Teroroid 1O1 : بالعلم نرقى Teroroid 1O1 : بالعلم نرقى
الأخبار

آخر الأخبار

الأخبار
recent
جاري التحميل ...
recent

تأمين موقعك أو مدونتك عبر بروتوكول HTTPS

مواضيع مفيدة

السلام عليكم زوار موقع Teroroid 1O1 : تيرورويد للمعلوميات سنتطرق لشيء هام جدا من اجل مواقعنا وهو ان نقوم بتأمينة عبر تركيب بروتوكول https


ما المقصود بـ HTTPS؟

بروتوكول نقل الروابط النصية بأمان (HTTPS) هو بروتوكول لاتصالات الإنترنت يحمي سلامة بيانات المستخدم وسريتها أثناء نقلها من جهاز الكمبيوتر للمستخدم والموقع. ويتوقع المستخدمون أنهم سيحظون بالأمان والخصوصية عند تصفح أي موقع ويب. ونشجعك على استخدام HTTPS لحماية اتصال المستخدمين بموقعك الإلكتروني بغض النظر عن محتواه.
تحظى البيانات التي أُرسلت باستخدام HTTPS بالتأمين عبر بروتوكول طبقة النقل الآمنة (TLS)، والذي يوفّر ثلاث طبقات حماية أساسية:
  1. التشفير—تشفير البيانات التي يتم تبادلها لحمايتها من التنصّت. ويعني ذلك أنّه أثناء تصفّح المستخدم لموقع الويب، لا يُمكن لأي شخص "الاستماع" إلى المحادثات التي يجريها، أو تتبّع أنشطته عبر العديد من الصفحات، أو سرقة معلوماته.
  2. تكامل البيانات—لا يُمكن تعديل البيانات أو إتلافها خلال عملية النقل، سواء أكان ذلك عن عمد أو غير ذلك، بدون أن يتم اكتشاف ذلك.
  3. المصادقة—لإثبات أن المستخدمين يتصلون بموقع الويب المقصود. وتحمي المصادقة من هجمات الدخلاء كما أنها تمنح الثقة للمستخدم؛ وهو ما يتيح تحقيق مزايا أخرى في العمل.

أفضل الممارسات عند تنفيذ بروتوكول HTTPS

استخدام شهادات أمان قوية

يجب أن تستخدم شهادة أمان في إطار تمكين بروتوكول HTTPS لموقعك. ويتم إصدار الشهادة بواسطة المرجع المصدق (CA)، والذي يتخذ إجراءات للتحقق من أن عنوان الويب التابع لك ينتمي إلى مؤسستك، ومن ثمّ يعمل على حماية عملائك من هجمات الاختراق. وعند إعداد الشهادة، تأكد من الحفاظ على مستوى عالٍ من الأمان من خلال اختيار مفتاح 2048 بت. وإذا كان لديك شهادة من قبل مع مفتاح أضعف (1024 بت)، يُمكنك الترقية إلى 2048 بت. عند اختيار شهادة موقعك، يُرجى أخذ الأمور التالية في الاعتبار:
  • الحصول على الشهادة من مرجع مصدق (CA) محل ثقة يوفّر الدعم الفني.
  • تحديد نوع الشهادة التي تحتاجها:
    • شهادة واحدة لأصل واحد آمن (مثل www.example.com).
    • شهادة متعددة لأصول آمنة متعددة ومعروفة (مثل www.example.com، cdn.example.com، example.co.uk).
    • شهادة حرف البدل لأصل آمن مع العديد من النطاقات الفرعية الديناميكية (مثل a.example.com‏، b.example.com).

استخدام عمليات إعادة التوجيه 301 من جانب الخادم

يمكنك إعادة توجيه المستخدمين ومحركات البحث إلى صفحة أو مورد يستخدمان HTTPS باستخدام عمليات إعادة توجيه ‎301 عبر بروتوكول HTTP من جانب الخادم.

التحقق من إمكانية زحف محرك البحث Google إلى صفحات HTTPS وفهرستها

  • لا تحظر صفحات HTTPS باستخدام ملفات robots.txt.
  • لا تضمّن علامات noindex وصفية في صفحات HTTPS.
  • يمكنك استخدام أداة الجلب مثل Google لاختبار إمكانية وصول Googlebot إلى صفحاتك.

التوافق مع HSTS

نوصي بأن تكون المواقع التي تستخدم بروتوكول HTTPS متوافقة مع آلية أمن النقل المعزز، التي توجّه المتصفح إلى طلب صفحات HTTPS بشكل تلقائي، حتى إذا أدخل المستخدم http في شريط الموقع بالمتصفح. كما توجّه هذه الآلية أيضًا محرك البحث Google لعرض عناوين URL الآمنة في نتائج البحث. ويعمل كل ما سبق على الحد من مخاطر عرض المحتوى غير الآمن للمستخدمين.
للتوافق مع HSTS، يمكنك استخدام خادم ويب يتوافق مع أمن النقل المعزز لبروتوكول HTTP ‏(HSTS) وتمكين HSTS.
تزيد آلية HSTS درجة تعقيد إستراتيجية التراجع. ونوصي بتمكين HSTS بهذه الطريقة:
  1. طرح صفحات HTTPS دون استخدام آلية HSTS أولاً.
  2. البدء في إرسال رؤوس HSTS مع تحديد فترة قصوى قصيرة، ومراقبة الزيارات من المستخدمين والبرامج الأخرى، وأداء العناصر التابعة لها، مثل الإعلانات.
  3. زيادة الفترة القصوى لآلية HSTS.
  4. طلب إضافة موقعك - إن أردت - إلى قائمة التحميل المسبق لآلية HSTS في Chrome إذا لم تكن هذه الآلية تؤثر سلبًا في المستخدمين ومحركات البحث.

