Web Technology

HTTPS Hypertext Transfer Protocol Secure
بروتوكول نقل النص الفائق الآمن HTTPS

سنتعرف في هذا الدرس على بروتوكول نقل النص الفائق الآمن HTTPS، والفرق HTTPS وبين HTTP، وكيفية عمل بروتوكول HTTPS بالتفصيل. وسنستعرض أيضاً عملية تشفير SSL/TLS وكيف يعمل، موضحين أهمية تشفير البيانات أثناء نقلها. وسنناقش الأسباب التي تدفعنا لاختيار HTTPS بدلاً من HTTP، مع توضيح عيوب ومميزات استخدام HTTPS.

التاريخ

14 أبريل 2024

الدروس

51

المستوى

متقدم

اللغة

انجليزي

المشاهدات

538

المواضيع

4
chevron_right التالى
99%
السابق chevron_left
الشروحات chevron_left HTTPS Hypertext Transfer Protocol Secure chevron_left Web Technology
Virtual Machine keyboard_arrow_down
check check_circle_outline 1 - VM Introduction
check check_circle_outline 2 - VM Software
check check_circle_outline 3 - Virtual Box Installation
check check_circle_outline 4 - Create VBox Machine
check check_circle_outline 5 - Virtual Box Windows 10
check check_circle_outline 6 - VBox Configuration
Network keyboard_arrow_down
     check_circle_outline 7 - Computer Networks
     check_circle_outline 8 - Network Devices
     check_circle_outline 9 - Network Types
     check_circle_outline 10 - Local Area Network
     check_circle_outline 11 - Personal Area Network
     check_circle_outline 12 - Wide Area Network
     check_circle_outline 13 - Virtual Private Network
     check_circle_outline 14 - Internet Protocol
     check_circle_outline 15 - Find Private IP in Win 10
     check_circle_outline 16 - Find Private IP in Win 11
     check_circle_outline 17 - Find Private IP in Linux
     check_circle_outline 18 - Find Private IP in Mac
     check_circle_outline 19 - Domain Name System
     check_circle_outline 20 - TCP Protocol
     check_circle_outline 21 - Domain Name
     check_circle_outline 22 - Register a Domain
     check_circle_outline 23 - Domain Reservation
     check_circle_outline 24 - Internet
     check_circle_outline 25 - File Sharing
     check_circle_outline 26 - File Sharing Win10
     check_circle_outline 27 - Servers
     check_circle_outline 28 - Remote Server
     check_circle_outline 29 - Web Server
     check_circle_outline 30 - Load Balance
     check_circle_outline 31 - Web Hosting
     check_circle_outline 32 - FTP
     check_circle_outline 33 - OSI model
     check_circle_outline 34 - UDP
Web Development keyboard_arrow_down
     check_circle_outline 35 - Web Browsers
     check_circle_outline 36 - File extension
     check_circle_outline 37 - Code Editor
     check_circle_outline 38 - Static Web Pages
     check_circle_outline 39 - Dynamic Web Pages
HTTP keyboard_arrow_down
     check_circle_outline 40 - HTTP Introduction
     check_circle_outline 41 - HTTP Parameters
     check_circle_outline 42 - HTTP Messages
     check_circle_outline 43 - HTTP Request
     check_circle_outline 44 - HTTP Response
     check_circle_outline 45 - HTTP Methods
     check_circle_outline 46 - HTTP Codes
     check_circle_outline 47 - HTTP Header
     check_circle_outline 48 - HTTP Caching
     check_circle_outline 49 - HTTP URL Encoding
     check_circle_outline 50 - HTTP Security
check check_circle 51 - HTTPS

HTTPS Hypertext Transfer Protocol Secure
بروتوكول نقل النص الفائق الآمن HTTPS

share

</> HTTPS Hypertext Transfer Protocol Secure
بروتوكول نقل النص الفائق الآمن HTTPS

بروتوكول نقل النص الفائق الآمن Hypertext Transfer Protocol Secure هو بروتوكول نقل النص الفائق المعزز بالأمان. يعمل HTTPS على حماية البيانات المرسلة بين متصفح المستخدم وموقع الويب عن طريق تشفيرها، مما يجعل من الصعب على الجهات الخارجية الوصول إلى هذه البيانات أو التلاعب بها، ويُستخدم HTTPS بشكل أساسي لضمان أمان وسرية المعلومات الشخصية، مثل كلمات المرور، والتفاصيل البنكية مثل بيانات البطاقات الائتمانية، وأي بيانات حساسة أخرى يتم تبادلها عبر الإنترنت. عند زيارة مواقع ويب تستخدم HTTPS، يمكن للمستخدمين التأكد من أن البيانات التي يتم إرسالها إلى الموقع محمية بشكل كامل.

