كيفية التحقق من تثبيت SSL وإصلاح الأخطاء الشائعة باستخدام أداة فحص SSL

قمت بتثبيت الشهادة، ورأيت رمز القفل في المتصفح، وظننت أنك انتهيت. لكن إعداد SSL غالبًا ما يكون أكثر تعقيدًا مما يبدو: فالإعداد الذي يعمل في متصفح واحد قد يُظهر تحذير "غير آمن" على جهاز آخر أو داخل تطبيق للهاتف المحمول. هنا تحديدًا تُثبت أداة فحص SSL قيمتها. في هذا الدليل نشرح خطوة بخطوة كيفية التحقق من تثبيتك وإصلاح الأخطاء الأكثر شيوعًا.

لماذا يهم فحص SSL الخاص بك

مشكلات SSL/TLS ليست واضحة دائمًا. فقد يكون متصفح سطح المكتب لديك قد خزّن شهادة وسيطة في الذاكرة المؤقتة، فيفتح الموقع لديك بسلاسة بينما يفشل لزائر جديد. وقد تكون شهادة على وشك الانتهاء قد فشلت في التجديد بصمت. والشهادة التي لا تغطي النطاق الفرعي www تُطلق تحذيرًا بمجرد أن يكتب المستخدم www في شريط العنوان. هذه المشكلات تؤثر مباشرة في ترتيبك في محركات البحث، وثقة المستخدمين، وتكاملات واجهات برمجة التطبيقات لديك. وتُظهر لك أداة فحص مستقلة ما يقدّمه الخادم فعليًا، دون تأثّر بذاكرة متصفحك المؤقتة.

ماذا تبلغ عنه أداة فحص SSL

عند إدخال نطاقك، تفتح الأداة اتصال TLS بخادمك وتبلغ عمّا يلي:

  • الصلاحية وتاريخ الانتهاء — ما إذا كانت الشهادة نشطة وكم يومًا متبقيًا.
  • الجهة المُصدِرة (Issuer) — سلطة الشهادات (CA) التي وقّعتها، مثل Let's Encrypt.
  • النطاقات المغطّاة (SAN) — كل اسم مضيف تصلح له الشهادة.
  • مطابقة اسم المضيف — ما إذا كان الاسم الذي أدخلته يطابق الأسماء الموجودة في الشهادة.
  • سلسلة الشهادات — ما إذا كانت السلسلة، بما في ذلك الشهادات الوسيطة والجذرية، كاملة وموثوقة.
  • معلومات المفتاح والتوقيع إضافة إلى بروتوكول TLS المُتفاوَض عليه.

لرؤية إعدادك الخاص، افتح أداة فحص SSL لدينا واكتب نطاقك.

كيف تقرأ النتيجة

لا تتوقف عند الحكم العام الأخضر/الأحمر؛ بل اقرأ التفاصيل. راجعها بالترتيب: هل الجهة المُصدِرة سلطة شهادات معروفة وموثوقة؟ هل يتبقى أكثر من 30 يومًا؟ هل تتضمن قائمة SAN كلًّا من example.com وwww.example.com؟ هل السلسلة موسومة بأنها "كاملة"؟ إذا وجدت الأداة مشكلة في أي من هذه الحقول، فستُظهر تحذيرًا واضحًا. المهارة الحقيقية هي في تفسير هذا التحذير بشكل صحيح.

أكثر أخطاء SSL شيوعًا وكيفية إصلاحها

1. سلسلة شهادات غير مكتملة

هذا هو الخطأ الأكثر شيوعًا والأكثر إرباكًا: يعمل الموقع في بعض المتصفحات لكنه يفشل على الهاتف المحمول أو مع curl. والسبب أن الخادم لا يرسل شهاداته الوسيطة. والحل هو تثبيت السلسلة الكاملة (شهادة الخادم + الشهادات الوسيطة) على الخادم. وعادةً يكفي استخدام ملف fullchain.pem. في Nginx، وجّه التوجيه ssl_certificate إلى ملف fullchain بدلًا من الشهادة المنفردة؛ وفي Apache، أضف حزمة سلطة الشهادات عبر SSLCertificateChainFile.

2. عدم مطابقة اسم المضيف

إذا صدرت الشهادة لـ example.com لكن وصل زائر إلى www.example.com، يُصدر المتصفح تحذيرًا. والحل هو إعادة إصدار شهادة تغطي كلا الاسمين (نطاق الجذر وwww). في معالج الشهادات المجانية لدينا يمكنك إضافة كل النطاقات التي تحتاجها إلى حقل SAN قبل الإصدار.

3. شهادة منتهية الصلاحية

للشهادات عمر محدود، وبمجرد انتهائها يحظر المتصفح الوصول تمامًا. والحل بسيط: جدّد الشهادة. أتمتة التجديد هي الأفضل؛ لكن إن لم تكن لديك أتمتة، شغّل أداة الفحص بانتظام لمراقبة تاريخ الانتهاء وجدّد عندما يتبقى أقل من 30 يومًا.

4. جذر غير موثوق أو شهادة موقّعة ذاتيًا

الشهادات الموقّعة ذاتيًا التي تنشئها للاختبار، أو الشهادات الصادرة عن سلطة لا تتعرف عليها المتصفحات، تُعامَل على أنها غير موثوقة. في بيئة الإنتاج، الحل هو استخدام شهادة من سلطة شهادات حقيقية. وسلطة شهادات مجانية وموثوقة على نطاق واسع مثل Let's Encrypt تزيل هذه المشكلة تمامًا.

أعد التحقق بعد كل إصلاح

شغّل أداة الفحص مجددًا بعد كل تغيير. تأكد من أنك أعدت تشغيل خادم الويب، ثم تحقق من أن السلسلة صارت الآن "كاملة"، وأن مطابقة اسم المضيف "ناجحة"، وأن الأيام المتبقية في وضع جيد. وإذا كنت تشغّل عدة خوادم خلف موزّع أحمال، فافحص كلًّا منها على حدة؛ فغالبًا ما تبقى عقدة واحدة فقط تقدّم الشهادة القديمة.

الخلاصة

تُظهر لك أداة فحص SSL كيف يبدو تثبيتك لبقية العالم، بمعزل عن ذاكرة متصفحك المؤقتة. تحقق من الجهة المُصدِرة وتاريخ الانتهاء والنطاقات المغطّاة وسلامة السلسلة؛ وأصلح السلسلة غير المكتملة بملف fullchain، وعدم مطابقة اسم المضيف بإعادة الإصدار مع SAN الصحيحة، والانتهاء بالتجديد، والشهادات غير الموثوقة بالانتقال إلى سلطة شهادات حقيقية. للبدء، استخدم أداة فحص SSL، وإن احتجت، فأنشئ شهادتك المجانية لمدة 90 يومًا في دقائق قليلة فقط.