شرح بروتوكولات الاتصال الآمن واستخراج شهادات SSL المجانية للمواقع المحلية

🔐 لماذا HTTPS ضروري حتى للمواقع المحلية؟

في عالم اليوم، أصبح بروتوكول HTTPS ليس مجرد خيار للمواقع التجارية الكبرى، بل ضرورة مطلقة لأي موقع أو خدمة ويب، حتى تلك التي تعمل داخل الشبكات المحلية (Intranet). كثير من المطوّرين يقعون في فخ الاعتقاد بأن التشفير ضروري فقط للمواقع العامة التي تتعامل مع بيانات حساسة، لكن الواقع مختلف تماماً.

شاشة مراقبة السيرفر - CMD Terminal

root@taskvaults-server:~$ status_monitor --running
[INFO] Active connection secure tunnel... OK
[INFO] Service binding on port 8080... PASS
[WARN] Thread load pool optimized dynamic
[OK] Memory Page File allocated 16384 MB
[OK] Network Interfaces bandwidth 10 Gbps
[OK] SSL Certificates renewal schedule valid
[SYSTEM] Active monitoring dashboard initialized...

شكل 1: الخطوات المتتابعة لإنشاء اتصال مشفر بـ TLS/SSL

المتصفحات الحديثة مثل Chrome وFirefox وEdge باتت تُطبّق سياسات صارمة ضد المواقع غير المشفّرة: تُظهر تحذيرات "الاتصال غير آمن" التي تُنفّر المستخدمين، وتمنع بعض واجهات برمجة التطبيقات الحديثة (APIs) كـ Geolocation وServiceWorkers من العمل على HTTP. بل إن بعض ميزات CSS الحديثة ترفض العمل على اتصالات غير مشفّرة.

أما في بيئة التطوير المحلية، فالحاجة إلى HTTPS تبرز بوضوح عند اختبار ميزات تتطلب سياق آمن (Secure Context) مثل: Service Workers، Push Notifications، Web Authentication (WebAuthn)، ومشاركة الشاشة (Screen Sharing API). بدون HTTPS، لن تعمل هذه الميزات حتى في بيئة التطوير، مما يجعل الاختبار مستحيلاً.

🤝 كيف يعمل TLS/SSL: شرح مبسط لعملية المصافحة

بروتوكول TLS (Transport Layer Security) هو الوريث الحديث للـ SSL (Secure Sockets Layer)، وإن كان الاسم "SSL" لا يزال شائع الاستخدام في الحديث اليومي. يعمل TLS على إنشاء قناة اتصال مشفّرة بين المتصفح والخادم من خلال عملية تُسمى "المصافحة" (Handshake).

مراحل مصافحة TLS 1.3 (المبسّطة)

1. Client Hello: يُرسل المتصفح رسالة تحتوي على: إصدارات TLS المدعومة، قائمة بخوارزميات التشفير المدعومة (Cipher Suites)، ومفتاح عشوائي مؤقت.
2. Server Hello: يردّ الخادم بتأكيد إصدار TLS المختار وخوارزمية التشفير، ويُرسل شهادته الرقمية (SSL Certificate) التي تحتوي على مفتاحه العام (Public Key).
3. التحقق من الشهادة: يتحقق المتصفح من صحة الشهادة عبر التحقق من توقيع جهة الإصدار (CA - Certificate Authority) وصلاحية الشهادة وتطابق اسم النطاق.
4. Key Exchange: في TLS 1.3 يُستخدم بروتوكول Diffie-Hellman لتبادل مفاتيح التشفير بشكل آمن دون نقل المفتاح السري عبر الشبكة.
5. Session Keys: يُشتق من عملية التبادل مفتاح جلسة (Session Key) متماثل يُستخدم لتشفير وفك تشفير جميع البيانات المتبادلة.
6. Finished: يُرسل الطرفان رسالة تأكيد لإكمال المصافحة، وتبدأ الاتصالات المشفّرة.

📜 أنواع شهادات SSL: DV وOV وEV

لا تتساوى شهادات SSL في مستوى التحقق والثقة التي تُقدّمها. يوجد ثلاثة أنواع رئيسية:

للاستخدامات العادية والتطوير، شهادات DV تُعدّ كافية تماماً، وهي ما تُقدّمه Let's Encrypt مجاناً. أما EV فقد تراجعت أهميتها بعد أن أزالت معظم المتصفحات الشريط الأخضر المميز لها في تحديثات 2019.

🔓 Let's Encrypt: ما هو وكيف يعمل؟

Let's Encrypt هي جهة إصدار شهادات (Certificate Authority) غير ربحية أُسست عام 2014 بهدف واحد: جعل الويب مشفّراً بالكامل من خلال تقديم شهادات SSL/TLS مجانية وآلية. تديرها مجموعة Internet Security Research Group (ISRG) وتحظى بدعم شركات التكنولوجيا الكبرى.