على الرغم من أن استخدام HTTPS أصبح أكثر شيوعًا بين مواقع الويب المختلفة، إلا أن هناك بعض الحالات التي قد لا يزال فيها استخدام HTTP شائعًا. ومع ذلك، فإن الممارسات الأمنية الحديثة تدعو الشركات والمؤسسات إلى اعتماد HTTPS على نطاق واسع لضمان حماية المعلومات وتعزيز الثقة بين المستخدمين. 
ملاحظة
الإصدارات المختلفة من HTTP تشمل HTTP/1.0، وHTTP/1.1، وHTTP/2، وHTTP/3، وهذه الإصدارات هي نفسها المستخدمة في HTTPS. الفرق بين HTTP وHTTPS يكمن في الأمان وليس في الإصدار.
share

<1/> Difference between HTTPS and HTTP
الفرق بين HTTPS و HTTP

أوجه الاختلاف Differences HTTP HTTPS

البروتوكول Protocol

بروتوكول HTTP هو أختصار لـ Hypertext Transfer Protocol بروتوكول نقل النص الفائق.

HTTPS اختصار لـ Hypertext Transfer Protocol Secure بروتوكول نقل النص الفائق الآمن.

الأمان Security

 بروتوكول HTTP ليس بروتوكولًا آمنًا لأنه لا يحتوي على شهادة SSL [Secure Socket Layer طبقة المنافذ الآمنة]، مما يعني أن البيانات يمكن أن تُسرَق عند نقلها من العميل إلى الخادم.
يحتوي البروتوكول HTTPS على شهادة SSL التي تحول البيانات إلى شكل مشفر، لذا لا يمكن سرقة البيانات في هذه الحالة، حيث لا يفهم الأطراف الخارجية النص المشفر.
أرقام المنافذ Port numbers يستخدم المنفذ الافتراضي رقم Port 80. يتم استخدام هذا المنفذ للاتصالات غير المشفرة بين المتصفح والخادم. يستخدم المنفذ الافتراضي رقم 443. يُستخدم هذا المنفذ للاتصالات المشفرة باستخدام شهادات SSL/TLS لضمان أمان البيانات المنقولة بين المتصفح والخادم.
الطبقات Layers عمل بروتوكول HTTP على طبقة التطبيق.
البروتوكول HTTPS يعمل في طبقة التطبيق مثل HTTP، ولكنه يضيف طبقة أمان إضافية عبر تشفير البيانات لضمان حمايتها. على الرغم من أن عمليات المعالجة تبدأ من طبقة التطبيق، فإن بروتوكول HTTPS يوفر أماناً إضافياً عبر تأمين البيانات خلال نقلها بين العميل والخادم من خلال استخدام شهادات SSL/TLS، حيث يتم التشفير قبل الوصول إلى طبقة النقل، مما يضمن حماية وسلامة البيانات من التلاعب أو السرقة أثناء عملية النقل.
شهادات certificates SSL لا يحتوي بروتوكول HTTP على شهادات SSL، لذلك لا يفكك تشفير البيانات، حيث تُرسَل البيانات في شكل نص عادي.
عندما تريد أن يكون موقعك الإلكتروني يستخدم بروتوكول HTTPS، يجب تثبيت شهادة SSL موقعة. وتتوفر شهادات SSL بخدمة مجانية ومدفوعة، ويمكن اختيار الخدمة بناءً على احتياجات العمل.
السرية وسلامة البيانات Confidentiality and data integrity لا يضمن السرية أو سلامة البيانات المرسلة. يضمن السرية عبر التشفير، ويحقق سلامة البيانات من خلال التأكد من أن البيانات لم تُغيَّر أو تُعدّل أثناء النقل.
الاداء Performance عادة أسرع من HTTPS لأنه لا يتضمن عمليات التشفير وفك التشفير. بروتوكول HTTPS يكون أبطأ قليلًا بسبب عملية التشفير، لكن الفروق في الأداء أصبحت ضئيلة مع التقنيات الحديثة.
المعاملات عبر الإنترنت Online transactions إذا كنا ندير عملًا تجاريًا عبر الإنترنت، يصبح من الضروري استخدام HTTPS لأنه أكثر أماناً. إذا لم نستخدم HTTPS في الأعمال التجارية عبر الإنترنت، فإن العملاء لن يُقدِموا على الشراء لأنهم يخشون أن تُسرَق بياناتهم من قِبَل أطراف خارجية.
تحسين محركات البحث SEO  Search Engine Optimization تحصل المواقع التي تعتمد على بروتوكول HTTPS على تحسينات في ترتيبها بمحركات البحث. تُفضل جوجل تلك المواقع المشفّرة بـ HTTPS مقارنةً بتلك التي تستخدم HTTP فقط.
صيغة URL Format تبدأ عناوين URL الخاصة بـHTTP بـ"http://"، يليها اسم نطاق الموقع مثل [http://www.closetag.com] تبدأ عناوين URL الخاصة بـHTTPS بـ"https://"، يليها اسم نطاق الموقع مثل [https://www.closetag.com].
البروتوكولات الأساسية Underlying Protocols
يستخدم HTTP/1 وHTTP/2 بروتوكول TCP/IP كأساس لنقل البيانات. أما HTTP/3 فيعتمد على بروتوكول QUIC.
 يعمل HTTP/2 مع SSL/TLS لتوفير طبقة إضافية من التشفير لطلبات واستجابات HTTP
ملحوظة هامة
يُفضل استخدام HTTPS على مواقع الويب، خاصة تلك التي تتعامل مع معلومات حسّاسة مثل بيانات الدفع أو المعلومات الشخصية، لضمان حماية المستخدمين وتوفير بيئة آمنة للتصفح.
share

