SSL و HTTPS: ما هما ولماذا موقعك بدونهما يخسر يوميًا؟
شرح مبسّط لشهادة SSL وبروتوكول HTTPS، أنواع الشهادات، طريقة تثبيتها، والأثر المباشر على الأمان والسيو والثقة.
في 2026، أي موقع لا يعمل عبر HTTPS هو موقع يخسر زوارًا ومبيعات. المتصفحات تُحذّر منه بصراحة ("غير آمن")، جوجل يُقلّل ترتيبه، والعملاء يهربون من نموذج دفع بدون قفل أخضر. في هذا الدليل نشرح كل شيء بدون تعقيد، ونوضّح كيف تختار وتثبت الشهادة المناسبة لموقعك السعودي.
ما هي شهادة SSL؟
شهادة رقمية تُثبت أن موقعك "هو من يدّعي أنه هو"، وتُشفّر البيانات بين المتصفح والخادم باستخدام التشفير غير المتماثل (Asymmetric Encryption). عندما تُفعَّل، يصبح رابط الموقع https:// بدلًا من http://، ويظهر قفل في شريط العنوان.
ما الفرق بين SSL و TLS؟
تقنيًا، اسم البروتوكول الحديث هو TLS (Transport Layer Security). "SSL" مصطلح تسويقي شائع. الإصدارات:
- SSL 1.0, 2.0, 3.0: قديمة وغير آمنة (يجب عدم استخدامها)
- TLS 1.0, 1.1: مهجورة منذ 2020
- TLS 1.2: مدعومة على نطاق واسع (الحد الأدنى الموصى به)
- TLS 1.3: الأسرع والأكثر أمانًا (المعيار الحالي)
تأكد أن مزود استضافتك يدعم TLS 1.3. كل خوادم بيست هوست تدعم TLS 1.3 افتراضيًا.
كيف يعمل HTTPS تقنيًا؟ (بدون تعقيد)
- Client Hello: المتصفح يطلب اتصالًا آمنًا من السيرفر.
- Server Hello: السيرفر يُرسل شهادته الموقّعة من جهة التصديق (CA).
- التحقق: المتصفح يتأكد أن الشهادة سارية وموقّعة من جهة موثوقة.
- تبادل المفاتيح: يُحدَّد مفتاح تشفير مؤقت (Session Key).
- التشفير: كل البيانات بعد ذلك مُشفّرة بهذا المفتاح.
كل هذا يحدث في أقل من 100 مللي ثانية. TLS 1.3 اختصرها لـ "1-RTT" (نصف الوقت).
أنواع الشهادات
| النوع | يُثبت | السعر السنوي | متى تختاره |
|---|---|---|---|
| DV (Domain Validation) | ملكية الدومين فقط | مجاني – 200 ر.س | مواقع تعريفية، مدوّنات |
| OV (Organization Validation) | الشركة موجودة قانونيًا | 300–800 ر.س | شركات متوسطة، B2B |
| EV (Extended Validation) | الشركة + هوية قانونية كاملة | 1,500–4,000 ر.س | بنوك، شركات تأمين، حكومة |
| Wildcard | الدومين + كل النطاقات الفرعية | 200–1,500 ر.س | منصات SaaS، مواقع متعددة الفروع |
| Multi-Domain (SAN) | عدة دومينات منفصلة | 400–2,000 ر.س | شركات بعدة براندات |
للأعمال الصغيرة: DV مجانية (Let's Encrypt) تكفي.
للمتاجر الكبيرة: OV تُعطي ثقة بصرية إضافية.
للبنوك والمالية: EV تُظهر اسم الشركة في شريط المتصفح.
لمنصات SaaS: Wildcard ضروري لتغطية *.yoursite.sa.
تفاصيل أعمق في مقارنة Wildcard مقابل المفردة.
لماذا HTTPS مهم؟
1. الأمان
بدون HTTPS، أي شخص على نفس شبكة WiFi (في مقهى مثلًا) يستطيع رؤية كلمات المرور والبيانات الحساسة لزوار موقعك. هذا يُسمى Man-in-the-Middle attack. التشفير يمنعه نهائيًا.
2. السيو
جوجل أكّد منذ 2014 أن HTTPS عامل ترتيب. مواقع HTTP تُصنّف "أدنى" تلقائيًا حتى لو محتواها أفضل. تأثير صغير لكن حقيقي. اقرأ أساسيات السيو السعودي.
3. الثقة
كروم وسفاري وفايرفوكس تُظهر "غير آمن" بشكل واضح للمواقع HTTP. معدل التحويل ينخفض 30% بمجرد رؤية هذا التحذير. للمتاجر، الكارثة أكبر — لا أحد يُدخل بطاقته على موقع "غير آمن".