كيف يعمل Let's Encrypt؟

يستخدم Let's Encrypt بروتوكول ACME (Automatic Certificate Management Environment) لأتمتة عملية إصدار الشهادات وتجديدها. العملية تمر بمراحل:

1. طلب الشهادة: يُرسل Certbot طلب شهادة لخوادم Let's Encrypt.
2. تحدي التحقق (Challenge): يطلب Let's Encrypt من Certbot إثبات ملكية النطاق عبر أحد الأساليب:
   • HTTP-01: وضع ملف نصي في مجلد محدد على الخادم
   • DNS-01: إضافة سجل TXT في DNS الخاص بالنطاق
   • TLS-ALPN-01: التحقق عبر بروتوكول TLS مباشرة
3. إصدار الشهادة: بعد التحقق الناجح تُصدر الشهادة فوراً وتكون صالحة لـ 90 يوماً.
4. التجديد التلقائي: يُجدّد Certbot الشهادة تلقائياً قبل انتهاء صلاحيتها بـ 30 يوماً.

🛠️ استخراج شهادة مجانية من Let's Encrypt باستخدام Certbot

Certbot هو الأداة الرسمية التي طوّرتها Electronic Frontier Foundation (EFF) للتفاعل مع Let's Encrypt. إليك خطوات الاستخدام على Linux (Ubuntu/Debian):

التثبيت

# تثبيت Certbot على Ubuntu
sudo apt update
sudo apt install certbot python3-certbot-nginx  # للـ Nginx
sudo apt install certbot python3-certbot-apache  # للـ Apache
      

الحصول على الشهادة مع Nginx

# إصدار الشهادة مع الضبط التلقائي للـ Nginx
sudo certbot --nginx -d example.com -d www.example.com

# أو الحصول على الشهادة فقط بدون ضبط تلقائي
sudo certbot certonly --nginx -d example.com

# التحقق من نجاح التجديد التلقائي
sudo certbot renew --dry-run
      

الحصول على الشهادة بطريقة DNS Challenge

# مفيد للنطاقات الداخلية أو Wildcard certificates
sudo certbot certonly --manual --preferred-challenges dns -d *.example.com
# ستحصل على سجل TXT يجب إضافته في DNS قبل المتابعة
      

🖥️ تثبيت SSL على IIS خطوة بخطوة

إذا كنت تعمل على Windows Server مع IIS، فالعملية تختلف قليلاً عن Linux. هناك أداة رائعة تُسمى win-acme (تُعرف أيضاً بـ WACS) تقوم بالمهمة بأتمتة كاملة.

استخدام win-acme مع IIS

1. حمّل win-acme من الموقع الرسمي: github.com/win-acme/win-acme
2. فكّ الضغط وشغّل wacs.exe بصلاحيات Administrator
3. اختر N لإنشاء شهادة جديدة
4. اختر 1 للنطاقات المُستضافة في IIS محلياً
5. حدّد موقع IIS المراد تأمينه من القائمة المعروضة
6. اتبع التعليمات لاختيار طريقة التحقق (HTTP عادةً)
7. تُثبَّت الشهادة تلقائياً وتُضاف Binding لـ HTTPS في IIS

إضافة HTTPS Binding يدوياً في IIS Manager

1. افتح IIS Manager وحدد الموقع المطلوب
2. انقر على Bindings في القائمة الجانبية اليمنى
3. انقر Add واختر النوع https
4. حدد المنفذ 443 والـ Host Name واختر الشهادة المثبتة من القائمة المنسدلة
5. انقر OK وأعد تشغيل موقع IIS

🔒 Self-Signed Certificate: استخداماتها ومحدوديتها

الشهادة الموقّعة ذاتياً (Self-Signed Certificate) هي شهادة أنشأتَها بنفسك دون توقيع جهة إصدار موثوقة. المتصفحات ترفضها بشكل افتراضي وتُظهر تحذيراً مُخيفاً للمستخدم.

إنشاء Self-Signed Certificate عبر PowerShell

# إنشاء شهادة Self-Signed لـ IIS
$cert = New-SelfSignedCertificate `
    -DnsName "myapp.local", "localhost" `
    -CertStoreLocation "cert:\LocalMachine\My" `
    -NotAfter (Get-Date).AddYears(2) `
    -KeyAlgorithm RSA `
    -KeyLength 2048

# عرض بصمة الشهادة
Write-Host "Certificate Thumbprint: $($cert.Thumbprint)"
      

متى تستخدم Self-Signed Certificate؟

• في بيئات التطوير والاختبار الداخلية فقط
• للاتصالات الداخلية بين الخوادم (Server-to-Server) حيث يمكن إضافة الشهادة كـ Trusted CA
• لاختبار ميزات HTTPS بشكل سريع قبل الحصول على شهادة موثوقة

المحدودية الرئيسية: لا يثق بها أي متصفح أو نظام تشغيل بشكل تلقائي. يجب إضافتها يدوياً إلى قائمة الشهادات الموثوقة على كل جهاز يريد الوصول إلى الخدمة.

🏠 mkcert: إنشاء شهادات محلية موثوقة للتطوير

mkcert هي أداة مجانية مفتوحة المصدر طوّرها Filippo Valsorda تحل مشكلة Self-Signed Certificate بذكاء: تُنشئ CA محلية وتُضيفها تلقائياً إلى قائمة الجهات الموثوقة في نظام التشغيل والمتصفحات، ثم تُصدر شهادات موقّعة من هذه CA المحلية.