</> ?How does HTTPS protocol work
كيف يعمل بروتوكول HTTPS؟

يعمل HTTPS من خلال تشفير البيانات التي تتم مشاركتها بين المستخدم والخادم، مما يجعل المعلومات صعبة الوصول إليها من قِبَل المخترقين. يعتمد HTTPS على تقنية تُسمى [SSL/TLS] لتوفير الأمان، حيث تَقوم هذه التقنية بإنشاء قناة آمنة عبر الإنترنت. يتم تبادل بيانات التشفير بين الطرفين باستخدام مفتاحين [مفتاح عام ومفتاح خاص]. المفتاح العام يُستخدم لتشفير البيانات، بينما المفتاح الخاص يُستخدم لفك التشفير، مما يُضمن سرية البيانات بين الطرفين.

عند زيارة موقع يستخدم HTTPS، يقوم متصفح الإنترنت بالتحقق من هوية الموقع من خلال شهادة رقمية صادرة عن مُزوّد موثوق. بعد التحقق تبدأ عملية التشفير، وتُؤكد هذه الخطوة أنك تتواصل مع الموقع الأصلي وليس مع موقع مزيف.

تظهر أهمية HTTPS في حماية جميع أنواع البيانات، مثل بيانات تسجيل الدخول، وأرقام بطاقات الائتمان، والمعلومات الشخصية. لذلك من المهم التأكد من وجود رمز القفل في شريط العناوين عند تصفح المواقع التي تتطلب إدخال معلومات حسّاسة.
share

</> SSL/TLS Encryption - and How It Works
تشفير SSL/TLS - وكيف يعمل

التشفير باستخدام SSL/TLS:
تُعَدّ تقنية SSL/TLS واحدة من أبرز الطرق المستخدمة لتأمين تبادل البيانات عبر الإنترنت. يتم استخدام هذه التقنية لضمان سرية المعلومات المتبادلة بين المستخدم والخادم، مثل كلمات المرور وبيانات بطاقات الائتمان. SSL هو اختصار لـ [Secure Sockets Layer]، وTLS لـ [Transport Layer Security]، حيث يُعتبر TLS التطوير الأحدث لـ SSL، وكلاهما يهدف إلى تأمين الاتصال. يعمل SSL/TLS من خلال إنشاء "نفق" آمن بين الطرفين المتصلين، مما يعني أنه حتى لو تمكّن شخص غير مصرح له من الوصول إلى هذه البيانات، فلن يتمكن من قراءتها بسبب تشفيرها.

كيف يعمل:
عند زيارة موقع ويب يستخدم SSL/TLS، يبدأ المتصفح بعملية يُطلق عليها المصافحة [Handshake]. تتمثل هذه العملية في تبادل مفاتيح التشفير بين المتصفح والخادم حتى يتفق كلا الطرفين على طريقة التشفير المستخدمة. بمجرد اكتمال المصافحة، يتم إنشاء اتصال آمن. وبالتالي، يمكن نقل البيانات بينهما بكل أمان.

بمعنى أبسط، يعمل SSL/TLS على تشفير البيانات لتحويلها من نص عادي إلى نص غير مفهوم [Cipher Text]، وهو نص يتعذر فهمه إلا بواسطة الأطراف المصرح لهم بمعرفة مفتاح فك التشفير. ولضمان مزيد من الأمان، يتم استخدام بروتوكولات تشفير معقدة، حيث تتطلب هذه العمليات مستوى مرتفعًا من قوة الحاسوب.

الشهادات ودورها:
شهادات SSL/TLS تُصدر من قبل هيئات إصدار الشهادات Certificate Authorities [CAs]. عند زيارة موقع إلكتروني، يتحقق المتصفح من صلاحية شهادة SSL/TLS، وسيظهر قفل أخضر في شريط العنوان في حالة صلاحيتها. هذه الشهادات ضرورية للمواقع التي تجمع أو تنقل معلومات حساسة كما في مواقع التجارة الإلكترونية ومواقع التواصل الاجتماعي. تُشدد أهمية إدخال معلومات حساسة فقط على المواقع التي تملك شهادات صالحة لتوفير حماية من القراصنة وسارقي الهوية.

تتوفر شهادات SSL بخدمة مجانية ومدفوعة، ويمكن اختيار الخدمة بناءً على احتياجات العمل.

الشهادات المجانية:
  • Let's Encrypt: يُعتبر من أقدم وأشهر مقدمي شهادات SSL المجانية. هذه الشهادات تساعد في تأمين الاتصال بين المستخدم والموقع. تتميز بأنها سهلة التثبيت ولكن لديها بعض القيود مثل دعم محدود وفترة صلاحية قصيرة [عادةً 90 يومًا]، مما يعني أنه يجب تجديدها بانتظام.

  • Cloudflare: هي شركة معروفة بتحسين أداء وحماية المواقع، تقدم خدمة SSL مجانية كأحد الخيارات في خططها المتنوعة لتعزيز أمان المواقع.

