hero-generate
التحقق من تفاصيل شهادة SSL
الرجاء الانتظار ريثما نتحقق من الصلاحية والأمان والتكوين...

يُجري فاحص SSL أعلاه تشخيصًا شاملًا لأي شهادة SSL/TLS متاحة للعموم، ويُعيد تقريرًا مفصّلًا يشمل تقييم الأمان، وسلسلة الشهادات، ومجموعات التشفير، وفحوصات الثغرات الأمنية، وتوافق المتصفحات. تشرح الأقسام أدناه كيفية قراءة كل جزء من التقرير.

فهم تقييم أمان SSL الخاص بك

يُنتج كل فحص بواسطة فاحص SSL درجةً حرفية تتراوح من A+ إلى F، إلى جانب درجة رقمية من أصل 100.

  • تعني درجة A أو A+ أن الشهادة مثبّتة بشكل صحيح، وتستخدم تشفيرًا حديثًا، وأن الخادم يعمل بميزات الأمان المناسبة.
  • شهادات الدرجة B تعمل بشكل طبيعي لكنها تكشف عن مجال للتحسين والتصليب الأمني.
  • الدرجة C وما دونها تشير عادةً إلى إصدار TLS قديم، أو ميزة أمان مفقودة، أو شهادة على وشك الانتهاء.

يتوزع الحساب على خمس فئات:

  • الشهادة (الصلاحية والخوارزمية)
  • الثقة (جهة إصدار الشهادة المعترف بها وسلامة السلسلة)
  • البروتوكول (إصدارات TLS المدعومة، وتعطيل البروتوكولات القديمة)
  • الميزات (HSTS، OCSP Stapling، Perfect Forward Secrecy، CAA)
  • الصلاحية (الوقت المتبقي قبل انتهاء الصلاحية)

تأتي معظم انخفاضات التقييم من فئة الميزات. فالشهادة تعمل، والسلسلة سليمة، والبروتوكول حديث، لكن HSTS غير مُهيَّأ أو سجل CAA غير منشور. وهذه إصلاحات على مستوى الخادم وعلى مستوى DNS، وليست مشكلات في الشهادة نفسها.


قراءة تفاصيل شهادتك

يُفصّل فاحص SSL كل شهادة في السلسلة حقلًا بحقل.

الاسم الشائع (Common Name) — النطاق الأساسي الذي صدرت الشهادة من أجله. يجب أن يتطابق مع URL الذي يُفحص، وإلا رفض المتصفح الاتصال.

صادرة من (Issued By) — الجهة الوسيطة المُصدِرة إلى جانب جهة إصدار الشهادات الأم. الأسماء المعروفة مثل Sectigo، وDigiCert، وGeoTrust، أو Google Trust Services موثوقة تلقائيًا. أما الجهات المُصدِرة غير المعروفة أو أي شهادة “موقّعة ذاتيًا” فستُطلق تحذيرًا.

صالحة من / صالحة حتى (Valid From / Valid To) — نافذة صلاحية الشهادة. تاريخ “صالحة من” أهم مما يتوقعه الناس: إذا كانت ساعة الخادم خاطئة أو جرى تثبيت الشهادة مبكرًا، يرفضها المتصفح باعتبارها غير صالحة بعد.

خوارزمية التوقيع (Signature Algorithm) — تستخدم الشهادات الحديثة SHA-256 أو SHA-384 أو ecdsa-with-SHA256. وقد أُهملت SHA-1 منذ سنوات، وينبغي إعادة إصدار أي شهادة لا تزال تستخدمها.

المفتاح العام (Public Key) — RSA بحجم 2048 بت أو أعلى هو المعيار القياسي. أما ECC بحجم 256 بت فهو البديل الحديث الذي يُنتج شهادات أصغر حجمًا وأسرع أداءً.

