما يكفي؟ — يمكن، مبدئياً، كسر المفتاح الضعيف.

البشرى المُقدَّمة سلفاً: الحصول على شهادة سليمة مجاني، والحفاظ على سلامتها يتعلق في معظمه بترك التجديد يجري تلقائياً حتى لا يضطر أي إنسان للتذكّر.

ما قد يكلّفك هذا

• انقطاع عطلة نهاية الأسبوع. تبلغ شهادة بهدوء تاريخ انتهائها متأخراً يوم الجمعة. التجديد الذي كان من المفترض أن يجري لم يحدث (انتقل خادم، تعطّل سكربت، لم يلاحظ أحد). وبحلول صباح السبت يرى كل زائر — وكل زاحف Google — تحذيراً أحمر بملء الصفحة بدلاً من صفحتك الرئيسية. متجرك مغلق ولا تعرف ذلك حتى. الإصلاح التقني يستغرق دقائق؛ أمّا عطلة نهاية الأسبوع المفقودة من المبيعات والعملاء الذين قرّروا أنك “خرجت من العمل” فلا يعودون.

• صفحة الدفع المهجورة. يشتري عميل من هاتفه عبر شبكة Wi-Fi فندق. شهادتك لا تطابق تماماً النطاق الذي كتبه (مثلاً تغطّي shop.yourbiz.com لكن ليس النطاق المجرّد yourbiz.com الذي استخدمه). يحذّره المتصفح من أن الموقع “قد ينتحل” موقعك. وبالنسبة لمشترٍ غير تقني يُقرأ ذلك على أنه احتيال — فيُغلق التبويب، ولا تعرف أبداً أن البيع كان موجوداً.

• العقد المتعثّر. يُجري فريق الأمن لدى عميل محتمل أكبر فحصاً روتينياً قبل التوقيع. تعود النتيجة مُظهِرةً شهادة موقّعة ذاتياً أو غير موثوقة على أحد نطاقاتك الفرعية. وحتى لو كان كل شيء آخر على ما يرام، تحوّل تلك العلامة الواحدة موافقة سريعة إلى أخذ وردّ يؤخّر الصفقة — بسبب مشكلة لا يكلّف إصلاحها شيئاً.

• التحذير البطيء. شهادتك صالحة تقنياً لكنها موقّعة بـ SHA-1، وهي طريقة قديمة تتخلّى عنها المتصفحات تدريجياً. وبعد تحديث متصفح واحد، يبدأ جزء من زوّارك برؤية تحذيرات لا تستطيع إعادة إظهارها على جهازك المُحدَّث. وتتقاطر تذاكر الدعم تقول إن الموقع “يبدو معطوباً” ولا تستطيع معرفة السبب.

• فشل الامتثال. تقبل مدفوعات البطاقات. وأثناء إعادة تدقيق، تُعلِّم فحوص مزوّدك مفتاحاً ضعيفاً أو شهادة انقضت. وتتطلب قواعد أمن البطاقات تشفيراً قوياً وحديثاً — فتُعلَّق مدفوعاتك عبر الإنترنت حتى تعيد الإصدار، مجمّدةً الإيرادات في أسوأ لحظة ممكنة.

ما هو فعلاً (الأجزاء الأربعة)

يمكن أن تكون الشهادة غير سليمة بأربع طرق متمايزة، وتغطّيها هذه الصفحة جميعاً. كلّ منها فحص منفصل تحت الغطاء، لكنها كلها بالنسبة لك “هل شهادتي على ما يرام؟“

1. صالحة وموثوقة

هذا هو الأهمّ — والجزء الوحيد من سلامة الشهادة الذي يُعدّ فحصاً حرجاً أعلى وزناً. تكون الشهادة “صالحة وموثوقة” فقط حين تتحقق كل هذه:

• صدرت عن جهة شهادات معترف بها تثق بها المتصفحات أصلاً (Let’s Encrypt، DigiCert، Sectigo، Google، Amazon، وما إلى ذلك).
• تطابق النطاق بالضبط الذي يستخدمه الزائر — بما في ذلك النطاقات الفرعية. فشهادة لـ www.yourbiz.com لا تغطّي أيضاً yourbiz.com ستُحذّر على النطاق المجرّد.
• ليست موقّعة ذاتياً — أي ليست شهادة أصدرتها لنفسك، تشفّر لكنها لا تثبت شيئاً عن هويتك.
• إنها حالياً ضمن نافذة تواريخها — غير منتهية، وغير (بشكل غريب لكنه يحدث) مؤرَّخة لتبدأ في المستقبل.
• إن سلسلة ثقتها سليمة — الجهة التي وقّعتها موثوقة هي نفسها، صعوداً حتى القمة.

إذا فشل أيّ من هذه، تُظهِر المتصفحات صفحة “اتصالك ليس خاصاً” المُرعِبة، ويفشل هذا الفحص فشلاً ذريعاً. الجيد يبدو هكذا: شهادة من جهة معترف بها، تغطّي كل نطاق ونطاق فرعي تستخدمه فعلاً، بأريحية ضمن تواريخها.

2. غير وشيكة الانتهاء

لكل شهادة تاريخ انتهاء صارم. المجانية تدوم عادة 90 يوماً؛ والمدفوعة غالباً سنة. وبعد التاريخ، تتبخّر الثقة فوراً — لا فترة سماح. يقيس هذا الفحص كم بقي من الأيام وكيف يتفاعل ذلك مع من أصدرها:

• إذا كانت منتهية أصلاً، أو تنتهي خلال أقل من 7 أيام، فيُعامَل ذلك كحرج — علامة على فشل التجديد.
• إذا كانت تنتهي خلال 30 يوماً وليست مُدارة تلقائياً، فهذا تحذير بالتجديد الآن.
• إذا كانت من مزوّد يجدّد تلقائياً (Let’s Encrypt، Cloudflare، Google، Amazon، ZeroSSL وما شابه) وبقي لها أسبوع على الأقل، فإنها تجتاز — لأنه يُتوقَّع أن تجدّد نفسها قبل الموعد النهائي.
• متّسع وافر (90+ يوماً، أو مُدارة تلقائياً) اجتياز نظيف.

الجيد يبدو هكذا: شهادة مُدارة تلقائياً تجدّد نفسها دون أن يلمسها أحد. والطريقة الأكثر موثوقية على الإطلاق لتجنّب انقطاع انتهاء هي جعل آلة، لا شخص، مسؤولة عن التجديد.

3. خوارزمية توقيع قوية

كل شهادة “موقّعة” باستخدام خوارزمية تشفيرية تتيح للمتصفحات اكتشاف العبث. والخوارزميات القديمة — MD5 وSHA-1 — ثبت أنها قابلة للتزوير، أي أن مهاجماً قد يصوغ مبدئياً شهادة احتيالية تبدو مشروعة باسمك. يجتاز هذا الفحص حين تستخدم الشهادة توقيعاً قوياً وحديثاً: SHA-256 أو أقوى (SHA-384، SHA-512)، أو ECDSA حديث، أو Ed25519/Ed448. وتفشل MD5 وSHA-1. الجيد يبدو هكذا: SHA-256 أو أفضل — وهو الافتراضي على كل شهادة مجانية وحديثة، فنادراً ما يكون هذا مشكلة على أي شيء صدر في السنوات الأخيرة.

4. مفتاح قوي

تحمل الشهادة مفتاحاً تشفيرياً يقوم بالتشويش الفعلي. وإذا كان ذلك المفتاح قصيراً جداً، فإن قوة الحوسبة الحديثة يمكنها — بما يكفي من الموارد — كسره، مما يتيح لمهاجم انتحال موقعك أو فكّ تشفير الحركة. والحدود الدنيا المقبولة هي RSA بحجم 2048 بت أو منحنى إهليلجي (EC) بحجم 256 بت. يجتاز هذا الفحص عند تلك الأحجام أو فوقها ويفشل دونها. الجيد يبدو هكذا: RSA بحجم 2048 بت (أو 4096 بت)، أو مفتاح EC بحجم 256 بت مثل P-256 — وهو، مجدداً، الافتراضي على الشهادات المجانية الحديثة.

ملاحظة حول الثلاثة الأخيرة: الصالحة-والموثوقة هي الحرجة التي تقود إلى صفحة التحذير. أمّا قوة التوقيع والمفتاح فتتعلقان بـالتحصين للمستقبل والتدقيقات — فالشهادة المجانية الحديثة تجتازهما دائماً تقريباً تلقائياً، لكنهما من الأمور التي ستفحصها مراجعة أمنية، فيستحقّان الضبط الصحيح.

كيفية الإصلاح (مجاناً، ~15 دقيقة)

سلّم هذا القسم لمن يدير موقعك أو استضافتك — الإصلاح مجاني. الشهادة الصالحة القوية ذاتية التجديد لا تكلّف شيئاً عبر Let’s Encrypt أو أي مضيف حديث. نحن نتقاضى رسوماً فقط مقابل مراقبة بقائها سليمة بمرور الوقت، لا مقابل إصلاحها. وإن لم يكن لديك شخص تقني، فإن ملاحظات المنصات أدناه ستوصِل معظم المالكين إلى الحلّ.

الخطوة 1 — احصل على الشهادة (أو استبدلها) بشهادة مجانية موثوقة. هذه الخطوة الواحدة تُصلح الصلاحية والتوقيع وقوة المفتاح دفعة واحدة، لأن الشهادات المجانية الحديثة تستخدم SHA-256 ومفاتيح قوية افتراضياً.