التفكير في استخدام التحميل المسبق لآلية HSTS. 

يمكنك - إن أردت - في حالة تمكين HSTS إتاحة إمكانية التحميل المسبق لآلية HSTS لزيادة مستوى الأمان. ولإجراء ذلك، يجب تعيين الأمرincludeSubDomains في رأس HSTS. وتعمل مطابقة النطاقات الفرعية على النحو التالي: إذا كان الموقع www.example.com يعرض رأس HSTS معincludeSubdomains، يمكنك الاطلاع على النطاقات التي تتطابق معه:
عنوان URL للموقع:
http://www.marriott.com/caieg
includeSubDomains = true
http://www.marriott.com/caiegمطابقة
foo.www.example.comمطابقة
example.comليس هناك مطابقة
foo.example.comليس هناك مطابقة

تجنّب هذه الأخطاء الشائعة

في جميع مراحل عملية تأمين موقعك باستخدام بروتوكول طبقة النقل الآمنة (TLS)، تجنب الأخطاء التالية:
المشكلةالإجراء
شهادات منتهية الصلاحيةتأكد من تحديث الشهادة الخاصة بك دومًا
الشهادة مسجلة إلى اسم موقع ويب غير صحيحتأكّد من تسجيل الشهادة إلى اسم المضيف الصحيح على سبيل المثال، إذا سجّلت شهادة لـwww.example.com وتمت تهيئة موقعك على الويب لاستخدام example.com، فسيظهر لك خطأ بسبب عدم تطابق اسم الشهادة.
لا يوجد توافق مع الإشارة إلى اسم الخادم(SNI)تأكّد أنّ خادم الويب الخاص بك يتوافق مع الإشارة إلى اسم الخادم (SNI) وكذلك من استخدام الجمهور لديك متصفحات معتمدة بصفة عامة. وفي حين أن الإشارة إلى اسم الخادم (SNI) تتوافق مع جميع المتصفحات الحديثة، إلا أنه يلزمك عنوان IP مخصص إذا كنت بحاجة إلى التوافق مع المتصفحات القديمة.
مشكلات متعلقة بالزحفلا تحظر الزحف إلى موقع HTTPS التابع لك باستخدام robots.txt.
مشكلات متعلقة بالفهرسةاسمح لمحركات البحث بفهرسة صفحاتك متى أمكن ذلك. تجنّب العلامة الوصفية Noindex.
إصدارات البروتوكول قديمةإصدارات البروتوكول القديمة عرضة للهجوم؛ ويجب التأكد من استخدام أحدث إصدارات مكتبات طبقة النقل الآمنة وتنفيذ أحدث إصدارات البروتوكول.
عناصر أمنية مختلطةلا تضمّن سوى محتوى HTTPS على صفحات HTTPS.
محتوى مختلف على HTTP وHTTPSتأكّد أن المحتوى الموجود على موقع HTTP هو نفس المحتوى الموجود على HTTPS.
خطأ في رمز حالة HTTP على HTTPSتحقق أنّ موقعك على الويب يعرض رمز حالة HTTP الصحيح. على سبيل المثال ‎200 OK للصفحات القابلة للدخول، أو 404 أو 410 للصفحات غير الموجودة.

المزيد من النصائح

يمكنك الاطلاع على الأسئلة الشائعة حول نقل HTTPS للحصول على المزيد من النصائح عن استخدام صفحات HTTPS على موقعك.

النقل من HTTP إلى HTTPS

في حالة نقل موقعك من HTTP إلى HTTPS، يعتبر Google هذا الإجراء بوصفه نقل موقع مع تغيير في عنوان URL. ويمكن أن يؤثر هذا مؤقتًا في بعض أرقام الزيارات. يمكنك الاطلاع على صفحة نظرة عامة حول نقل الموقع للتعرُّف على المزيد من المعلومات.
يمكنك إضافة موقع HTTPS إلى Search Console الذي يتعامل مع HTTP وHTTPS بشكل منفصل، ولا يتم تقديم بيانات مشتركة بين هذين الموقعين في Search Console. فإذا كانت لديك صفحات تستخدم كلا البروتوكولين، يجب استخدام موقع منفصل في Search Console لكل صفحة.

عن الكاتب

معتصم بالله الأيوبي مدون ويوتيوبر لبناني و مهووس في مجال التكنولوجيا وأحب مشاركة خبراتي وشروحاتي على مدونتي تيرورويد للمعلوميات

قال سبحانه: مَا يَلْفِظُ مِن قَوْلٍ إِلا لَدَيْهِ رَقِيبٌ عَتِيدٌ
لا تنسى ذكر الله

التعليقات



إذا أعجبك محتوى مدونتنا نتمنى البقاء على تواصل دائم ، فقط قم بإدخال بريدك الإلكتروني للإشتراك في بريد المدونة السريع ليصلك جديد المدونة أولاً بأول ، كما يمكنك إرسال رساله بالضغط على الزر المجاور ...

إتصل بنا

عن الموقع

موقع Teroroid 1o1 مختص في مجال التكنلوجيا و التقنيات و كل ما يخص الهواتف الذكية و الحواسيب ، و هدفي هو تصحيح الأفكار و الدروس الخاطئة في المحتوى العربي عن طريق دروس و حلقات في قناتنا على اليوتيوب ، و يسهر على إشراف و سير الموقع الشاب اللبناني ذو 15 عام ' معتصم الأيوبي ' الذي يحيكم و يشجعكم على الزيارة الدائمة و الإشتراك في موقعنا لتتوصل بكل جديد منا .

حمل تطبيقنا

Get it on Google Play

جميع الحقوق محفوظة

Teroroid 1O1 : بالعلم نرقى

2017