SAN (اسم بديل للموضوع) — أسماء المضيفين الإضافية التي تغطيها الشهادة. أحرف البدل (Wildcards) مثل *.example.com تغطي جميع النطاقات الفرعية ذات المستوى الواحد. شهادات متعددة النطاقات تُدرج كل اسم مضيف محمي هنا. بالنسبة لشهادات DV، وOV، أو EV، تحدد قائمة SAN بدقة النطاقات التي ستتحقق منها الشهادة.


شرح ميزات أمان شهادة SSL

بالإضافة إلى الشهادة نفسها، يُعدّ فاحص SSL تقريرًا عن ست ميزات أمان.

OCSP Stapling — يجلب الخادم مسبقًا حالة إلغاء الشهادة الخاصة به من CA ويُضمّنها في مصافحة TLS على المنفذ 443. تعني “غير مدعوم” إضافة تأخير لكل اتصال. وعادةً ما يكون الحل تغيير سطر واحد في إعدادات Apache أو Nginx أو IIS.

Perfect Forward Secrecy (PFS) — تستخدم كل جلسة مفتاحًا فريدًا، بحيث لا يمكن لاختراق مستقبلي للمفتاح الخاص فك تشفير حركة المرور السابقة. تعني “غير مدعوم” أن الجلسات المسجّلة يمكن فك تشفيرها بأثر رجعي. يمكن تفعيله بتفضيل مجموعات تشفير ECDHE.

Certificate Transparency (CT) — تُسجَّل الشهادات الصادرة في سجلات CT عامة، مما يتيح لأصحاب النطاقات اكتشاف الإصدار غير المصرّح به. “غير مدعوم” على شهادة عامة أمر غير معتاد.

HSTS (HTTP Strict Transport Security) — ترويسة استجابة الخادم التي تُخبر المتصفحات برفض اتصالات HTTP العادية. بدون HSTS، يمكن للمهاجم تخفيض مستوى اتصال الزائر من HTTPS واعتراض حركة المرور. أضف ترويسة Strict-Transport-Security في إعدادات خادم الويب.

حالة إلغاء الشهادة (Certificate Revocation Status) — يستعلم الفاحص عن OCSP وCRL للتأكد من عدم إلغاء الشهادة. “جيد” = نشطة. “ملغاة” = ستُرفض من المتصفحات، أعد الإصدار فورًا. “غير معروف” في CRL شائع وليس مشكلة إذا أعاد OCSP نتيجة “جيد”.

سجل DNS CAA — سجل DNS يُدرج جهات إصدار الشهادات المخوّلة بإصدار شهادات للنطاق. بدونه، يمكن لأي CA تقنيًا إصدار شهادة. أضف سجل CAA لدى مزود DNS الخاص بك مع إدراج جهات الإصدار الخاصة بك.


نتائج فحص ثغرات TLS

يُفحص خمس ثغرات TLS معروفة. معظم الخوادم رقّعت هذه الثغرات منذ سنوات، لذا يؤكد فاحص SSL عادةً خلوّها منها.

Heartbleed (CVE-2014-0160) — ثغرة قراءة ذاكرة في OpenSSL كشفت المفاتيح الخاصة. “آمن” يعني أن الخادم يعمل ببنية OpenSSL مُرقَّعة.

POODLE (CVE-2014-3566) — هجوم padding-oracle ضد SSLv3. “آمن” يعني أن SSLv3 معطّل.

BEAST (CVE-2011-3389) — ثغرة في تشفير كتل TLS 1.0. “آمن” يعني أن TLS 1.0 معطّل أو أن الخادم يستخدم مجموعات تشفير غير معرّضة للثغرة.

ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. ثغرة في حشو RSA أعادت الظهور في تطبيقات كثيرة من موردين مختلفين. “آمن” يعني أن الخادم لا يكشف عن تبادل مفاتيح معرّض للثغرة.

Ticketbleed (CVE-2016-9244) — كشف ذاكرة خاص بأجهزة F5 BIG-IP عبر تذاكر جلسة TLS. “آمن” يعني عدم وجود جهاز F5 غير مُرقَّع.


مجموعات التشفير ودعم البروتوكولات

يُصنّف فاحص SSL مجموعات التشفير المدعومة ضمن TLS 1.3 وTLS 1.2 والضعيفة.

