تأمين موقعك الإلكتروني باستخدام HTTPS

HTTPS (بروتوكول نقل الروابط النصية الآمن) هو بروتوكول لاتصالات الإنترنت يحمي صحّة وسرية بيانات المستخدم أثناء نقلها بين جهاز الكمبيوتر الخاص به وموقعه الإلكتروني. يتوقّع المستخدمون الحصول على تجربة آمنة تحفظ خصوصيتهم على الإنترنت عند تصفُّح أي موقع إلكتروني. بالتالي، ننصحك باستخدام بروتوكول HTTPS لحماية عمليات اتصال المستخدمين بموقعك الإلكتروني بغض النظر عن محتواه.

يتم تأمين البيانات التي أُرسلت باستخدام HTTPS من خلال بروتوكول أمان طبقة النقل (طبقة النقل الآمنة)، الذي يوفّر ثلاث طبقات حماية أساسية:

  1. التشفير: تشفير البيانات التي يتم تبادلها لحمايتها من الاختراق. ويعني ذلك حماية المستخدم أثناء تصفّح الموقع الإلكتروني من أن يتم "الاستماع" إلى المحادثات التي يجريها أو تتبّع أنشطته على عدة صفحات أو سرقة معلوماته.
  2. صحّة البيانات: لا يمكن تعديل البيانات أو إتلافها خلال عملية النقل، سواء كان ذلك عمدًا أم لا، بدون أن يتم اكتشاف ذلك.
  3. المصادقة: تُثبت أن المستخدمين يتصلون بالموقع الإلكتروني المقصود. وتحمي المصادقة من هجومات الوسطاء وتعزز ثقة المستخدمين، ما يتيح إمكانية الاستفادة من مزايا تجارية أخرى.

أفضل الممارسات عند تنفيذ بروتوكول HTTPS

استخدام شهادات أمان قوية

يجب أن تستخدم شهادة أمان في إطار تفعيل بروتوكول HTTPS على موقعك الإلكتروني. ويتم إصدار الشهادة من خلال مرجع تصديق (CA) الذي يتخذ إجراءات للتحقق من أن عنوان الويب تابع لمؤسستك، وبالتالي يعمل على حماية عملائك من هجمات الوسطاء. وعند إعداد الشهادة، تأكَّد من الحفاظ على مستوى عالٍ من الأمان من خلال اختيار مفتاح 2048 بت. وإذا كان لديك شهادة حالية مع مفتاح أضعف (1024 بت)، عليك الترقية إلى 2048 بت. عند اختيار شهادة موقعك الإلكتروني، يُرجى أخذ الأمور التالية في الاعتبار:

  • الحصول على الشهادة من مرجع تصديق (CA) موثوق به يوفّر الدعم الفني
  • تحديد نوع الشهادة التي تحتاجها:
    • شهادة واحدة لأصل واحد آمن (مثل www.example.com)
    • شهادة متعددة النطاقات لعدة أصول آمنة ومعروفة (مثل www.example.com, cdn.example.com, example.co.uk)
    • شهادة حرف بدل لأصل آمن مع عدة نطاقات فرعية ديناميكية (مثل a.example.com, b.example.com)

استخدام عمليات إعادة التوجيه الدائمة من جانب الخادم

أعِد توجيه المستخدمين ومحركات البحث إلى صفحة أو مورد HTTPS باستخدام عمليات إعادة التوجيه الدائمة من جانب الخادم.

التحقق من إمكانية زحف محرّك البحث Google إلى صفحات HTTPS وفهرستها

  • استخدِم أداة فحص عنوان URL لاختبار ما إذا كان بإمكان برنامج Googlebot الوصول إلى صفحاتك.
  • لا تحظر صفحات HTTPS باستخدام ملفات robots.txt.
  • لا تضمِّن علامات noindex في صفحات HTTPS.

التوافق مع HSTS

ننصح بأن تكون المواقع الإلكترونية التي تستخدم بروتوكول HTTPS متوافقة مع HSTS (الأمان المشدَّد لنقل البيانات باستخدام بروتوكول HTTP). توجّه آلية HSTS المتصفّح إلى طلب صفحات HTTPS بشكل تلقائي حتى إذا أدخل المستخدم http في شريط الموقع على المتصفّح. وتوجّه هذه الآلية أيضًا محرّك البحث Google لعرض عناوين URL الآمنة في نتائج البحث. وتؤدي كل هذه الخطوات إلى الحدّ من مخاطر عرض المحتوى غير الآمن للمستخدمين.

ليكون الموقع الإلكتروني متوافقًا مع آلية HSTS، يجب استخدام خادم ويب يتوافق مع هذه الوظيفة وتفعيلها.