  • ZeroSSL: يقدم شهادات مجانية مشابهة لتلك التي تقدمها "Let's Encrypt"، مع أدوات إضافية لإدارة عمليات التشفير، مما يوفر مزيدًا من التحكم للمستخدمين.

  • SSL For Free: هذه الخدمة تعتمد على منصة "Let's Encrypt" لتقديم شهادات SSL بأسلوب سهل الاستخدام، مما يجعلها مناسبة للمبتدئين.

الشهادات المدفوعة:

هذه الشهادات تُصدر من قبل جهات تجارية مثل Comodo، التي أصبحت تُعرف الآن بـ Sectigo، وDigiCert، وSymantec، التي أصبحت جزءًا من Norton LifeLock. هذه الشهادات المدفوعة توفر مستويات إضافية من الدعم الفني، وتضمن تأمينًا إضافيًا أكثر تعقيدًا، وتأتي مع فترات صلاحية أطول. كما أنها قد تشمل ضمانات مالية لحماية المستخدم في حالة حدوث اختراق أمني.
Free vs Paid

الاختلاف الأساسي هو أن الشهادات المجانية توفر التأمين الأساسي للاتصال، بينما الشهادات المدفوعة تقدم مستوى أعلى من الدعم والضمان، مما يجعلها مثالية للمواقع التي تتطلب ثقة أكبر من قبل زوارها.

share

</> The Importance of Data Encryption During Transmission
أهمية تشفير البيانات أثناء نقلها

  • التشفير Encryption: تشفير البيانات يعني تحويل المعلومات إلى رموز خاصة، بحيث لا يفهمها إلا الأشخاص المصرح لهم فقط. وهذا ضروري لحماية البيانات عند إرسالها عبر الإنترنت، مما يمنع أي شخص غير مصرح له من الوصول إليها ويحافظ على سريتها.

  • سلامة البيانات Data Integrity: يساعد التشفير في التأكد من أن البيانات تصل سليمة دون تغيير، فإذا حاول شخص ما تعديل البيانات أثناء نقلها، يمكن اكتشاف ذلك بسهولة، وبهذا يطمئن المستلم أن المعلومات التي وصلته هي نفسها التي أُرسلت من البداية.

  • المصادقة Authentication: يُستخدم التشفير أيضًا لتأكيد هوية المرسل عبر ما يُعرف بالتوقيع الرقمي أو الشهادات الرقمية، مما يضيف طبقة أمان إضافية تُسمى المصادقة. التوقيع الرقمي يشبه إمضاء الشخص على الوثائق، مما يؤكد أن الرسالة أو البيانات صادرة بالفعل من المرسل ويُثبت أن البيانات لم يتم تغييرها أثناء نقلها.

  • بروتوكولات الأمان Security Protocols: عُزز الأمان على الإنترنت باستخدام بروتوكولات مثل TLS، وهو خليفة بروتوكول SSL، حيث تُستخدم هذه البروتوكولات لتشفير الاتصالات وتأمين نقل البيانات بين المستخدم والخادم، وهذا يضمن حماية المعلومات من الاستماع أو التلاعب بها من جهات غير موثوقة.

  • خطر سرقة البيانات Risk of Data Theft: باستخدام التشفير تقلل الشركات من خطر سرقة البيانات، لأن المعلومات تكون غير مفهومة بدون المفتاح الخاص لفك التشفير، وبهذه الطريقة تصبح البيانات المسروقة بلا فائدة.

  • الأداء والكفاءة Performance and Efficiency: يُعزز التشفير أمن المعلومات المخزنة، وكذلك قدرات الخوادم على معالجة البيانات وتنفيذ العمليات الحسابية بسرعة وكفاءة، مما يسمح لها بالتركيز على أداء وظائفها الأساسية دون تعطل ويدعم خدمات الشبكة المختلفة.
share

</> ?Why choose HTTPS instead of HTTP
لماذا نختار HTTPS بدلاً من HTTP؟

أولاً: الأمان Security: البيانات المرسلة عبر تقنية HTTP تكون في صيغة نصية واضحة، مما يجعل من السهل على الأطراف غير المصرح لها الاطلاع على هذه البيانات عند نقلها عبر الإنترنت، بينما يتم تشفير جميع البيانات المرسلة عبر HTTPS، مما يمنح المستخدمين الثقة في أن معلوماتهم لن يتم اعتراضها من قِبل الأطراف الثالثة على الشبكة. يُفضل استخدام بروتوكول HTTPS لحماية المعلومات الحساسة، مثل تفاصيل البطاقات الائتمانية أو المعلومات الشخصية للعملاء.

ثانياً: الثقة Trust: محركات البحث عادةً ما تقوم بتصنيف المحتوى على مواقع HTTP بدرجة أقل من تلك التي تستخدم HTTPS، نظرًا لكون HTTP أقل موثوقية. يُفضل العملاء زيارة مواقع HTTPS بسبب ظهور رمز القفل في شريط عناوين المتصفح بجانب عنوان الموقع، مما يعزز الثقة لديهم بأن الموقع آمن.