التثبيت والاستخدام على Windows

# التثبيت عبر Chocolatey
choco install mkcert

# أو عبر Winget
winget install mkcert

# إعداد CA المحلية (يجب تشغيله مرة واحدة فقط)
mkcert -install

# إنشاء شهادة لـ localhost وعناوين IP محلية
mkcert localhost 127.0.0.1 ::1

# إنشاء شهادة لنطاق محلي مخصص
mkcert myapp.local "*.myapp.local"
      

بعد تشغيل هذه الأوامر، ستجد في المجلد الحالي ملفين: myapp.local+1.pem (الشهادة العامة) وmyapp.local+1-key.pem (المفتاح الخاص). يمكن استخدامهما مباشرة في Nginx أو Apache أو Node.js أو IIS.

🛡️ HSTS: تفعيله وفوائده

HTTP Strict Transport Security (HSTS) هو رأس HTTP يُخبر المتصفح بضرورة استخدام HTTPS دائماً عند الاتصال بهذا النطاق، حتى لو حاول المستخدم كتابة http:// يدوياً.

تفعيل HSTS في IIS

أضف هذا الرأس في ملف إعداد IIS أو عبر web.config:

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Strict-Transport-Security" 
           value="max-age=31536000; includeSubDomains; preload" />
    </customHeaders>
  </httpProtocol>
</system.webServer>
      

فوائد HSTS

• منع هجمات SSL Stripping: يمنع المهاجمين من تحويل اتصالات HTTPS إلى HTTP.
• تسريع الاتصال: المتصفح يتصل مباشرة بـ HTTPS دون محاولة HTTP أولاً.
• HSTS Preload: يمكن إدراج نطاقك في قائمة HSTS Preload المدمجة في المتصفحات عبر hstspreload.org.

🔄 تجديد الشهادات تلقائياً باستخدام Certbot

أحد أكبر مزايا Certbot هو قدرته على تجديد الشهادات تلقائياً. عند تثبيت Certbot على Linux، يُنشئ تلقائياً مهمة Systemd Timer أو Cron Job تفحص الشهادات وتُجدّدها عند الحاجة.

إعداد التجديد التلقائي

# فحص حالة خدمة التجديد التلقائي
sudo systemctl status certbot.timer

# تشغيل تجريبي للتجديد (بدون تغييرات فعلية)
sudo certbot renew --dry-run

# فرض التجديد الفوري
sudo certbot renew --force-renewal

# عرض جميع الشهادات المثبتة وتواريخ انتهاء صلاحيتها
sudo certbot certificates
      

التجديد التلقائي على Windows مع win-acme

win-acme يُنشئ تلقائياً مهمة في Windows Task Scheduler تعمل يومياً للتحقق من صلاحية الشهادات وتجديدها. يمكن التحقق من المهمة بفتح Task Scheduler والبحث عن "win-acme".

🔍 فحص حالة SSL: SSL Labs وQualys وأوامر openssl

بعد تثبيت شهادة SSL، من الضروري التحقق من صحة الإعداد وقوة التشفير المستخدمة.

Qualys SSL Labs

الموقع الأشهر لفحص SSL هو ssllabs.com/ssltest - يُقدّم تقريراً شاملاً يشمل: درجة الأمان (A+ إلى F)، بروتوكولات TLS المدعومة، Cipher Suites المستخدمة، دعم HSTS، وثغرات معروفة مثل Heartbleed وPOODLE وFREAK.

أوامر openssl للفحص السريع

# فحص شهادة موقع والاتصال به
openssl s_client -connect example.com:443 -servername example.com

# عرض تفاصيل الشهادة (تاريخ الانتهاء، الـ CN، الـ SAN)
openssl s_client -connect example.com:443 | openssl x509 -noout -text

# التحقق من تاريخ انتهاء الشهادة فقط
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

# فحص ملف شهادة محلي
openssl x509 -in certificate.pem -noout -text

# التحقق من تطابق الشهادة مع المفتاح الخاص
openssl x509 -noout -modulus -in cert.pem | md5sum
openssl rsa -noout -modulus -in key.pem | md5sum
# يجب أن يكون الناتجان متطابقَين
      

↩️ تحويل جميع HTTP إلى HTTPS تلقائياً

بعد تثبيت شهادة SSL، يجب إعادة توجيه جميع طلبات HTTP إلى HTTPS. إليك طرق الإعداد على مختلف المنصات:

إعادة التوجيه في IIS (web.config)

<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="HTTP to HTTPS Redirect" stopProcessing="true">
          <match url="(.*)" />
          <conditions>
            <add input="{HTTPS}" pattern="^OFF$" />
          </conditions>
          <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" 
                  redirectType="Permanent" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>
      

إعادة التوجيه في Nginx

server {
    listen 80;
    server_name example.com www.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com www.example.com;
    
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    
    # باقي الإعدادات...
}
      

إعادة التوجيه في Apache (.htaccess)

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]