يؤدي استخدام آلية HSTS إلى زيادة مستوى الأمان، ولكنه يزيد من درجة تعقيد استراتيجة التراجع. وننصح بتفعيل آلية HSTS بهذه الطريقة:

  1. طرح صفحات HTTPS بدون استخدام آلية HSTS أولاً.
  2. البدء في إرسال عناوين HSTS مع تحديد قيمة قصيرة المدة للسمة max-age ومراقبة الزيارات الواردة من المستخدمين والبرامج الأخرى وأداء العناصر التابعة لها، مثل الإعلانات
  3. زيادة قيمة max-age في HSTS تدريجيًا
  4. إذا لم تكن آلية HSTS تؤثر سلبًا في تجربة المستخدمين ومحركات البحث، يمكنك إضافة موقعك الإلكتروني إلى قائمة التحميل المسبق لآلية HSTS التي تستخدمها معظم المتصفحات الرئيسية. ويؤدي ذلك إلى زيادة مستوى الأمان وتحسين الأداء

تجنُّب هذه الأخطاء الشائعة

في جميع مراحل عملية تأمين موقعك باستخدام بروتوكول طبقة النقل الآمنة (TLS)، تجنَّب الأخطاء التالية:

الأخطاء الشائعة وحلولها
شهادات منتهية الصلاحية تأكد من تحديث الشهادة الخاصة بك دومًا
الشهادة مسجلة إلى اسم موقع ويب غير صحيح تأكد من حصولك على شهادة لكل أسماء المضيف التي يعرضها موقعك الإلكتروني. على سبيل المثال، إذا كانت شهادتك تغطي www.example.com فقط، سيتم حظر الزائر الذي يحمِّل موقعك الإلكتروني باستخدام example.com فقط (بدون البادئة www.) من خلال خطأ عدم التطابق مع اسم الشهادة.
عدم التوافق مع الإشارة إلى اسم الخادم (SNI) تأكَّد من أنّ خادم الويب الخاص بك يتوافق مع الإشارة إلى اسم الخادم (SNI) ومن أنّ الجمهور يستخدم متصفحات متوافقة بصورة عامة. تتوافق الإشارة إلى اسم الخادم (SNI) مع جميع المتصفحات الحديثة، إلا أنك تحتاج إلى عنوان IP مخصص إذا كنت تريد إتاحة استخدام المتصفحات القديمة.
مشاكل متعلقة بالزحف لا تحظر الزحف إلى موقعك الإلكتروني الذي يستخدم بروتوكول HTTPS من خلال إضافة ملف robots.txt. مزيد من المعلومات
مشاكل متعلقة بالفهرسة اسمح لمحركات البحث بفهرسة صفحاتك متى أمكن ذلك. لا تستخدم العلامة noindex.
إصدارات البروتوكول القديمة إن إصدارات البروتوكول القديمة عرضة للاختراق، ويجب التأكد من استخدام أحدث إصدارات مكتبات طبقة النقل الآمنة وتنفيذ أحدث إصدارات البروتوكول.
عناصر آمنة مختلطة يجب تضمين محتوى HTTPS فقط على الصفحات التي تستخدم HTTPS.
محتوى مختلف على HTTP وHTTPS تأكَّد من أن المحتوى المتوفّر على الموقع الإلكتروني الذي يستخدم بروتوكول HTTP هو المحتوى المتوفّر على بروتوكول HTTPS.
خطأ في رمز حالة HTTP على HTTPS تحقق من أنّ موقعك الإلكتروني يعرض رمز حالة HTTP الصحيح. على سبيل المثال، يجب عرض 200 OK للصفحات التي يمكن الوصول إليها، أو 404 أو 410 للصفحات غير المتاحة.

نقل الموقع الإلكتروني من بروتوكول HTTP إلى بروتوكول HTTPS

في حال نقلت موقعك الإلكتروني من بروتوكول HTTP إلى بروتوكول HTTPS، يتعامل محرّك البحث Google مع هذا الإجراء على أنه نقل موقع إلكتروني مع تغيير عناوين URL. ويمكن أن يؤثر ذلك مؤقتًا في بعض أرقام الزيارات. اطّلِع على مزيد من المعلومات حول الاقتراحات لكل عمليات نقل المواقع الإلكترونية.

تأكَّد من إضافة الموقع الإلكتروني الجديد الذي يستخدم بروتوكول HTTPS إلى Search Console. تتعامل خدمة Search Console مع HTTP وHTTPS بشكل منفصل، ولا تتم مشاركة البيانات بين المواقع الإلكترونية في Search Console.

لمزيد من المعلومات حول استخدام صفحات HTTPS على موقعك الإلكتروني، يمكنك الاطّلاع على الأسئلة الشائعة حول نقل البيانات إلى HTTPS.

مزيد من المراجع حول تنفيذ طبقة النقل الآمنة

في ما يلي بعض المراجع الإضافية حول تنفيذ طبقة النقل الآمنة على موقعك الإلكتروني: