إنّ بروتوكول نقل الروابط النصية (HTTP) هو مجموعة من القواعد التي تستخدمها المتصفحات لتحديد طريقة قراءة البيانات ونقلها على الويب. عندما يشتمل عنوان URL على "http"، يعرف المتصفح أنه يجب اتّباع هذا البروتوكول لتحميل صفحة ويب بنجاح.
يعمل بروتوكول HTTPS بالطريقة نفسها التي يعمل بها بروتوكول HTTP، باستثناء أنّ HTTPS يطلب من المتصفح ترميز البيانات التي يتم تبادلها مع إحدى صفحات الويب. يعمل الترميز على تمويه البيانات وتقليل فرص عرض معلوماتك أو التلاعب بها. وهذا الإجراء مهم إذا كان الموقع الإلكتروني يتضمّن بيانات حسّاسة، مثل تفاصيلك الشخصية أو معلوماتك المالية.
إعداد HTTPS
لاستخدام HTTPS مع اسم نطاقك، يجب تثبيت شهادة طبقة المقابس الآمنة أو طبقة النقل الآمنة على موقعك الإلكتروني. يمكن أن يقدّم مضيف الويب (المستضيف على الويب) تأمين HTTPS، أو يمكنك طلب شهادة طبقة المقابس الآمنة/طبقة النقل الآمنة من مراجع التصديق وتثبيتها بنفسك. ويمكن أن تتطلّب شهادات طبقة المقابس الآمنة/طبقة النقل الآمنة التجديد بشكل دوري.
ثمة أنواع مختلفة من خوادم الويب، ويتبّع كلّ نوع عملية خاصة به لتثبيت شهادات طبقة المقابس الآمنة/طبقة النقل الآمنة وتعديلها. يجب معرفة خادم الويب الذي يستخدمه موقعك الإلكتروني واتّباع التعليمات الخاصة به لتثبيت شهادتك وتعديلها.
إنّ خدمات Google التالية تُصدر شهادات طبقة المقابس الآمنة/طبقة النقل الآمنة وتثبّتها وتجدّدها تلقائيًا بدون أي تكلفة إضافية:
يُصدر أيضًا العديد من مضيفي الويب التابعين لجهات خارجية شهادات طبقة المقابس الآمنة/طبقة النقل الآمنة ويثبّتونها ويجدّدونها. يمكنك استخدام أي مضيف ويب مع Google Domains، بما في ذلك Bluehost وShopify وSquarespace وWeebly وWix.
إذا كان مضيف الويب الخاص بك لا يوفّر تأمين HTTPS، يمكنك الحصول على شهادة طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل (TLS) لنطاقك من مرجع تصديق. تملك Google مرجع تصديق خاصًا بها، وهو Google Trust Services. بإمكان عملاء Google Domains الحصول على شهادة من Google Trust Services باتّباع التعليمات الواردة في صفحة "الأمان" لنطاقك.
Let's Encrypt هو مرجع تصديق شائع آخر يوفّر شهادات لإضفاء الأمان على الإنترنت.
بعد الحصول على الشهادة، يجب أن تتعاون مع مضيف الويب لتثبيتها. إذا أردت استضافة موقعك الإلكتروني على خوادمك الخاصة، تعرَّف على طريقة تفعيل HTTPS. إذا كنت تستخدم بروتوكول بيئة إدارة الشهادات المبرمَجة (ACME) لإدارة شهاداتك، يمكنك اتّباع الخطوات الواردة أدناه لإدارتها باستخدام ACME ونظام أسماء النطاقات.
للحصول على شهادة من Google Trust Services، اتّبِع الخطوات التالية:
- سجِّل الدخول إلى Google Domains.
- اختَر النطاق الذي تريد الحصول على شهادة له.
- في أعلى يمين الصفحة، انقر على رمز القائمة
الأمان.
- ضمن قسم "شهادات طبقة المقابس الآمنة/طبقة النقل الآمنة لنطاقك"، وسِّع قسم Google Trust Services.
- انقر على الحصول على مفتاح EAB.
- يظهر مربع حوار يتضمّن قيمتَين، وهما "رقم تعريف مفتاح ربط حساب خارجي (EAB)" و"مفتاح رمز مصادقة الرسالة استناداً على التجزئة هاش (HMAC) لمصادقة عملية ربط حساب خارجي (EAB)".
- انسَخ هاتَين القيمتَين من خلال النقر على الزر نسخ بجانب كل منهما.