ثالثاً: الأداء والتحليلات Performance and Analytics: التطبيقات التي تعمل عبر بروتوكول HTTPS تُحمّل بسرعة أكبر مقارنة بتلك التي تستخدم HTTP، كما يتمتع HTTPS بقدرة أفضل على تتبع الروابط المرجعية التي تشير إلى الزوار القادمين من مصادر خارجية، مثل الإعلانات أو الروابط من مواقع التواصل الاجتماعي. يجب تفعيل HTTPS إذا كنت ترغب في أن تتمكن برامج التحليل من تحديد مصادر زيارات موقعك بشكل دقيق.
البطاقات الائتمانية
هي وسيلة دفع إلكترونية تتيح شراء السلع والخدمات أو السحب النقدي، مع إمكانية السداد لاحقًا بفائدة، وهي تساعد في بناء سمعة مالية جيدة عند استخدامها بشكل مسؤول.
share

</> HTTPS Features
مميزات HTTPS

  • حماية البيانات المؤمّنة Secure Data Protection:

    يمنع HTTPS اعتراض المعلومات أو البيانات الهامة مثل كلمات المرور أو تفاصيل البطاقات الائتمانية أثناء نقلها عبر الإنترنت.

  • ثقة المستخدم وتحسين تجربة المستخدم User Trust and User Experience Improvement:

    عندما يرى المستخدمون رمز القفل في شريط العناوين، يشعرون بالثقة في أن بياناتهم ومعلوماتهم الشخصية محمية.

  • تحسين ترتيب الموقع في محركات البحث [SEO] Improved Search Engine Ranking:

    محركات البحث مثل جوجل تعطي الأولوية وترتيبًا أفضل للمواقع التي تستخدم HTTPS لكونها أكثر أمانًا.

  • مواكبة المعايير القانونية والتنظيمية Keeping up with legal and regulatory standards:

    بعض اللوائح تتطلب استخدام HTTPS لحماية بيانات المستخدمين، وامتثالك لهذه المتطلبات سيساعدك في تجنب الغرامات أو المشاكل القانونية.

  • التوافق Compatibility:

    المتصفحات الحديثة قد بدأت في تقديم ميزات يمكن استخدامها لحجب المواقع التي لا تستخدم بروتوكول HTTPS، وبتضمين هذا البروتوكول، تضمن توافق موقعك. لذا، يجب على أصحاب المواقع اعتماد بروتوكول HTTPS لضمان توافق المواقع مع المتصفحات الحديثة، ولتعزيز أمان وتكامل البيانات المتبادلة.
  • دعم الخصوصية ضد التتبع غير المرغوب Privacy Support against Unwanted Tracking:

    يُعقّد HTTPS قدرة الجهات الخارجية على تتبع نشاط المستخدم عبر الإنترنت.

  • تمكين المعاملات المالية الآمنة Enable Secure Financial Transactions:

    يعد HTTPS أساسًا آمنًا لأي موقع يقدم خدمات مالية أو يتعامل في المعاملات الإلكترونية.

  • تشجيع التبني الشامل لأمان الإنترنت Encouraging universal adoption of Internet security:

    باستخدام HTTPS، تكون شركة أو موقع واحد من ملايين المساهمين في تعزيز أمان الإنترنت بشكل كلي.

  • حماية الموقع من هجمات رجل في الوسط [MITM] Protecting the Site from Man-in-the-Middle Attacks:

    يوفر HTTPS حماية من اعتراض البيانات وتلاعب القراصنة بها أثناء نقلها.

  • احتواء التحذيرات الأمنية Containing Security Warnings:

    بعض المتصفحات الآن تعرض تحذيرات لمواقع HTTP غير الآمنة، وقد يحسن استخدام HTTPS من عدم ظهور هذه التحذيرات على موقعك.
share

</> Disadvantages of HTTPS
عيوب HTTPS

  • الأداء Performance: التشفير وفك التشفير يستهلك موارد إضافية من المعالج ويزيد من زمن الاستجابة، مما قد يؤثر سلبًا على سرعة تحميل المواقع.

  •  التكلفة Cost: الحصول على شهادات SSL/TLS اللازمة لتفعيل HTTPS قد يكون مكلفًا، وخصوصًا للشركات الصغيرة وأصحاب المواقع الفردية.

  •  التعقيد الفني Technical Complexity: يتطلب إعداد وإدارة HTTPS مستوى معين من المعرفة التقنية لضمان الإعداد بشكل صحيح وإدارة الشهادات وتجديدها.

  • الوصول إلى المحتوى المشفر Access to Encrypted Content: في حال وجود مشاكل أو الحاجة إلى تحليل المحتوى، قد يكون من الصعب فحص البيانات المشفرة لمشكلات الأمان أو الأداء.

  • تصديق الشهادات Certificate Validation: يعتمد الأمان على قوة وثقة سلطة إصدار الشهادات؛ وهجمات على هذه السلطات يمكن أن تؤثر على سلامة النظام.
share

</> Convert between HTTP and HTTPS
التحويل بين HTTP و HTTPS

التحويل بين HTTP و HTTPS

  • بالنسبة للزوار: لا يمكن تغيير الطريقة يدويًا بين HTTP و HTTPS، المهم هو إدخال عنوان الموقع بشكل صحيح وسيتولى المتصفح التحويل تلقائيًا إلى البروتوكول المناسب، والذي يحدده إعدادات الموقع.

