تعريف HTTPS

بقلم
HTTP (1)

Hyper Text Transfer Protocol Secure أو HTTPS ببساطة ، هو إصدار متقدم وآمن للغاية من HTTP. إنه بروتوكول التطبيق الذي تتم من خلاله جميع اتصالات البيانات على الويب بشكل آمن.

HTTPS (2)

 https: أحد عوامل الترتيب في جوجل، كما قامت متصفحات مثل Chrome منذ 2018 بوضع علامة “غير آمن” على المواقع التي تعمل عبر HTTP فقط.

اليوم، اتبعت متصفحات أخرى مثل Firefox وSafari وMicrosoft Edge نفس النهج. وهذا يعني أنك عند زيارة موقع لا يستخدم https:// عبر أي متصفح شائع، ستظهر رسالة تحذير أمني.

ولهذا السبب من المهم فهم ماهية بروتوكول https, وكيفية الانتقال من HTTP إلى // https لضمان أمان البيانات.

الفصل الأول: ما هو HTTPS؟

الهدف الأول من هذا الدليل هو فهم مفهوم HTTPS بشكل أفضل، وذلك عبر استعراض النقاط التالية:

1.1 تاريخ بروتوكول HTTPS

يُعد بروتوكول HTTP الأساس في التواصل بين المتصفح والخادم لضمان تبادل البيانات.

بدأ تطوير البروتوكول ولغة HTML عام 1989 بواسطة العالم Tim Berners-Lee وفريقه في CERN.

Tim Berners et son equipe au CERN

المصدر: fun-mooc

تم إصدار النسخة الأولى HTTP 1.0 عام 1996، تلتها HTTP 1.1 عام 1997 والتي ما تزال مستخدمة على نطاق واسع حتى اليوم.

كان HTTP ينقل البيانات كنص واضح، مما يسمح لأي جهة على الشبكة بالاطلاع على المعلومات المتبادلة، وهو ما أثار مخاوف أمنية.

L hebergement est fourni par un hebergeur

 ومن هنا ظهر بروتوكولHTTPS الذي يسمح بـ:

  • إنشاء قناة اتصال مشفّرة
  • تمرير رسائل HTTP عبر هذه القناة

تم إنشاء القناة المشفّرة باستخدام بروتوكول TLS المعروف سابقًا باسم SSL.في البداية، كان HTTP يستخدم للبيانات غير الحساسة مثل قراءة الأخبار، بينما استخدم https:// للمعاملات الحساسة مثل تسجيل الدخول والتجارة الإلكترونية

ة.

Secure Sockets Layer

 ومع زيادة الاهتمام بالخصوصية، أصبحت المتصفحات تصنف مواقعHTTP على أنها غير آمنة.

HTTP/2 وتطور الأمان

إصدار HTTP/2 قدم تحسينات في الأداء وتقليل زمن الاستجابة وتعزيز الأمان.

في HTTP 1.1 كان استخدام https: اختياريًا، بينما في HTTP/2 أصبح استخدام TLS شبه إلزامي لأن معظم المتصفحات لا تدعم HTTP/2 بدون تشفير.

1.2 كيف يعمل HTTPS؟

يستخدم HTTPS بروتوكول تشفير يحوّل الاتصال العادي إلى اتصال مشفّر وآمن.

يعتمد بروتوكول TLS على بنية مفاتيح عامة وخاصة:

المفتاح العام متاح للمستخدمين لتشفير البياناتا.

المفتاح الخاص يبقى على الخادم ويُستخدم لفك التشفير

Pourquoi et comment fonctionne le chiffrement SSL TLS

عندما يتصل المستخدم بصفحة ويب ، ترسل الصفحة للمستخدم شهادة طبقة مآخذ التوصيل الآمنة (SSL) الخاصة به. هذا يعني وجود المفتاح العام الضروري لبدء جلسة آمنة. عند تشفير البيانات بالمفتاح العام، لا يمكن فكها إلا باستخدام المفتاح الخاص.

شهادة SSL وآلية الاتصال الآمن

عند دخول المستخدم إلى صفحة ويب، يرسل الموقع شهادة SSL التي تحتوي على المفتاح العام لبدء جلسة آمنة.

يمر الاتصال بعملية تُعرف باسم SSL/TLS Handshake لضمان أمان الاتصال.

