ما هي شهادة SSL؟
شهادة SSL/TLS هي مستند رقمي موقَّع من قِبل سلطة شهادات (CA) موثوقة، يربط مفتاحاً عاماً بواحد أو أكثر من أسماء المضيفين. عندما يتصل العميل، يُقدِّم الخادم الشهادة كجزء من مصافحة TLS، ويتحقق العميل من توقيع سلطة الشهادات، ومن أن الشهادة ضمن نافذة صلاحيتها، ومن أن أحد الأسماء المدرجة يطابق المضيف الذي يقصده.
رغم الاسم القديم، تستخدم الشهادات الحديثة بروتوكول TLS (إصدار 1.2 و1.3 حالياً) بدلاً من بروتوكول SSL المهجور. صيغة الشهادة X.509 وسلسلة PKI محدَّدتان في **RFC 5280**، مع سلوك خاص بـ HTTPS في **RFC 2818**.
لماذا تفحص شهادة SSL؟
1تجنب انتهاء الصلاحية المفاجئ
كل متصفح وعميل بريد حديث يتعطّل لحظة انتهاء صلاحية الشهادة — راقب الأيام المتبقية بشكل استباقي
2تأكيد تغطية اسم المضيف
تكون الشهادة صالحة فقط لأسماء المضيفين في قائمة SAN — تحقق من كل نطاق فرعي تُقدِّمه
3اكتشاف السلاسل غير الموثوقة
الشهادات الموقّعة ذاتياً أو الصادرة من سلطة غير معروفة تُطلق تحذيرات المتصفح — اكتشفها قبل أن يراها المستخدمون
4تدقيق STARTTLS للبريد
يتوقع مزودو البريد أن تتفاوض نقاط نهاية MX على TLS بنجاح — شهادة معطوبة تخفض قابلية التوصيل بصمت
كيف يعمل التحقق من SSL — خطوة بخطوة
يفتح عميل اتصال TLS مع نطاقك ويُرسل ClientHello.
يُعيد خادمك سلسلة الشهادة: الشهادة النهائية + أي شهادات سلطة وسيطة.
يسير العميل في السلسلة صعوداً حتى يصل إلى سلطة جذر موثوقة مثبتة في مخزن الثقة لديه.
يتحقق من كل توقيع، ويتأكد من أن كل شهادة ضمن نافذة صلاحيتها، ومن أن أياً منها لم يُلغَ.
وأخيراً يتحقق من أن قائمة SAN في الشهادة النهائية تحتوي على اسم المضيف الذي يحاول الوصول إليه.
إذا نجحت كل خطوة، تكتمل المصافحة ويُتبادَل مفتاح الجلسة.
حقول الشهادة في لمحة
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null \
| openssl x509 -noout -textحقول الشهادة الرئيسية
Issuer— سلطة الشهادات التي وقّعت الشهادةSubject CN— اسم المضيف الأساسي القديمSAN— قائمة حديثة بأسماء المضيفين الصالحةNot Before / After— نافذة الصلاحيةKey Usage— العمليات المسموح بها (مصادقة الخادم وغيرها)حالات فشل SSL الشائعة وحلولها
شهادة منتهية الصلاحية
جدِّد فوراً وفعِّل المراقبة — معظم الفرق تُنبَّه عند 30 يوماً متبقياً
عدم تطابق اسم المضيف
اسم المضيف الذي اختبرته ليس في SAN — أصدر شهادة جديدة بالاسم الناقص أو ببطاقة شاملة (wildcard) صحيحة
شهادة موقّعة ذاتياً
المتصفحات ترفضها — انتقل إلى شهادة Let's Encrypt المجانية أو إلى شهادة مُدارة من شبكة CDN
سلسلة غير مكتملة
إذا غابت الشهادات الوسيطة، لن يتمكن بعض العملاء من التحقق من السلسلة — اضمَّها مع الشهادة النهائية في إعداد الخادم
الأسئلة الأكثر شيوعاً
يؤكد فاحص شهادة SSL/TLS أن النطاق يُقدِّم شهادة صالحة من سلطة شهادات موثوقة، وأن حقل Subject وأسماء SAN في الشهادة تغطي اسم المضيف الذي اختبرته، وأن الشهادة ضمن نافذة صلاحيتها الحالية، وأنها ليست موقَّعة ذاتياً. هذه الفحوصات مجتمعة تُثبت أن المتصفح أو عميل البريد سيثق بالاتصال.
بمجرد انتهاء صلاحية الشهادة، تعرض كل المتصفحات تحذيراً أمنياً ويرفض معظم عملاء البريد الحديثين STARTTLS. ترك شهادة SSL تنتهي يُعطِّل حركة الويب وإرسال البريد المُصادَق معاً. مراقبة الأيام المتبقية تمنحك هامشاً للتجديد — معظم الفرق تُطلق تنبيهاً عند أقل من 30 يوماً.
Subject CN (الاسم الشائع) حقل قديم لاسم مضيف واحد على الشهادة. Subject Alternative Names (SAN) قائمة حديثة بكل أسماء المضيفين الصالحة، بما في ذلك إدخالات بطاقة شاملة. المتصفحات ومعظم عملاء البريد تتجاهل CN تماماً وتتحقق من قائمة SAN، فأي اسم مضيف غير موجود في SAN يفشل تحقق TLS.
الشهادات الموقَّعة ذاتياً غير آمنة لأي خدمة موجَّهة للعموم. تُشفّر الاتصال لكنها لا تُقدِّم دليلاً على الهوية، فترفضها المتصفحات والأجهزة المحمولة وعملاء البريد المؤسسية. تكون مقبولة فقط في التطوير، أو في الخدمات الداخلية الخاصة حيث تتحكم في كل عميل، أو كخطوة انتقالية قبل إصدار شهادة موثوقة.
يحدث عدم تطابق اسم المضيف عندما لا تشمل قائمة SAN في الشهادة الاسم المحدد الذي اختبرته. الأسباب الشائعة تشمل اختبار نطاق www مقابل شهادة تشمل الجذر فقط، أو غياب بطاقة شاملة للنطاقات الفرعية المتداخلة، أو تقديم مضيف افتراضي خاطئ بالخطأ على عنوان IP مشترك. أعد إصدار الشهادة بإدخالات SAN صحيحة.
نعم بشكل غير مباشر. يتوقع مزودو البريد أن تتفاوض نقاط نهاية MX وتسليم SMTP والنطاقات المخصصة للتتبع على TLS بنجاح. شهادة معطوبة أو منتهية تفرض تخفيضاً إلى نص واضح أو تُسبب فشل تسليم، وهو ما يخفض السمعة مع الوقت. الحفاظ على القفل الأخضر لكل النطاقات ذات الصلة بالبريد جزء من سلامة المصادقة.