  • أما بالنسبة لأصحاب المواقع: يمكن تحويل موقع الويب الخاص بك من HTTP إلى HTTPS مجانًا باستخدام خدمات مثل Cloudflare. يمكن ذلك عن طريق إعداد شهادة SSL من خلال لوحة تحكم Cloudflare، وتفعيل الخيارات اللازمة لضمان تحويل جميع البيانات بشكل آمن عبر HTTPS. سيساعدك هذا في تحسين أمان الموقع وثقة الزوار.
share

</> ?How Does HTTPS Help Authenticate Web Servers
كيف يساعد HTTPS في التحقق من صحة خوادم الويب؟

يستخدم بروتوكول HTTPS طبقة في تقنية التشفير تُسمى SSL/TLS، التي تُستخدم لتشفير البيانات المُرسلة بين الأطراف المشتركة في الاتصال، وتعمل هذه الشهادة كوثيقة هوية للموقع، حيث تؤكد هوية الخادم وتضمن للمستخدم أنه يتفاعل مع الجهة الصحيحة، وليس مع جهة خبيثة.

تُتيح SSL/TLS عملية المصادقة والتي تساعد في منع ما يُعرف باسم هجوم الوسيط، تقوم تقنية التشفير بتأمين البيانات المُرسلة، مما يعني أن أي شخص يحاول اعتراض الاتصال لن يتمكن من فهم المحتوى دون القدرة على فك التشفير. ويكون هذا مفيدًا خاصة في المواقع التي تتطلب معلومات حساسة مثل كلمات المرور وبيانات الدفع.
هجوم الوسيط

هجوم الوسيط: المعروف باسم [Man-in-the-Middle Attack [MITM، هو نوع من الهجمات الإلكترونية التي يقوم فيها المهاجم بإعتراض الاتصال بين طرفين [عادةً متصفح الويب والخادم] والتجسس على البيانات المرسلة بينهما أو حتى تعديلها دون علم الطرفين.

share

</> Example of how HTTPS works
مثال لكيفية عمل HTTPS

عندما يدخل الزائر إلى موقع للتجارة الإلكترونية لشراء منتج، يكون الرابط إلى صفحة طلب المنتج عادةً يبدأ بـ [https://] وليس [http://]. هذا يعني أن الاتصال يستخدم بروتوكول [HTTPS] لتأمين نقل البيانات.

لإتمام الطلب، يُطلب من الزائر إدخال تفاصيله الشخصية، مثل: اسمه وعنوان الشحن، بالإضافة إلى المعلومات المالية مثل رقم بطاقة الائتمان. يقوم بروتوكول [HTTPS] بتشفير هذه البيانات باستخدام شهادة [SSL/TLS] لضمان عدم تعرضها للاختراق أو السرقة من قبل جهات غير مصرح لها، مثل المتسللين، ومجرمين الإنترنت.

بعد أن تصل الطلبات إلى الخادم، يعالج الطلب. عند إتمام العملية بنجاح، يتلقى المستخدم تأكيدًا من الخادم. هذه التأكيدات تُرسل بشكل مشفر ويُعرض في المتصفح بشكل آمن. يتمكن المتصفح من فك تشفير الرسائل باستخدام طبقة [HTTPS] لضمان الاتصالات الآمنة والموثوقة.
share

</> ?How do I switch from HTTP to HTTPS for my website
كيف أقوم بالتبديل من HTTP إلى HTTPS لموقع الويب الخاص بي؟

أولًا: الحصول على شهادة SSL:

  •  ابحث عن سلطة إصدار الشهادات [CA] الموثوقة، مثل: Let's Encrypt، وComodo، وDigiCert، واشتري منها شهادة SSL.

  •  أنشئ طلب توقيع الشهادة [CSR] على الخادم الخاص بك.

  • اتبع تعليمات مزود الشهادات لتثبيت الشهادة على خادم الويب الخاص بك، ويمكنك طلب المساعدة من شركة الاستضافة إذا لزم الأمر.

ثانيًا: تحديث إعدادات خادم الويب:

 لخادم Apache:
  •  قم بتعديل ملف الإعدادات الخاص بك مثل [httpd.conf] أو الملفات الخاصة بالموقع في [sites-available].

  •  تأكد من وجود كتلة [VirtualHost *:443] وعيّن مسارات ملفات شهادة SSL الخاصة بك.

لخادم Nginx:
  • قم بتعديل ملف الإعدادات مثل [nginx.conf] أو الملفات الخاصة بالموقع في [sites-enabled].

ثالثًا: إعداد إعادة التوجيه من HTTP إلى HTTPS:

 ضبط إعدادات الخادم لتوجيه جميع حركة المرور من HTTP إلى HTTPS تلقائيًّا.

  •  لخادم Apache: استخدم توجيهات 301 لتوجيه الزوار إلى النسخة الآمنة.

  •  لخادم Nginx: قم بتعديل إعدادات الخادم لتفعيل التوجيه التلقائي إلى HTTPS.