طبقات الحماية التي يوفرها HTTPS

1. التشفير

نظرًا لأن HTTP بروتوكول غير مشفّر، يمكن للجهات الضارة تنفيذ هجمات MITM.لكن باستخدام SSL أو TLS، يمنع HTTPS اعتراض البيانات من أي طرف غير المستخدم أو الخادم.

Encryption Decryption

2. المصادقة

تحتوي شهادة SSL على مفتاح عام يستخدمه المتصفح للتحقق من أن البيانات المرسلة موقعة رقميًا بالمفتاح الخاص الصحيح.

وبمجرد توقيع الشهادة من جهة موثوقة، يفترض المتصفح صحة هوية الخادم.

3. سلامة البيانات

عند إرسال مستند عبر خادم https://، يتم تضمين توقيع رقمي يسمح للمتصفح بالتأكد من عدم تعديل البيانات.

يقوم الخادم بإنشاء تجزئة تشفيرية للمحتوى تُرسل مع الشهادة الرقمية، ويمكن للمتصفح التحقق منها لإثبات صحة المستند.

أهمية HTTPS في SEO وتجربة المستخدم

يعد HTTPS اليوم عنصرًا أساسيًا في تحسين محركات البحث وتجربة المستخدم، لأنه:

  • يحسّن الثقة في الموقع
  • يحمي بيانات المستخدمين
  • يقلل التحذيرات الأمنية
  • يعزز ترتيب الموقع في نتائج البحث

الفرق بين HTTP و HTTPS

العنصرHTTPHTTPS
الأمانغير مشفّرمشفّر باستخدام TLS
الثقةمنخفضةعالية
SEOتأثير سلبيتأثير إيجابي
حماية البياناتضعيفةقوية

متى يجب استخدام HTTPS؟

يجب استخدام https:// في جميع المواقع، خاصة:

  • مواقع التجارة الإلكترونية
  • مواقع تسجيل الدخول
  • المواقع التي تجمع بيانات المستخدم
  • المدونات والمواقع المؤسسية

1.3 ما الفرق بين HTTP و HTTPS؟

يساعد كل من HTTP و HTTPS المستخدمين على إرسال واستقبال المعلومات عبر الإنترنت. ومع ذلك، يكمن الفرق الأساسي بين البروتوكولين في استخدام التشفير عبر TLS أو SSL في https://.

يُعد HTTPS ضروريًا بشكل خاص للمواقع التي تتعامل مع بيانات حساسة مثل:

  • عناوين الفواتير
  • أرقام الهواتف
  • بيانات بطاقات الائتمان
  • معلومات الدفع المختلفة

يعمل https: باستخدام بروتوكول TLS أو SSL لتشفير البيانات الحساسة ومنع تعديلها أثناء النقل والتحقق من هوية المستخدمين والخوادم.بشكل عام، يضمن HTTPS الأمان عبر إنشاء مفاتيح جلسة مؤقتة لتبادل البيانات بين المستخدم والخادم

https vs http

1.4 ما فوائد HTTPS في تحسين محركات البحث (SEO)؟

إلى جانب توفير تجربة تصفح آمنة، يوفر اعتماد HTTPS عدة فوائد SEO.

1.4.1 تحسين ترتيب الموقع

توصي Google جميع المواقع باستخدام https:// بدل HTTP. ففي عام 2014 أعلنت Google أن HTTPS أصبح إشارة ترتيب إيجابيةة.

Https comme signal de classement

ومع ذلك، فإن تأثيره وحده قد يكون محدودًا، لذلك يجب دمجه مع عوامل ترتيب أخرى لتحقيق نتائج قوية.

1.4.2 تحسين دقة بيانات الإحالة

عند الانتقال من https:// إلى HTTP، يتم فقدان بيانات الإحالة وتظهر كزيارات مباشرة في Analytics، مما يؤدي إلى بيانات غير دقيقة.

أما عند الانتقال إلى https:، يتم الحفاظ على بيانات الإحالة سواء كان الموقع المصدر آمنًا أم لا.

1.5 ما تحديات HTTPS؟

رغم مزايا HTTPS، هناك بعض التحديات المحتملة.

