تأمين موقعك باستخدام HTTPS

ما المقصود بـ HTTPS؟

بروتوكول نقل الروابط النصية بأمان (HTTPS) هو بروتوكول لاتصالات الإنترنت يحمي سلامة بيانات المستخدم وسريتها أثناء نقلها من جهاز الكمبيوتر للمستخدم والموقع. يتوقّع المستخدمون الحصول على تجربة آمنة تحفظ خصوصيتهم على الإنترنت عند تصفُّح أي موقع إلكتروني. بالتالي، ننصحك باستخدام HTTPS لحماية عمليات اتصال المستخدمين بموقعك الإلكتروني بغض النظر عن محتواه.

يتم تأمين البيانات التي أُرسلت باستخدام HTTPS من خلال بروتوكول أمان طبقة النقل (طبقة النقل الآمنة)، الذي يوفّر ثلاث طبقات حماية أساسية:

  1. التشفير—تشفير البيانات التي يتم تبادلها لحمايتها من التنصّت. ويعني ذلك أنّه أثناء تصفّح المستخدم لموقع الويب، لا يُمكن لأي شخص "الاستماع" إلى المحادثات التي يجريها، أو تتبّع أنشطته عبر العديد من الصفحات، أو سرقة معلوماته.
  2. تكامل البيانات—لا يُمكن تعديل البيانات أو إتلافها خلال عملية النقل، سواء أكان ذلك عن عمد أو غير ذلك، بدون أن يتم اكتشاف ذلك.
  3. المصادقة—لإثبات أن المستخدمين يتصلون بموقع الويب المقصود. وتحمي المصادقة من هجومات الوسيط وتمنح الثقة للمستخدم، ما يتيح الاستفادة من مزايا أخرى في العمل.

أفضل الممارسات عند تنفيذ بروتوكول HTTPS

استخدام شهادات أمان قوية

يجب أن تستخدم شهادة أمان في إطار تمكين بروتوكول HTTPS لموقعك. ويتم إصدار الشهادة بواسطة المرجع المصدق (CA)، والذي يتخذ إجراءات للتحقق من أن عنوان الويب التابع لك ينتمي إلى مؤسستك، ومن ثمّ يعمل على حماية عملائك من هجمات الاختراق. وعند إعداد الشهادة، تأكد من الحفاظ على مستوى عالٍ من الأمان من خلال اختيار مفتاح 2048 بت. وإذا كان لديك شهادة من قبل مع مفتاح أضعف (1024 بت)، يُمكنك الترقية إلى 2048 بت. عند اختيار شهادة موقعك، يُرجى أخذ الأمور التالية في الاعتبار:

  • الحصول على الشهادة من مرجع مصدق (CA) موثوق به يوفّر الدعم الفني.
  • تحديد نوع الشهادة التي تحتاجها:
    • شهادة واحدة لأصل واحد آمن (مثل www.example.com)
    • شهادة متعددة لأصول آمنة متعددة ومعروفة (مثل www.example.com, cdn.example.com, example.co.uk)
    • شهادة حرف بدل لأصل آمن مع العديد من النطاقات الفرعية الديناميكية (مثل a.example.com, b.example.com)

استخدام عمليات إعادة التوجيه 301 من جهة الخادم

يمكنك إعادة توجيه المستخدمين ومحركات البحث إلى صفحة أو مورد يستخدمان HTTPS باستخدام عمليات إعادة توجيه ‎301 عبر بروتوكول HTTP من جانب الخادم.

التحقق من إمكانية زحف محرك البحث Google إلى صفحات HTTPS وفهرستها

  • لا تحظر صفحات HTTPS باستخدام ملفات robots.txt.
  • لا تضمِّن علامات noindex وصفية في صفحات HTTPS.
  • استخدِم أداة فحص عنوان URL لاختبار ما إذا كان بإمكان برنامج Googlebot الوصول إلى صفحاتك.

التوافق مع HSTS

نوصى بأن تكون المواقع التي تستخدم بروتوكول HTTPS متوافقة مع HSTS (الأمان المشدَّد لنقل البيانات باستخدام بروتوكول HTTP). توجه آلية HSTS المتصفح إلى طلب صفحات HTTPS بشكل تلقائي حتى إذا أدخل المستخدم http في شريط الموقع على المتصفح. وتوجّه هذه الآلية أيضًا محرك البحث Google لعرض عناوين URL الآمنة في نتائج البحث. ويساعد كل ما سبق في الحد من مخاطر عرض المحتوى غير الآمن للمستخدمين.

لتتوافق المواقع الإلكترونية مع آلية HSTS، يجب استخدام خادم ويب يتوافق معها وتفعيل الوظيفة.