  • يمتلك TLS 1.3 قائمة صغيرة من المجموعات القوية بطبيعتها.
  • تتفاوت جودة تشفير TLS 1.2، ولهذا يُعدَّد كل مجموعة بشكل منفرد.
  • يُشير عمود الضعيف إلى البروتوكولات أو التشفيرات القديمة التي ينبغي تعطيلها: SSLv3، وTLS 1.0، وTLS 1.1، وRC4، و3DES، وأي تشفير NULL أو EXPORT.

تتبع أسماء مجموعات التشفير بنية يمكن التنبؤ بها. في TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:

  • ECDHE هو تبادل المفاتيح (يوفر Perfect Forward Secrecy)
  • ECDSA هو خوارزمية التوقيع
  • AES_256_GCM هو التشفير المتماثل
  • SHA384 هو دالة التجزئة

كلٌّ من AES بحجم 128 بت و256 بت آمن.


التحقق من صحة سلسلة الشهادات

يعرض التقرير سلسلة الشهادات الكاملة على ثلاثة مستويات:

  • شهادة الخادم
  • الشهادة الوسيطة
  • شهادة الجذر

كل مستوى موقَّع من المستوى الذي يعلوه، ويجب أن تنتهي السلسلة عند جذر يثق به المتصفح مسبقًا.

“السلسلة مكتملة” تعني أن المتصفحات تستطيع التنقل من الخادم إلى الجذر دون أي مشكلة.

“غير مكتملة” تعني أن شهادة وسيطة واحدة أو أكثر مفقودة مما يُرسله الخادم، فلا تستطيع المتصفحات ربط الشهادة بجذر موثوق ويرى الزوار تحذير أمان.

تُعدّ السلاسل غير المكتملة من أكثر مشكلات تثبيت SSL شيوعًا، ويُشير إليها فاحص SSL في أعلى التقرير. الحل في الغالب هو إعادة التثبيت باستخدام حزمة السلسلة الكاملة التي توفرها CA. تختلف المسارات حسب الخادم: يستخدم Apache توجيه ملف السلسلة بينما يتوقع Nginx ملف fullchain.pem. أما IIS فيتعامل مع إعادة بناء السلسلة من خلال معالج استيراد الشهادات.


التحقق من انتهاء صلاحية شهادة SSL

يعرض فاحص SSL انتهاء الصلاحية في موضعين: يُظهر الملخص العلوي الأيام المتبقية وتاريخ “صالحة حتى”، وتعرض كل شهادة في السلسلة نافذة صلاحيتها الخاصة.

بموجب قرار CA/Browser Forum Ballot SC-081v3، يجري تقليص أعمار شهادات SSL/TLS العامة تدريجيًا. اعتبارًا من 15 مارس 2026، انخفض الحد الأقصى للصلاحية من 398 يومًا إلى 200 يوم. وسينخفض إلى 100 يوم اعتبارًا من 15 مارس 2027، ثم إلى 47 يومًا اعتبارًا من 15 مارس 2029.

مع شهادة مدتها 200 يوم، تكفي الفحوصات الشهرية مع تذكير عند اقتراب 30 يومًا. وحين تصل شهادات 47 يومًا، سيصبح التجديد اليدوي غير عملي. الحل المعتمد هو الأتمتة المستندة إلى ACME، التي تتيح للخادم طلب الشهادات وتجديدها دون تدخل يدوي.


توافق المتصفحات – متى يكون مهمًا

يختبر فاحص SSL الشهادة مقابل 13 مجموعة من المتصفحات والأجهزة. ينبغي أن تُظهر المتصفحات الحديثة (Chrome 80+، وFirefox 80+، وSafari 14+، وEdge 80+، وOpera 70+، وiOS 15+ Safari، وAndroid 10+) دائمًا “مدعوم” على شهادة حديثة.