سرعة تحميل الصفحة

يتطلب HTTPS تواصلًا إضافيًا بين الخوادم، مما قد يؤدي إلى بطء بسيط في سرعة التحميل.

ونظرًا لأن سرعة الصفحة عامل ترتيب، يجب تحسين الأداء لتقليل التأثير.

Position dans google en fonction du temps de chargement en millisecondes

تقلبات الترتيب أثناء الهجرة

تعامل Google الانتقال من HTTP إلى https:// كعملية نقل موقع، مما قد يؤدي إلى تقلبات مؤقتة في الترتيب أثناء إعادة الزحف والفهرسة.

1.6 أنواع شهادات HTTPS

يمكن تصنيف شهادات HTTPS وفقًا لمعايير مختلفة.

1.6.1 حسب التحقق من الهوية

شهادة DV (التحقق من النطاق)

هي الأكثر شيوعًا، وتؤكد تطابق النطاق مع المفتاح العام. تظهر كأيقونة قفل في المتصفح.العام الصحيح لهذا المجال.

certificat DV

شهادة EV : تتحقق هذه الشهادات من التنظيم القانوني وراء موقع الويب. هذا هو النوع الأكثر ثقة من الشهادات ، التي يتم الحصول عليها بعد أن يتحقق المرجع المصدق من الكيان القانوني الذي يتحكم في المجال. 

يتم التحقق من الكيان القانوني من خلال مجموعة من:

  • التحقق من النطاق مثل شهادة DV ،
  • وسجلات الأعمال الحكومية ، للتأكد من أن النشاط التجاري مسجل ونشط.

صحة المنظمة (OV) : مثل EV ، تتحقق شهادات OV من التنظيم القانوني وراء موقع الويب. ومع ذلك ، على عكس EVs ، لا تعرض شهادات HTTPS OV الاسم القانوني الذي تم التحقق منه في واجهة المستخدم. 

نتيجة لذلك ، تعتبر شهادات OV أقل شيوعًا ، حيث تحتوي على متطلبات تحقق عالية ، دون أن تكون مزاياها كافية للمستخدمين. 

1.6.2. اعتمادًا على عدد المجالات التي تمت تغطيتها

في الماضي ، احتوت شهادات HTTPS بشكل عام على مجال واحد في حقل CN. في وقت لاحق ، تمت إضافة حقل الاسم البديل للموضوع (SAN) للسماح بتغطية المجالات الإضافية بشهادة واحدة. 

في هذه الأيام ، تم تصميم جميع شهادات HTTPS بنفس الطريقة. حتى شهادة مجال واحدة سيكون لها SAN واحد لهذا المجال الفردي وشبكة SAN ثانية لـ wwwversion من هذا المجال. 

ومع ذلك ، لا يزال العديد من موفري الشهادات يبيعون شهادات HTTPS أحادية ومتعددة النطاقات لأسباب تاريخية.

المجال الفردي لأسماء www.example.com.

مجالات متعددة (UCC / SAN) : يمكن أن يغطي هذا النوع من الشهادات ، المعروف أيضًا باسم شهادة الاتصالات الموحدة (UCC) أو شهادة SAN (الأسماء البديلة للموضوع) ، قائمة من المجالات تصل إلى حد معين. 

يُنصح باستخدامه مع مواقع الويب ذات الصلة ، لأن العميل الذي يفحص شهادة أحد المواقع الإلكترونية سيرى النطاق الرئيسي بالإضافة إلى جميع المواقع الأخرى.

الفصل 2: ​​نصائح للتبديل من HTTP إلى HTTPS؟

قد يبدو التبديل من HTTP إلى HTTPS معقدًا بعض الشيء ، لذلك ، أقترح عليك اتباع الخطوات الخمس أدناه:

الخطوة 1. اختر شهادة SSL

للسماح لموقع الويب الخاص بك بإنشاء اتصال مشفر ، يجب عليك أولاً الحصول على شهادة TLS ، المعروفة بشكل أفضل كشهادة SSL. 

الحقيقة هي أنه بعد ترقية رئيسية ، تمت إعادة تسمية الشهادة إلى TLS ، لكن الاسم القديم ظل. الشهادة عبارة عن ملف صغير يحتوي على مفتاح تشفير بالإضافة إلى معلومات تم التحقق منها حول مالك موقع الويب. 