تجدر الإشارة إلى أنّ آلية HSTS تزيد درجة تعقيد استراتيجية العودة إلى الحالة السابقة على الرغم من أنها أكثر أمانًا. ونوصي بتفعيل HSTS بهذه الطريقة:

  1. طرح صفحات HTTPS أوّلاً بدون استخدام آلية HSTS
  2. البدء في إرسال عناوين HSTS مع تحديد قيمة قصيرة لـ max-age، ومراقبة الزيارات من المستخدمين والبرامج الأخرى وأداء العناصر التابعة لها، مثل الإعلانات
  3. زيادة قيمة max-age في HSTS تدريجيًّا
  4. يمكنك طلب إضافة موقعك الإلكتروني إلى قائمة التحميل المُسبق لآلية HSTS المستخدَمة من قِبل معظم المتصفحات الرئيسية إذا لم تكن آلية HSTS تؤثر سلبًا في المستخدمين ومحركات البحث.

تجربة استخدام التحميل المُسبق لآلية HSTS

في حال تفعيل HSTS، يمكنك اختياريًا إتاحة إمكانية التحميل المسبق لآلية HSTS لزيادة مستوى الأمان وتحسين الأداء. لتفعيل التحميل المُسبق، عليك زيارة hstspreload.org وتطبيق متطلبات الإرسال لموقعك الإلكتروني.

تجنّب هذه الأخطاء الشائعة

في جميع مراحل عملية تأمين موقعك باستخدام بروتوكول طبقة النقل الآمنة (TLS)، تجنب الأخطاء التالية:

المشكلة الإجراء
شهادات منتهية الصلاحية تأكد من تحديث الشهادة الخاصة بك دومًا
الشهادة مسجلة إلى اسم موقع ويب غير صحيح تأكد من حصولك على شهادة لكل أسماء المضيف التي يعرضها موقعك. على سبيل المثال، إذا كانت شهادتك تغطي النطاق www.example.com فقط، سيتم حظر أي زائر يحمِّل موقعك باستخدام example.com فقط (بدون إضافة البادئة "www.") بواسطة خطأ عدم التطابق مع اسم الشهادة.
لا يوجد توافق مع الإشارة إلى اسم الخادم (SNI) تأكّد أنّ خادم الويب الخاص بك يتوافق مع الإشارة إلى اسم الخادم (SNI) وكذلك من استخدام الجمهور لديك متصفحات معتمدة بصفة عامة. وفي حين أن الإشارة إلى اسم الخادم (SNI) تتوافق مع جميع المتصفحات الحديثة، إلا أنه يلزمك عنوان IP مخصص إذا كنت بحاجة إلى التوافق مع المتصفحات القديمة.
مشاكل متعلقة بالزحف لا تحظر الزحف إلى موقعك الإلكتروني الذي يستخدم HTTPS من خلال إضافة ملف robots.txt.
مشاكل متعلقة بالفهرسة اسمح لمحركات البحث بفهرسة صفحاتك متى أمكن ذلك. تجنَّب استخدام علامة noindex الوصفية.
إصدارات البروتوكول قديمة إصدارات البروتوكول القديمة عرضة للهجوم؛ ويجب التأكد من استخدام أحدث إصدارات مكتبات طبقة النقل الآمنة وتنفيذ أحدث إصدارات البروتوكول.
عناصر آمنة مختلطة يجب تضمين محتوى HTTPS فقط على الصفحات التي تستخدم HTTPS.
محتوى مختلف على HTTP وHTTPS تأكّد أن المحتوى الموجود على موقع HTTP هو نفس المحتوى الموجود على HTTPS.
خطأ في رمز حالة HTTP على HTTPS تحقق من أنّ موقعك الإلكتروني يعرض رمز حالة HTTP الصحيح. على سبيل المثال 200 OK للصفحات التي يمكن الوصول إليها، أو 404 أو 410 للصفحات غير الموجودة.

المزيد من النصائح

يمكنك الاطلاع على الأسئلة الشائعة حول نقل HTTPS للحصول على المزيد من النصائح عن استخدام صفحات HTTPS على موقعك.

نقل البيانات من HTTP إلى HTTPS

في حال نقلت موقعك الإلكتروني من HTTP إلى HTTPS، يعتبر محرك البحث Google هذا الإجراء نقل موقع إلكتروني مع تغييرات في عناوين URL. ويمكن أن يؤثر هذا الإجراء مؤقتًا في بعض أرقام الزيارات. يمكنك زيارة صفحة النظرة العامة حول نقل الموقع الإلكتروني للاطّلاع على المزيد من المعلومات.

إضافة موقع HTTPS الجديد إلى Search Console: يتعامل Search Console مع بروتوكولَي HTTP وHTTPS بشكل منفصل، ولا يتم مشاركة البيانات بين هذين الموقعَين في Search Console.

راجِع صفحة تحديد المشاكل وحلّها في عمليات نقل ملفات Sitemap لتحديد وحلّ مشاكل نقل البيانات.

مزيد من المعلومات

مزيد من التفاصيل بشأن تنفيذ طبقة النقل الآمنة في موقعك على الويب: