Defaults.Exposed

Defaults.Exposedالإصلاحات › التشفير الحديث (إصدار TLS والأصفار)

كيف تُصلح التشفير الحديث (إصدار TLS والأصفار)

TLS هو القفل الذي يشوّش البيانات المتدفّقة بين زوّارك وموقعك. أمران يجعلان ذلك القفل جديراً بالثقة: استخدام إصدار حديث من TLS (لا الإصدارات القديمة المعطوبة)، واستخدام أصفار قوية (وصفة التشويش الفعلية). تغطّي هذه الصفحة كليهما — بالإضافة إلى بضعة إعدادات ذات صلة لا تؤثر في درجتك لكنها تستحق المعرفة.

الخلاصة لعملك: إذا كان موقعك يعمل بتشفير عتيق أو أصفار ضعيفة، فإن التفاصيل الخاصة التي يكتبها عملاؤك — عمليات تسجيل الدخول، وأرقام البطاقات، ومعلومات الاتصال — يمكن اعتراضها وقراءتها بهدوء على الشبكات المشتركة، وقد تفشل في الفحوص الأمنية التي تشترطها الآن البنوك ومعالجو الدفع والعملاء الأكبر قبل أن يتعاملوا معك.

ماذا قد يكلّفك هذا

لماذا يهمّ. التشفير الآمن غير مرئي؛ والتشفير العتيق أو الضعيف عبء يجثم بهدوء حتى اليوم الذي يكلّفك فيه عميلاً أو عقداً أو اجتياز امتثال. وفحصا إصدار TLS والأصفار هما الجزآن اللذان يحرّكان درجتك فعلاً، وكلاهما عادة إعداد واحد مجاني — ولا فائدة على الإطلاق من ترك الخيارات القديمة المعطوبة مفعّلة.

بكلمات بسيطة

حين يزور أحدهم موقعك، يُشوَّش كل ما يكتبه — عمليات تسجيل الدخول، وأرقام البطاقات، والأسماء، وأرقام الهواتف، والرسائل — أثناء النقل حتى لا يستطيع الغرباء قراءته. والتقنية التي تقوم بالتشويش تُسمّى TLS (قد تسمعها أيضاً باسم SSL، اسمها الأقدم). ولكي يكون ذلك التشويش آمناً فعلاً، يجب أن يكون أمران صحيحين:

  1. إصدار TLS — أيّ جيل من التقنية تستخدمه. الإصدارات المبكرة (TLS 1.0 و1.1) كانت معطوبة علناً منذ سنوات؛ والآمنة هي TLS 1.2 وTLS 1.3.
  2. الصفر — الوصفة المحددة التي يستخدمها TLS للتشويش. بعض الأصفار (مثل RC4 وDES و3DES) كُسِرت وأصبحت محظورة الآن؛ والأصفار الحديثة لا تزال قوية.

تغطّي هذه الصفحة كليهما، لأن الموقع قد يضبط أحدهما بشكل صحيح والآخر خطأ. يمكن أن يكون لديك قفل حديث مع وصفة قديمة قابلة للكسر لا تزال مفعّلة — أو وصفة قوية يحميها قفل عتيق. أيّ ثغرة باب مفتوح. وكلاهما يُغلَق عادة بـالتغيير المجاني الواحد نفسه لإعدادات خادمك أو استضافتك.

ما قد يكلّفك هذا

ما هو فعلاً

إصدار TLS

الموقع لا يدعم إصداراً واحداً فقط من TLS — بل يمكنه عرض عدة إصدارات في آن واحد ويترك متصفح كل زائر يختار. سيستخدم زائر حديث أحدث إصدار متاح ويرى قفلاً طبيعياً. والخطر أن الإصدارات القديمة المعطوبة يمكن أن تجثم هناك إلى جانب الجيدة كباب خلفي مفتوح: يستطيع مهاجم إجبار اتصال زائر على “النزول” إلى TLS 1.0 أو 1.1 ثم استغلال نقاط الضعف المعروفة في تلك الإصدارات (هجوما BEAST وPOODLE هما المثالان الشهيران) لفكّ تشفير الحركة.

فيتصل فحصنا بموقعك ويختبر كل إصدار على حدة — TLS 1.0 و1.1 و1.2 و1.3 — ليرى أيّها لا يزال خادمك يقبله. إليك كيف يبدو “الجيد” وكيف يُقيَّم:

الصفر

بمجرد اختيار إصدار، يختار TLS صفراً — الخوارزمية الفعلية التي تشوّش البيانات. معظم الأصفار الحديثة قوية. وحفنة منها معطوبة ويجب ألّا تُستخدم أبداً: RC4 (تشويشه منحاز ويُسرّب النصّ الصريح)، وDES (مفتاحه قصير جداً بحيث يمكن كسره بالقوة الغاشمة)، و3DES (معرّض لهجوم “Sweet32”)، بالإضافة إلى NULL (لا تشفير على الإطلاق)، وأصفار EXPORT-grade (ضعيفة عمداً — هجوما FREAK وLogjam)، والأصفار المجهولة (لا فحص هوية، فيمكن لمنتحِل الجلوس في المنتصف).