بناءً على كمية البيانات التي تقدمها عن الشخص أو الشركة التي تمتلك موقعًا على الويب ، يمكنك الحصول على أحد أنواع الشهادات الثلاثة.

الخطوة 2: الحصول على شهادة SSL وتثبيتها

الخيار 1: الشراء من مزود الاستضافة الخاص بك 

بمجرد أن تقرر نوع شهادة SSL التي تحتاجها ، تحقق مما يقدمه مزود الاستضافة. إذا كان السعر معقولًا ، فسيكون هذا هو خيارك الأفضل لأنك ستنجز الأمور بشكل أسرع وأسهل. 

الإجراء القياسي للحصول على شه EV (التحقق الممتد)

تتحقق من الكيان القانوني للموقع عبر سجلات حكومية وشهادات تسجيل الشركة، وتُعد الأكثر موثوقية.

شهادة OV (التحقق من المنظمة)

تتحقق من المنظمة لكن دون عرض اسمها القانوني في المتصفح، مما يجعلها أقل انتشارًا من EV.

1.6.2 حسب عدد النطاقات

شهادة نطاق واحد

تغطي example.com وwww.example.com.

شهادة متعددة النطاقات (SAN/UCC)

تغطي عدة نطاقات ضمن شهادة واحدة، وتُستخدم للمواقع المرتبطة.

الفصل الثاني: خطوات الانتقال من HTTP إلى HTTPS

قد يبدو الانتقال إلى HTTPS معقدًا، لكن يمكن تبسيطه عبر الخطوات التالية.

الخطوة 1: اختيار شهادة SSL

لبدء اتصال مشفر باستخدام https://، يجب الحصول على شهادة TLS أو SSL.

تحتوي الشهادة على مفتاح تشفير ومعلومات تحقق عن مالك الموقع.

الخطوة 2: الحصول على شهادة SSL وتثبيتها

الخيار 1: الشراء من مزود الاستضافة

الإجراء القياسي يتضمن:

  1. اختيار نوع الشهادة
  2. إنشاء مفتاح خاص وCSR
  3. طلب الشهادة من المزود
  4. إجراء التحقق
  5. تثبيت الشهادة على الخادم

شراء الشهادة من مزود الاستضافة يسهل العملية ويقلل تبادل الملفات.

كما يجب التحقق مما إذا كانت خطة الاستضافة تتضمن شهادة SSL مجانية.

الخيار 2: الشراء من جهة إصدار شهادات

يمكن شراء شهادة SSL من شركات مثل:

  • Comodo
  • Symantec
  • Geotrust

الخيار 3: الحصول على شهادة مجانية

بفضل مبادرة Let’s Encrypt، يمكن الحصول على شهادة SSL مجانية تعمل مثل المدفوعة، لكنها صالحة لمدة 3 أشهر فقط وتتطلب تجديدًا مستمرًا.

كما توفر هذه المبادرة شهادات DV فقط.

بعد تثبيت شهادة SSL، يجب التأكد من أنها تعمل بشكل صحيح. يمكن استخدام أداة اختبار الخادم SSL Server Test لهذا الغرض.لذلك

Allons Encrypter

تقوم هذه الأداة بـ:

  • التحقق من صلاحية الشهادة
  • تحديد بروتوكول التشفير المستخدم
  • قياس قوة التشفير
  • حساب تقييم أمني شامل للموقع

أعلى تقييم ممكن هو A+، وإذا حصل موقعك على درجة أقل، ستوضح الأداة الأسباب وكيفية تحسينها.

الخطوة 3: فرض استخدام HTTPS

بعد تثبيت شهادة SSL بنجاح، سيصبح موقعك متاحًا عبر HTTP و HTTPS في نفس الوقت. المشكلة أن محركات البحث تعتبرهما موقعين مختلفين، مما قد يسبب تنافسًا في نتائج البحث.

لحل ذلك، يجب إعداد إعادة توجيه إلى https://.

ومع مرور الوقت، ستتم فهرسة صفحات https: وتختفي نسخ HTTP من نتائج البحث، بينما ينتقل عصير الروابط إلى النسخة الآمنة.

لكن قبل إعداد إعادة التوجيه، يجب استبدال الروابط المطلقة بروابط نسبية.