كثيرًا ما تُظهر المنصات المحمولة القديمة مثل Android 5-7 وiOS 12 دعمًا جزئيًا. وما إذا كان ذلك مهمًا يعتمد على الجمهور المستهدف. أما متصفحات سطح المكتب القديمة مثل Internet Explorer 10 و11 فتفشل دائمًا تقريبًا مع الشهادات الحديثة لأنها لا تدعم TLS 1.2 افتراضيًا. درجة 9/13 مع اخضرار جميع المتصفحات الحديثة أمر طبيعي في عام 2026.


متى تُجري فحص SSL

فحص واحد بعد التثبيت لا يكفي. شغّل فاحص SSL:

  • بعد تثبيت شهادة جديدة
  • قبل 30 يومًا من انتهاء الصلاحية في دورة 200 يوم
  • بعد كل تجديد أو إعادة إصدار
  • بعد ترحيل الخادم أو تغيير IP
  • بعد التبديل إلى جهة إصدار شهادات مختلفة
  • بعد الانتقال إلى إعداد wildcard أو متعدد النطاقات
  • بعد تفعيل HSTS أو OCSP Stapling أو أي تغيير في إعدادات TLS

الأسئلة المتداولة

كم مرة يجب أن أتحقق من شهادة SSL الخاصة بي؟

الفحص الشهري هو خط أساس معقول. مع أن الحد الأقصى للشهادات الآن هو 200 يوم، قم بتعيين تذكير ثابت لتشغيل فحص شامل قبل 30 يوماً من انتهاء الصلاحية. قم بتشغيل فحص إضافي بعد التجديدات، حيث أن أخطاء حزمة السلسلة هي المشكلة الأكثر شيوعاً بعد التجديد.

نسخ الرابط

ما الذي يجب أن تكون عليه درجة أمان SSL الخاصة بي؟

استهدف تصنيف A أو A+. التصنيف B يعمل في كل متصفح، لكن الفجوة عادة ما تشير إلى مشاكل قابلة للإصلاح. معظم انخفاضات التصنيف تعود إلى عنصرين يشير إليهما SSL Checker في لوحة ميزات الأمان: رأس HSTS مفقود أو سجل CAA غير مُعد. لا يتطلب أي منهما تعديل الشهادة.

نسخ الرابط

ماذا يعني إذا أظهر التقرير “سلسلة غير مكتملة”؟

خادمك لا يرسل جميع الشهادات الوسيطة التي تحتاجها المتصفحات. الحل السريع: Apache يستخدم SSLCertificateChainFile أو حزمة مدمجة، Nginx يتوقع ملف fullchain.pem، و IIS يعيد بناء السلسلة من خلال معالج استيراد الشهادة.

نسخ الرابط

هل يمكنني التحقق من شهادة SSL لاسم مضيف داخلي أو محلي؟

لا، لا يمكن لأدوات الفحص العامة الوصول إلى الأجهزة الداخلية خلف جدران الحماية. من جهاز على نفس الشبكة، قم بتشغيل openssl s_client -connect host:443 -servername host للحصول على مخرجات مكافئة. أداة سطر الأوامر OpenSSL تأتي مع معظم توزيعات Linux وتتوفر لنظام Windows.

نسخ الرابط

هل يعمل SSL Checker مع شهادات من أي جهة إصدار شهادات؟

نعم. يقرأ أي شهادة يقدمها الخادم، من Sectigo و DigiCert و GeoTrust و RapidSSL و Thawte و GoGetSSL و Let’s Encrypt و Google Trust Services وغيرها. كتالوج شهادات SSL الخاص بـ SSL Dragon يغطي ستة من تلك CAs جنباً إلى جنب.

نسخ الرابط

لماذا يظهر التقرير “Not Supported” لـ HSTS على الرغم من أن SSL الخاص بي يعمل؟

HSTS هو رأس استجابة الخادم، وليس جزءًا من الشهادة. يمكن أن تكون الشهادة صحيحة تمامًا بينما يبقى HSTS غير مُعد. أضفه في إعدادات خادم الويب: Apache يستخدم Header always set Strict-Transport-Security، و Nginx يستخدم add_header Strict-Transport-Security.

نسخ الرابط