يفعل فحص الأصفار لدينا أمرين. أولاً ينظر في الصفر الذي تفاوض عليه خادمك معنا فعلاً. ثم — وهذا الجزء المهمّ — يحاول بشكل فعّال إجراء مصافحة باستخدام عدة أصفار معروفة بأنها معطوبة (RC4 و3DES وEXPORT وNULL والمتغيرات المجهولة). يمكن لخادم أن يختار صفراً قوياً حين يتحدّث إلى عميل حديث لكنه لا يزال يقبل صفراً ضعيفاً إن أصرّ مهاجم — وذلك خطر نزول حقيقي. وإذا قبل خادمك أي صفر محظور، يُعلِّمه الفحص؛ وقبول صفر حرج (مثل RC4 أو NULL) فشل. (على TLS 1.3 لا شيء للقلق بشأنه هنا — فذلك الإصدار أزال كل صفر ضعيف بالتصميم، فتُتخطّى السبر.)

الإضافات الثلاث للعلم

ثلاثة بنود ذات صلة يُبلَّغ عنها لكنها لا تؤثر في درجتك — تُعلَّم للعلم لأنه لا يمكن التحقق منها بموثوقية من الخارج، وعلى أي خادم أو CDN حديث تُتولّى أصلاً بشكل صحيح:

نعرض هذه ليكون لدى الشخص التقني لديك الصورة الكاملة، لكن بالنسبة للغالبية العظمى من المالكين لا شيء لفعله — فدرجتك تقودها فحوص الإصدار والأصفار أعلاه.

كيفية الإصلاح (مجاناً، ~30 دقيقة)

سلّم هذا للشخص التقني لديك — الإصلاح مجاني. هذا القسم لمن يدير نطاقك أو موقعك أو استضافتك. الإصلاح تغيير إعداد، لا عملية شراء؛ نحن نتقاضى رسوماً فقط مقابل مراقبة بقاء تشفيرك مُعدّاً بشكل صحيح بمرور الوقت. والإعداد الحديث الواحد أدناه يُصلح نتيجتي الإصدار والأصفار دفعة واحدة.

النهج الموثوق الأبسط هو توليد إعداد معروف بأنه سليم بدلاً من كتابته يدوياً: الصق نوع خادمك في مولّد إعدادات SSL من Mozilla على https://ssl-config.mozilla.org/ واختر ملف “Intermediate” (توافق واسع) أو “Modern” (TLS 1.3 فقط، إن لم تكن بحاجة لدعم أي شيء قديم). فيُخرِج أسطر ssl_protocols وssl_ciphers الصحيحة لك.

حسب المنصة:

  1. Cloudflare أو مضيف مُدار — عادة نقرة أو نقرتان. في Cloudflare: SSL/TLS ← Edge Certificates ← Minimum TLS Version ← TLS 1.2، ومجموعات الأصفار هناك تُدار لك (لن تعرض المنصة أصفاراً محظورة). ومعظم المضيفين المُدارين ومنشئي المواقع (Squarespace، Wix، Shopify، مضيفو WordPress الحديثون) يفرضون أصلاً TLS 1.2+ بأصفار قوية — فقط تأكد من عدم وجود خيار “legacy TLS” أو “توافق المتصفحات القديمة” لا يزال مفعّلاً.
  2. Nginx. اضبط الإصدارات الحديثة فقط وقائمة أصفار قوية صريحة، ثم أعِد التحميل: 
    ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
    (يتطلب TLS 1.3 وجود OpenSSL 1.1.1+ على الجهاز.)
  3. Apache. عطّل الإصدارات القديمة وثبّت قائمة أصفار قوية، ثم أعِد التشغيل: 
    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder on
  4. Windows / IIS. استخدم أداة IIS Crypto المجانية (أو إعدادات السجل المكافئة) لتعطيل TLS 1.0 و1.1، وتعطيل أصفار RC4/DES/3DES/NULL/EXPORT، وترك TLS 1.2 و1.3 بأصفار قوية مفعّلة. وقالب “Best Practices” في الأداة يفعل كل هذا بنقرة واحدة.
  5. الإضافات للعلم (اختياري، مجاني). إن أردت المسح النظيف الكامل: على Nginx أضِف ssl_stapling on; ssl_stapling_verify on; (مع سطر resolver) لـ OCSP stapling؛ وعلى Apache، SSLUseStapling On. أمّا ضغط TLS وإعادة التفاوض الآمنة فهما آمنان افتراضياً على الخوادم الحديثة — لا إجراء مطلوب. وعلى Cloudflare تُتولّى الثلاثة تلقائياً.
  6. تحقّق، ثم أعِد الفحص هنا. تأكد من بقاء الإصدارات والأصفار الآمنة فقط — مثلاً بـ nmap --script ssl-enum-ciphers -p 443 yourdomain.com، أو اختبر بأدوات https://ssl-config.mozilla.org/ المرتبطة — ثم أعِد إجراء هذا الفحص. وحيثما أمكن، فعّل TLS 1.3 إلى جانب 1.2: فهو أسرع وأأمن.