3.1 تنفيذ الروابط النسبية

الفرق بين الروابط المطلقة والنسبية

  • الرابط المطلق يحتوي على العنوان الكامل، مثل: https://twaino.com/blog/
  • الرابط النسبي يستخدم للروابط الداخلية مثل: /blog

عند استخدام الروابط النسبية، يضيف المتصفح البروتوكول واسم النطاق تلقائيًا.

يجب استبدال جميع الروابط المطلقة التالية بروابط نسبية:

  • الروابط الداخلية
  • ملفات CSS
  • السكربتات
  • الصور
  • الفيديوهات

وإلا قد يحدث محتوى مختلط حيث يتم تحميل بعض العناصر عبر HTTP وأخرى عبر https://.

مخاطر المحتوى المختلط

Comment résoudre une chaine de redirection ?

 تجعل الصفحات التي تحتوي على محتوى مختلط عرضة لهجمات MITM، لأن العناصر التي تُحمّل عبر HTTP تسمح للمتسللين بالتحكم في الصفحة.

كما تقوم المتصفحات بتصنيف هذه الصفحات على أنها غير آمنة.

لذلك يجب التأكد من تحميل جميع موارد الموقع عبر HTTPS.

3.2 إعداد إعادة توجيه 301

لإعادة توجيه المستخدمين ومحركات البحث إلى https://، يجب استخدام إعادة التوجيه 301 على مستوى الخادم.

تشير هذه العملية إلى أن الصفحة انتقلت بشكل دائم إلى عنوان جديد.

إذا كان الموقع يعمل على خادم Apache، يمكن إضافة كود إلى ملف .htaccess الموجود في الجذر.

Les redirections 301

.

يُنصح بإنشاء نسخة احتياطية قبل التعديل، وإذا لم يوجد الملف، يمكن إنشاؤه باستخدام محرر نصوص.

الخطوة 4: تحديث Google Search Console

حتى بعد إعداد إعادة التوجيه، قد تستمر صفحات HTTP في الظهور في نتائج البحث.

لتسريع فهرسة صفحات HTTPS:

  • أضف نسخة https:// من الموقع إلى Search Console
  • حمّل خريطة موقع XML محدثة

منذ 2019، قدمت Google خاصية Domain Property التي تجمع بيانات جميع إصدارات الموقع مثل:

  • yoursite.com
  • www.yoursite.com
  • m.yoursite.com
  • help.yoursite.com

سواء عبر HTTP أو HTTPS.

إذا كنت تستخدم Domain Property، فسيتم جمع بيانات https: تلقائيًا.

أما إذا كان الموقع يستخدم URL Prefix، يجب إضافة نسخة https:// يدويًا.

الخطوة 5: البحث عن الأخطاء وإصلاحها

بعد تنفيذ الروابط النسبية وإعداد إعادة التوجيه، من غير المتوقع حدوث أخطاء حرجة. ومع ذلك، يُنصح بإجراء تدقيق شامل للموقع.

النقاط التي يجب التحقق منها

  • الصفحات الموجودة يجب أن تُرجع رمز 200
  • الصفحات غير الموجودة يجب أن تُرجع 404
  • صفحات HTTPS يجب ألا تكون محظورة عبر robots.txt أو meta noindex
  • الوسوم canonical وhreflang يجب أن تشير إلى صفحات https://
  • عدم وجود أخطاء محتوى مختلط

يمكن اكتشاف هذه المشكلات بسهولة عبر تدقيق SEO كامل للموقع.

الخلاصة

قد يبدو الانتقال إلى HTTPS مهمة معقدة، لكنه ضروري لحماية بيانات المستخدمين وتحسين ترتيب الموقع.

الاستمرار في استخدام HTTP يعرض أمان المستخدمين للخطر ويؤثر على الثقة في الموقع.

ومن خلال هذا الدليل، تعلمت:

  • الفرق بين HTTP و HTTPS
  • كيفية عمل التشفير
  • أنواع الشهادات
  • خطوات الانتقال إلى https://
  • طرق إصلاح الأخطاء بعد الهجرة

اعتماد HTTPS لم يعد خيارًا بل ضرورة لضمان الأمان والثقة وتحسين الأداء في محركات البحث

    التصنيفات H