رابعًا: تحديث الروابط والمصادر الداخلية:

  •  قم بتحديث جميع الروابط داخل موقعك لتستخدم HTTPS بدلًا من HTTP، ويشمل ذلك الروابط في الأكواد، والمحتوى، وملفات CSS و JavaScript.

  • تأكد من تحميل جميع الموارد مثل الصور، والسكربتات، وأوراق الأنماط عبر HTTPS لتجنّب تحذيرات المحتوى المختلط.
خامسًا: تحديث نظام إدارة المحتوى والإضافات:

  • إذا كنت تستخدم نظام إدارة محتوى مثل ووردبريس، قم بتحديث عنوان الموقع في الإعدادات لاستخدام HTTPS.

  •  تأكد من توافق جميع الإضافات والقوالب مع HTTPS وتعمل بشكل سليم بعد التحويل.

سادسًا: التحقق من إعدادات شبكة توصيل المحتوى [CDN]:

  • إذا كنت تستخدم شبكة توصيل المحتوى [CDN]، تأكد من ضبطها لدعم HTTPS.

سابعًا: تحديث خريطة الموقع وملفات الروبوت:

  •  قم بتحديث خريطة الموقع [sitemap.xml] وملفات الروبوت [robots.txt] لتعكس التحويل إلى HTTPS.

ثامنًا: التسجيل وإعادة تقييم المحتوى في خدمات مشرفي المواقع:

  •  أضف موقعك مرة أخرى إلى أدوات مشرفي المواقع مثل Google Search Console لإبلاغ محركات البحث بالتغيير.

تاسعًا: التواصل بشأن الروابط الخارجية:

  •  تواصل مع المواقع التي ترتبط بموقعك باستخدام HTTP واطلب منها تحديث الروابط إلى HTTPS.

عاشرًا: المتابعة والتحقق المستمر:

  •  استخدم أدوات مثل اختبار SSL المقدّم من SSL Labs للتحقق من المشاكل في الإعدادات.
شهادة CSR
شهادة CSR، أو "طلب توقيع الشهادة" [Certificate Signing Request]، هي وثيقة يتم إنشاؤها على الخادم الخاص بك وتحتوي على معلومات هامة يراد تضمينها في شهادة SSL التي ستُصدر لاحقًا. يتم إرسال هذه الوثيقة إلى سلطة إصدار الشهادات [CA] عندما تطلب شهادة SSL.
share

</> Common Mistakes to Avoid When Adapting HTTPS Connections
الأخطاء الشائعة التي يجب تجنبها عند تكييف اتصال HTTPS

أفضل الممارسات لتأمين مواقع الويب باستخدام HTTPS وتجنب الأخطاء الشائعة.
المشكلة الحل
الشهادات المنتهية الصلاحية.

تأكد دائمًا من أن شهادة الموقع مُحدثة.
الشهادة مفقودة لجميع أسماء السيرفرات. احصل على شهادة لجميع أسماء النطاقات التي يخدمها الموقع لتجنب أخطاء عدم تطابق أسماء الشهادات.
الدعم لتحديد اسم الخادم. تأكد من أن خادم الويب يدعم تقنية SNI وأن الجمهور يستخدم متصفحات تدعم SNI.
المشاكل التي تواجه محركات البحث. تأكد من أن موقع HTTPS غير محظور من الزحف باستخدام ملف robots.txt. وأيضًا، قم .بتمكين الفهرسة الصحيحة لجميع الصفحات بواسطة محركات البحث
المحتوى. التأكد من تطابق المحتوى بين صفحات HTTP وصفحات HTTPS.
الزحف و الفهرسة

الزحف: هو عملية تستخدمها محركات البحث لاكتشاف صفحات الويب. 


الفهرسة: هي تحليل وتخزين هذه الصفحات في قاعدة بيانات المحرك ليتم عرضها في نتائج البحث، لذا تأكد من عدم حظر صفحات HTTPS في ملف robots.txt والسماح بالفهرسة الصحيحة لجميع الصفحات.

share

</> HTTPS and the CIA triad
HTTPS وثلاثية الأمن السيراني

ثلاثية الأمن السبراني: السرية Confidentiality والسلامة Integrity والتوافر Availability، والتي تُختصر إلى [CIA]، وتمثل الأهداف الرئيسية في أمان المعلومات والتي تسعى المنظمات لتحقيقها لحماية بياناتها وأنظمة معلوماتها وهي مفهوم أساسي في أمان المعلومات. إليك شرح لكل مكون:

السرية Confidentiality: يشير هذا العنصر إلى ضمان وصول المعلومات فقط لأولئك الذين لديهم الأذونات اللازمة. يتضمن ذلك تنفيذ ضوابط الوصول والتشفير لحماية المعلومات الحساسة من الوصول والكشف غير المصرح بهما. تقنيات مثل حماية كلمات المرور، والمصادقة ذات العاملين، وتشفير البيانات تُستخدم عادةً للحفاظ على السرية.