- استخدِم هاتَين القيمتَين لتسجيل حساب في مرجع تصديق Google Trust Services. تختلف قليلاً عمليات تنفيذ برنامج ACME عن بعضها البعض، وذلك بحسب القيمة التي تحددها لمفتاح EAB هذا. يمكنك الرجوع إلى المقالة المتعلقة ببرنامج ACME الذي تريد استخدامه.
- في ما يلي مثال على طريقة الإعداد باستخدام برنامج Certbot ACME الشائع.
- لتسجيل حساب:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- بعد إنشاء الحساب، يمكنك إصدار الشهادات من خلال تشغيل:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- لتسجيل حساب:
- في ما يلي مثال على طريقة الإعداد باستخدام برنامج Certbot ACME الشائع.
- يظهر مربع حوار يتضمّن قيمتَين، وهما "رقم تعريف مفتاح ربط حساب خارجي (EAB)" و"مفتاح رمز مصادقة الرسالة استناداً على التجزئة هاش (HMAC) لمصادقة عملية ربط حساب خارجي (EAB)".
الأمان.إدارة الشهادات باستخدام ACME وDNS
ACME هو بروتوكول شائع يُستخدم لإدارة الشهادات بطريقة آلية بين مرجع تصديق وخادم. تتيح الإدارة الآلية للعديد من المستخدمين تقليل احتمالات انقطاع الخدمة بسبب تعذّر تجديد شهادات HTTPS.
يستخدم بروتوكول ACME مجموعة تحديات لإثبات تحكّمك في اسم نطاق. يتيح Google Domains استخدام نوع تحدي DNS-01 مع خوادم نظام أسماء النطاقات من خلال الرموز المميّزة لواجهة برمجة التطبيقات.
لإنشاء رمز مميّز لواجهة برمجة التطبيقات، اتّبِع الخطوات التالية:
- سجِّل الدخول إلى Google Domains.
- اختَر النطاق الذي تريد استخدامه.
- في أعلى يمين الصفحة، انقر على رمز القائمة
- ضمن القسم ACME DNS API، انقر على إنشاء رمز مميّز.
ملاحظة مهمة: يتم عرض هذه القيمة مرة واحدة فقط. بعد إغلاق مربّع الحوار، لن تتمكّن من العثور على الرمز المميّز لواجهة برمجة التطبيقات هذا مرة أخرى. ننصحك بالاحتفاظ بهذا الرمز المميّز في مكان آمن، فبإمكان كل من يحصل عليه أن يعدّل بعض سجلات نظام أسماء النطاقات في نطاقك.
- يظهر مربع حوار يتضمّن رمزًا مميّزًا لواجهة برمجة التطبيقات.
- عليك استخدام الرمز المميّز هذا للدخول إلى برنامج ACME.
- لنسخ هذه القيمة، انقر على الزر نسخ بجانب الرمز المميّز.
- إذا لم تحفظ هذه القيمة قبل إغلاق مربّع الحوار، يمكنك بسهولة حذف الرمز السابق وإنشاء رمز مميّز جديد لواجهة برمجة التطبيقات.
- يمكنك إنشاء 10 رموز مميزة كحدّ أقصى في كل مرة.
- عند إغلاق مربّع الحوار، سيظهر سجلّ في القائمة. لإبطال إذن الوصول إلى السجلّ، يمكنك حذف هذا الرمز المميّز في أي وقت.
- يمكن استخدام الرمز المميّز لواجهة برمجة التطبيقات في برنامج ACME متوافق مع Google Domains ACME DNS API. تختلف قليلاً عمليات تنفيذ برنامج ACME عن بعضها البعض، وذلك بحسب القيمة التي تحددها للرمز المميّز هذا. يمكنك الرجوع إلى المقالة المتعلقة ببرنامج ACME الذي تريد استخدامه.
- يظهر مربع حوار يتضمّن رمزًا مميّزًا لواجهة برمجة التطبيقات.
حماية شهادات طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل (TLS)
يساعد بروتوكول HTTPS في منع حدوث هجمات الوسيط، ولكن إذا تمكّن أحد المستخدمين من تقليد شهادة طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل، تبقى هذه الهجمات ممكنة. لتجنّبها، عليك مراجعة الشهادات التي لا يمكنك التعرّف عليها الصادرة لموقعك الإلكتروني. يمكنك أيضًا تحديد المستخدمين الذين يمكنهم إصدار شهادات لنطاقك من خلال سجلات موارد تفويض مرجع التصديق (CAA).
عرض الشهادات التي تم إصدارها لنطاقك
لمراجعة الشهادات التي تم إصدارها لنطاقك، يمكنك البحث عنها في censys.io.