الأخطاء الشائعة

ما يجب تذكّره

إصدار TLS والصفر هما الجزآن من تشفيرك اللذان يحرّكان درجتك فعلاً، وكلاهما يتلخّص في إطفاء خيارات كانت معطوبة علناً منذ سنوات. الإصلاح مجاني، وهو عادة سطر إعداد حديث واحد لكل خادم، وبالنسبة لزائر عادي لا يغيّر شيئاً سوى جعل اتصاله آمناً فعلاً. أمّا البنود ذات الصلة — الضغط، وOCSP stapling، وإعادة التفاوض الآمنة — فتستحق المعرفة لكنها لن تؤثر في درجتك، وعلى أي إعداد حديث تُتولّى لك أصلاً.

الأسئلة الشائعة

لستُ شخصاً تقنياً — هل يمكنني التعامل مع هذا بنفسي؟

لستَ بحاجة لفهم التفصيل التقني. على معظم الاستضافات الحديثة إنه إعداد أو إعدادان، وهو مجاني. سلّم قسم 'كيفية الإصلاح' أدناه لمن يدير موقعك أو استضافتك (أو مزوّد خدمتك التقنية) — إنه عادة تغيير من خمس إلى عشر دقائق دون أي فرق مرئي لزوّارك سوى اتصال أأمن.

هل سيمنع التحوّل إلى التشفير الحديث متصفحات العملاء القدامى من العمل؟

عملياً، لا. كل متصفح وهاتف حديث من العقد الماضي تقريباً يستخدم أصلاً التشفير الجديد والأصفار القوية افتراضياً — وقد فعل ذلك منذ سنوات. والأشياء الوحيدة التي اعتمدت على الإصدارات القديمة أو الأصفار الضعيفة هي نفسها عتيقة وغير آمنة، وهو بالضبط سبب رفض كل متصفح كبير لها أصلاً. وبالنسبة لجميع الأنشطة التجارية تقريباً، التغيير غير مرئي للعملاء.

موقعي يُحمَّل جيداً بقفل — لماذا لا يزال هذا يُعلَّم؟

القفل يعني فقط أن اتصالاً آمناً موجود؛ لا يخبرك بأي إصدار من TLS أو أي صفر خلفه. يمكن لموقعك أن يُظهِر قفلاً طبيعياً تماماً بينما لا يزال بهدوء يقبل إصداراً قديماً معطوباً أو صفراً محظوراً إلى جانب الجيدة — وذلك الباب الخلفي المفتوح هو ما تلتقطه هذه الفحوص. وإغلاقه لا يزيل القفل؛ بل يضمن فقط السماح بالخيارات الآمنة وحدها.

ما الفرق بين إصدار TLS والصفر؟

فكّر في إصدار TLS كأيّ جيل من القفل تستخدمه، والصفر كالوصفة المحددة التي يستخدمها لتشويش البيانات. يمكن أن يكون لديك قفل حديث (TLS 1.2 أو 1.3) لكنك تترك وصفة قديمة قابلة للكسر (مثل RC4 أو 3DES) مفعّلة — أو العكس. كلاهما يجب أن يكون صحيحاً، ولهذا نفحصهما بشكل منفصل. والبشرى أن الإعداد الحديث نفسه من سطر واحد يُصلح كليهما عادة دفعة واحدة.

ماذا عن OCSP stapling وضغط TLS — هل يؤثران في درجتي؟

لا. هذان (إلى جانب إعادة التفاوض الآمنة) للعلم فقط — نُبلّغ عنها لأنها تهمّ للأداء والدفاع متعدد الطبقات، لكنها لا تحرّك درجتك. وعلى خوادم الويب الحديثة وأي CDN مثل Cloudflare تُتولّى بشكل صحيح افتراضياً، فلا شيء على معظم المالكين فعله. التفصيل في القسم أدناه للشخص التقني لديك.

هل إصلاح هذا مجاني فعلاً؟

نعم. تعطيل إصدارات TLS القديمة والأصفار الضعيفة، وتفعيل هذه الحمايات، تغييرات إعداد على خادمك أو استضافتك الحالية — لا شيء لشرائه. نحن نتقاضى رسوماً فقط مقابل مراقبة بقاء تشفيرك مُعدّاً بشكل صحيح بمرور الوقت، لا مقابل إصلاحه.