• Cloudflare: في SSL/TLS ← Overview، اضبط الوضع على Full (Strict). تُصدِر Cloudflare وتجدّد تلقائياً شهادة طرفية موثوقة لك؛ تأكد من أن خادمك الأصلي يحمل أيضاً شهادة صالحة حتى يعمل وضع “Strict”.
• استضافة Google Workspace / Microsoft 365 أو أي مضيف cPanel: ابحث عن SSL/TLS Status وشغّل AutoSSL. إنه يوفّر ويجدّد شهادات مجانية تلقائياً.
• منشئو المواقع (Squarespace، Wix، Shopify، مضيفو WordPress الحديثون): يكون SSL عادة مفعّلاً افتراضياً — تأكد من تفعيله في إعدادات نطاقك/الأمن، ومن أنه يغطّي كلاً من yourbiz.com وwww.yourbiz.com.
• خادم Linux الخاص بك (Nginx/Apache): ثبّت Let’s Encrypt بـ Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (أو --apache). ولمفتاح EC حديث، أضِف --key-type ecdsa. أدرِج كل اسم مضيف تخدمه بـ -d لتطابقه الشهادة جميعاً.

الخطوة 2 — اجعل التجديد تلقائياً حتى لا تنتهي مجدداً أبداً. هذه هي الخطوة التي تمنع سيناريو انقطاع عطلة نهاية الأسبوع.

• على خادم Let’s Encrypt، تأكد من أن مؤقّت التجديد فعّال واختبره: sudo certbot renew --dry-run. يُثبّت Certbot عادة مؤقّتاً تلقائياً؛ وإن لم يفعل، فأضِف مهمة cron يومية: 0 3 * * * certbot renew --quiet.
• على Cloudflare وcPanel AutoSSL والمضيفين المُدارين/منشئي المواقع، يُتولّى التجديد لك — لا شيء لجدولته.

الخطوة 3 — تأكد من أنها تغطّي الأسماء الصحيحة. أكثر أسباب “صالحة لكن تُحذّر” شيوعاً هو عدم تطابق اسم. يجب أن تغطّي الشهادة كل اسم مضيف يستخدمه العملاء فعلاً — النطاق المجرّد، وwww، وأي نطاقات فرعية مثل shop. أو app.. وعند توليد شهادة، ضمّنها كل واحد منها (شهادة عامة الاستخدام مثل *.yourbiz.com تغطّي كل النطاقات الفرعية دفعة واحدة).

الخطوة 4 — إذا كان المُعلَّم هو قوة التوقيع أو المفتاح فقط، فأعِد الإصدار فحسب. لا تحتاج لشراء أي شيء: ولّد شهادة جديدة (الخطوة 1) فستستخدم الجديدة SHA-256 ومفتاحاً قوياً تلقائياً. وعلى خادمك الخاص يمكنك تثبيت مفتاح حديث صراحةً — مثلاً openssl ecparam -genkey -name prime256v1 -out server.key لـ EC، أو openssl genrsa -out server.key 4096 لـ RSA — ثم أعِد الإصدار.

الخطوة 5 — تحقّق، ثم أعِد الفحص هنا. تأكد من التواريخ والمُصدِر والمفتاح بأمر سريع — echo | openssl s_client -servername yourbiz.com -connect yourbiz.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — ثم أعِد إجراء هذا الفحص.

الأخطاء الشائعة

• اعتبار “ثبّتنا SSL مرة” أمراً منتهياً. تنتهي الشهادات على ساعة. وبدون التجديد التلقائي، السؤال ليس إن انقضت بل متى — عادة في أكثر اللحظات إزعاجاً.
• تغطية www لكن ليس النطاق المجرّد (أو العكس). يجب أن يكون كلاهما على الشهادة، وإلا أطلق أحدهما تحذير عدم تطابق اسم. والفخّ نفسه يلتقط نطاقات فرعية جديدة تُضاف لاحقاً.
• ترك شهادة موقّعة ذاتياً على نطاق فرعي “تجريبي” هو فعلاً عام. إنها تشفّر، فتبدو آمنة — لكن المتصفحات (والماسحات الأمنية) تعاملها كغير موثوقة، وهي علامة خطر كلاسيكية في التدقيق.
• افتراض أن المدفوع يعني أأمن. شهادة Let’s Encrypt المجانية موثوقة ومشفّرة تماماً كالشهادة الباهظة. ودفع المزيد لا يصنع قفلاً أقوى.
• تجديد الشهادة لكن نسيان إعادة تحميل الخادم. الشهادة الجديدة الجاثمة على القرص لا تفعل شيئاً حتى يُعاد تحميل خادم الويب لالتقاطها — وهو سبب شائع بشكل مفاجئ لـ “جدّدتها لكنها ما زالت تُظهِر أنها منتهية”.
• تجديد تلقائي فشل بصمت. قد تتعطّل مهمة تجديد (ملف نُقِل، تغيير DNS، منفذ محجوب) وتظلّ “تنجح” بهدوء. ومراقبة تاريخ الانتهاء — لا مجرد مهمة التجديد — هي ما يلتقط هذا فعلاً قبل أن يعضّ.

الأسئلة الشائعة