السلامة Integrity: تتعلق السلامة بالحفاظ على دقة وموثوقية البيانات طوال دورة حياتها. وهذا يعني ضمان أن المعلومات لا تتغير أو تُعبث بها من قبل أشخاص غير مصرح لهم. وتشمل الطرق المستخدمة لضمان السلامة استخدام رموز التحقق، وخوارزميات التجزئة، والتوقيعات الرقمية، وسجلات التدقيق. تعمل هذه الأدوات على اكتشاف ومنع التعديلات غير المصرح بها على البيانات.

التوافر Availability: يشير التوافر إلى ضمان أن المعلومات والموارد يمكن الوصول إليها من قبل المستخدمين المصرح لهم عند الحاجة. يتضمن ذلك تنفيذ تدابير لحماية ضد الانقطاعات مثل فشل الأجهزة، الكوارث الطبيعية، أو الهجمات الإلكترونية [مثل هجمات الحرمان من الخدمة]. تقنيات لضمان التوافر تشمل التكرار، وحلول التبديل التلقائي، والنسخ الاحتياطي المنتظم، وإجراءات أمان الشبكات القوية.
share

</> ?Are HTTPS connections vulnerable to attacks
هل اتصالات HTTPS معرضة للهجمات؟

يُعتبر الاتصال عن طريق بروتوكول HTTPS أكثر أمانًا من HTTP، إلا أن أيًا منهما ليس محصنًا تمامًا من الهجمات الإلكترونية. قد تكون اتصالات HTTPS عُرضة للأنشطة الخبيثة التالية:

أولًا:
يُمكن أن يستغل المهاجمون نقاط الضعف في التشفير أو البروتوكول لاختراق الاتصال. يتمثل التشفير في تقنية تحوّل المعلومات إلى رموز بحيث يصعب قراءتها من قبل غير المصرح لهم.

ثانيًا:
يمكن أن يُهدد المهاجمون أجهزة الحاسوب الشخصية للعملاء، حيث قد يقومون بتثبيت شهادة جذر ضارة في مخزن الثقة للمتصفح أو الجهاز، مما يُعرّض الاتصال عبر HTTPS للخطر. 

ثالثًا:
يستطيع المهاجمون التلاعب بسلطة إصدار الشهادات، وهي الجهة التي تثبت أن الموقع الإلكتروني موثوق، للحصول على شهادة مزيفة يثق بها المستخدمون بشكل خاطئ. تُعد سلطة إصدار الشهادات مثل الدوائر الحكومية المسؤولة عن إصدار بطاقات الهوية.
الدوائر الحكومية و بطاقات الهوية
الدوائر الحكومية: هي المؤسسات الرسمية المسؤولة عن تقديم الخدمات العامة للمواطنين، مثل إصدار الوثائق الرسمية، وإدارة سجلات السكان وغيرها من المهام. 

بطاقات الهوية: هي وثائق تُصدرها هذه الدوائر لتحديد هوية الشخص والتحقق من تفاصيله الشخصية، مثل الاسم وتاريخ الميلاد والجنسية. تستخدم هذه البطاقات في العديد من المواقف كإثبات للهوية، ويعتمد الناس على موثوقيتها في التعاملات اليومية والأنشطة المختلفة.

يُشبّه دور سلطة إصدار الشهادات بدور الدوائر الحكومية، حيث تُصدر سلطة إصدار الشهادات شهادات رقمية تثبت أن الموقع الإلكتروني موثوق وآمن للمستخدمين، تمامًا كما تُصدر الدوائر الحكومية بطاقات الهوية للأفراد.
معلومات تهمك
  • لا تنس تقييم الدروس لكي نُحدّث المُحتوى باستمرار حتى ينال إعجابك.
  • لا تنس مشاركة الموقع مع أصدقائك حتى تعمّ الفائدة وتكون سببًا في نفعهم.
مشاركة
0
0
0
0
عدد المشاركات
هل هذه المعلومات نالت إعجابك ؟
0
0
عدد التقييمات
chevron_right التالى
السابق chevron_left

CLOSETAG CLOSETAG

منصة كلوز تاج التعليمية المتخصصة في تعليم هندسة البرمجيات. نسعى لتقديم تجربة تعلم فريدة من خلال معسكراتنا العملية والمنظمة والمتسلسلة كما نهدف إلى تقليص الفجوة بين النظرية والتطبيق العملي؛ لذا فإننا نركز على التعليم القائم على المشاريع والتطبيقات الحقيقية. ننقل لك سنوات من الخبرة في أقل وقت ممكن تحت إشراف مهندسين عباقرة عملوا في أكبر الشركات العربية والعالمية في مجال هندسة البرمجيات. مهمتنا ليست فقط تعليم هندسة البرمجيات، بل نسعى أيضًا لتزويدك بمجموعة من المهارات التي تتوافق مع احتياجات سوق العمل.

الشروحات

HTML

CSS

JavaScript

Git

الدورات

لا يوجد

قانوني

الأحكام والشروط

اتفاقية الترخيص

سياسة الخصوصية

معلومات حقوق النشر

سياسة ملفات الارتباط

الدعم

ساهم بمحتواك

أسئلة وأجوبة

اتصل بنا

حقوق النشر © 2023 CLOSETAG كل الحقوق محفوظة

CLOSETAG