4. ميزات حديثة لا تعمل بدون HTTPS
- HTTP/2 و HTTP/3 (أسرع بكثير)
- Service Workers و PWA (تطبيقات ويب قابلة للتثبيت)
- Web Push Notifications
- Geolocation API (الموقع الجغرافي)
- Camera/Microphone API
- WebAuthn (دخول بدون كلمة مرور)
- Payment Request API
5. شرط بوّابات الدفع السعودية
مدى، Apple Pay، STC Pay ترفض العمل على HTTP. لو متجرك بدون SSL، لن تستطيع قبول الدفع.
6. متطلبات PDPL و ZATCA
نظام حماية البيانات السعودي (PDPL) يتطلب تشفير البيانات أثناء النقل. عدم وجود SSL = مخالفة محتملة.
كيف تُثبّت SSL؟
الخيار 1: Let's Encrypt المجانية (موصى به للمعظم)
أغلب لوحات cPanel تُفعّل Let's Encrypt بضغطة زر، وتُجدّد آليًا كل 90 يومًا. خطوات:
- ادخل cPanel → SSL/TLS Status
- اختر دومينك
- اضغط Run AutoSSL
- انتظر دقائق
في بيست هوست، Let's Encrypt مُفعّل افتراضيًا.
الخيار 2: شهادة مدفوعة
اطلبها من شركة الاستضافة أو من Sectigo/DigiCert/GeoTrust:
- أنشئ CSR (Certificate Signing Request) من سيرفرك
- اطلب الشهادة من المُصدِر
- أكّد ملكية الدومين (عبر بريد، DNS، أو ملف)
- استلم الشهادة و ثبّتها
الخيار 3: شهادة عبر Cloudflare
لو موقعك خلف Cloudflare:
- Cloudflare Universal SSL: مجاني
- Cloudflare Advanced Certificate Manager: 10$/شهر
بعد التثبيت: 5 خطوات لازمة
1. إعادة توجيه HTTP إلى HTTPS
في .htaccess لـ Apache:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
في Nginx:
server {
listen 80;
server_name example.sa www.example.sa;
return 301 https://$host$request_uri;
}
2. تحديث كل الروابط الداخلية
من http:// إلى https://. لـ ووردبريس، استخدم إضافة Better Search Replace.
3. تحديث Sitemap و Search Console
أعد إرسال sitemap.xml بنسخة HTTPS. أضف الموقع كملكية جديدة في Search Console.
4. تحقق من Mixed Content
أي صورة أو سكربت يُحمّل عبر HTTP في صفحة HTTPS يمنع القفل من الظهور. استخدم Chrome DevTools → Console.
5. فعّل HSTS
HTTP Strict Transport Security يجبر المتصفح دائمًا على HTTPS:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
الأخطاء الشائعة
- نسيان تجديد الشهادة (لـ Let's Encrypt: عادةً تلقائي، لكن تحقق)
- مزج محتوى HTTPS و HTTP في نفس الصفحة (Mixed Content)
- شهادة منتهية → تحذير مُخيف للزائر
- سلسلة شهادات غير مكتملة (Intermediate Certificate مفقود)
- عدم تطابق اسم الشهادة مع الدومين (CN mismatch)
- استخدام TLS 1.0/1.1 (مهجورة)
- الاحتفاظ بـ http روابط في sitemap (Google يُعتبرها صفحات منفصلة)
كيف تختبر شهادتك؟
1. SSL Labs Test (مجاني)
https://www.ssllabs.com/ssltest/ — اختبار شامل يعطيك تصنيف A إلى F.
2. Why No Padlock
https://www.whynopadlock.com/ — يكشف مشاكل Mixed Content بسرعة.
3. Browser DevTools
افتح الصفحة → اضغط القفل في شريط العنوان → اعرض تفاصيل الشهادة.
الفرق بين أنواع الفشل
- NET::ERR_CERT_AUTHORITY_INVALID: شهادة غير موقّعة من CA موثوق
- NET::ERR_CERT_DATE_INVALID: الشهادة منتهية
- NET::ERR_CERT_COMMON_NAME_INVALID: اسم الشهادة لا يطابق الدومين
- ERR_SSL_PROTOCOL_ERROR: مشكلة في بروتوكول TLS
- ERR_CONNECTION_REFUSED: السيرفر لا يستمع على المنفذ 443
الخلاصة
SSL/HTTPS لم يعد اختياريًا — هو معيار أساسي للأمان، السيو، الثقة، والميزات التقنية الحديثة. لو موقعك على استضافة بيست هوست، شهادة SSL مجانية ومتجددة آليًا — جزء من كل باقة. لو على شركة أخرى، فعّل Let's Encrypt اليوم، أو تواصل معنا لمساعدتك في التركيب والتكوين.