ما هي Let's Encrypt وكيف يعمل شهادة SSL المجانية؟

ما هي Let's Encrypt سؤال يواجهه عاجلًا أم آجلًا كل من يريد نقل موقعه إلى HTTPS. باختصار، Let's Encrypt هي أكثر سلطة إصدار شهادات مجانية استخدامًا في العالم، وتُصدر شهادات SSL/TLS لملايين النطاقات كل يوم. في هذا المقال نشرح خطوة بخطوة ما هي Let's Encrypt، وكيف يعمل SSL المجاني، ولماذا تكون العملية بأكملها مؤتمتة إلى هذا الحد.

ما هي Let's Encrypt

Let's Encrypt هي سلطة إصدار شهادات (CA) مجانية ومؤتمتة ومفتوحة، تُديرها المنظمة غير الربحية ISRG (Internet Security Research Group). ولها هدف واحد: تشفير الويب بالكامل عبر HTTPS. الشهادات مجانية لأن ISRG تموّل المشروع عبر الرعاة والتبرعات، فتدفع تكلفة البنية التحتية بشكل جماعي بدلًا من فرض رسوم على كل شهادة.

تُصدر Let's Encrypt شهادات DV (التحقق من النطاق) فقط. أي أن الشهادة تُثبت أنك تتحكم في النطاق؛ لكنها لا تتحقق من هوية شركتك أو كيانك القانوني. ولأغلب المدونات والمواقع المؤسسية والمتاجر الإلكترونية، هذا أكثر من كافٍ.

كيف يعمل (ACME + التحقق)

السحر يكمن في بروتوكول ACME (بيئة الإدارة التلقائية للشهادات). ACME معيار مفتوح يُؤتمت طلب الشهادات والتحقق منها وتسليمها بالكامل. يتحاور بين العميل وخوادم Let's Encrypt دون أي تدخل بشري.

قبل إصدار الشهادة، يجب أن تُثبت أنك تتحكم فعلًا في النطاق. وهناك طريقتان رئيسيتان للتحقق:

  • HTTP-01: تمنحك Let's Encrypt رمزًا (token) تضعه كملف في مسار محدد على خادمك (/.well-known/acme-challenge/). تقرأ Let's Encrypt هذا الملف عبر HTTP لتؤكد أن النطاق تحت سيطرتك.
  • DNS-01: تضيف القيمة المُعطاة لك كسجل TXT في منطقة DNS الخاصة بك. تستعلم Let's Encrypt عن هذا السجل للتحقق. وهذه الطريقة إلزامية عندما لا يمكنك وضع ملف على الخادم، وكذلك لشهادات wildcard.

وعند نجاح التحقق، تُوقّع Let's Encrypt الشهادة وتُسلّمها. ويبدو مسار ACME النموذجي كالتالي:

1. إنشاء حساب / توليد مفتاح
2. إرسال طلب الشهادة (order)
3. التحقق: ملف HTTP-01 أو سجل TXT لـ DNS-01
4. تتحقق Let's Encrypt
5. تُوقَّع الشهادة وتُنزَّل

ولمن يفضّل عدم القيام بذلك يدويًا، يُكمل معالج SSL المجاني لدينا العملية في دقائق؛ يكفي أن تُدخل نطاقك وتؤكد التحقق.

لماذا 90 يومًا

شهادات Let's Encrypt صالحة لمدة 90 يومًا فقط. قد تبدو قصيرة، لكنها خيار أمني مقصود:

  1. تشجّع على الأتمتة: العمر القصير يجعل التجديد اليدوي غير عملي ويدفع الجميع نحو الأتمتة. والشهادة التي تتجدد تلقائيًا أكثر أمانًا بكثير من شهادة تنتهي صلاحيتها لأن أحدهم نسيها.
  2. تحدّ من أثر تسرّب المفتاح: إذا تعرّض مفتاحك الخاص للاختراق، فإن الضرر يستمر 90 يومًا كحد أقصى. أما مع الشهادات السنوية، فنافذة الخطر هذه أوسع بكثير.
الشهادات قصيرة العمر ليست نقطة ضعف لصحة الإنترنت؛ بل على العكس، هي حجر زاوية في الأمن الحديث.

هل هي موثوقة

نعم. تُعدّ شهادات Let's Encrypt موثوقة لدى جميع المتصفحات الكبرى (Chrome وFirefox وSafari وEdge) وأنظمة التشغيل. والسبب أن الشهادات الجذرية لـ Let's Encrypt مُضمّنة في مخازن الثقة (trust stores) لهذه المنصات. وهي تقدّم قوة التشفير نفسها (عادةً معايير TLS ذاتها) التي تقدّمها الشهادة المدفوعة، ويظهر رمز القفل في شريط العنوان بالشكل نفسه تمامًا.

حدودها (DV، wildcard، لا OV/EV)

Let's Encrypt قوية، لكنها لا تفعل كل شيء. ومعرفة حدودها أمر مهم:

  • تُصدر شهادات DV فقط؛ ولا تقدّم OV أو EV (التحقق المؤسسي/الموسّع). فمن يريد عرض اسم شركته في المتصفح عليه اللجوء إلى سلطة إصدار تجارية.
  • لا يمكن الحصول على شهادات wildcard (*.example.com) إلا عبر التحقق بطريقة DNS-01؛ فطريقة HTTP-01 لا تعمل مع الـ wildcard.
  • لا تتضمّن إضافات تجارية مثل التأمين أو الضمانات أو شريط العنوان الأخضر.

الخلاصة

Let's Encrypt سلطة إصدار شهادات DV مجانية، تُديرها ISRG وتعمل بأتمتة كاملة عبر بروتوكول ACME. تتحقق من ملكية النطاق عبر HTTP-01 وDNS-01، وتعزّز الأمان بشهادات قصيرة العمر مدتها 90 يومًا، وتحظى بثقة جميع المتصفحات الكبرى. وعيبها الوحيد أن أدوات سطر الأوامر قد تبدو معقّدة للمبتدئين. وهنا بالضبط يأتي دور معالج SSL المجاني لدينا: لا حاجة إلى عضوية، تُدخل نطاقك، وتُكمل التحقق، وتُنزّل ملفات CRT وKEY وCA Bundle وfullchain وPFX في ملف ZIP واحد. استفد من كامل قوة Let's Encrypt في دقائق، دون الحاجة إلى أي معرفة تقنية.