الدرس الثامن: إدارة شهادات الـ SSL وتأمين المواقع (Let's Encrypt & HSTS)

شهادات الـ SSL: الانتقال من الأمان الأساسي للأمان العسكري (HSTS)

في الماضي، كانت شهادة الـ SSL تكلف مئات الدولارات ويتم تركيبها يدوياً بشق الأنفس عبر سطر الأوامر. اليوم، بفضل Let's Encrypt المدمجة في Plesk، يمكنك إصدار الشهادات مجاناً. لكن المحترفين يعلمون أن (وجود SSL) لا يعني أن الموقع (محمي بالكامل).

كيف تعمل إضافة Let's Encrypt داخلياً في Plesk؟

عندما تطلب شهادة من اللوحة، يقوم Plesk بالتواصل مع خوادم Let's Encrypt وإثبات ملكيتك للنطاق (Domain Validation) عبر طريقتين:

1. HTTP Challenge: يقوم Plesk سراً بإنشاء مجلد مخفي في موقعك اسمه .well-known/acme-challenge/ ويضع فيه ملفاً مؤقتاً. إذا تمكنت خوادم Let's Encrypt من قراءة الملف عبر الويب، يتم إصدار الشهادة.
2. DNS Challenge: يستخدم لإصدار شهادات Wildcard (`*.domain.com`). يقوم Plesk بإضافة سجل TXT مؤقت في הـ DNS لإثبات ملكيتك، ثم يحذفه.

حل مشاكل فشل التجديد التلقائي (Auto-Renew Failures)

الشهادات تنتهي كل 90 يوماً. Plesk يحاول تجديدها تلقائياً قبل شهر. إذا وصلتك رسالة بفشل التجديد، فهناك 3 أسباب قاتلة غالباً:

• الموقع تم تحويله إلى Cloudflare وإعدادات الـ SSL في Cloudflare موضوعة على (Flexible) بدلاً من (Full Strict) مما يسبب إعادة توجيه لا نهائية (Redirect Loop) تمنع Let's Encrypt من التحقق.
• أنت تستخدم قاعدة .htaccess تحجب الوصول إلى الملفات المخفية (التي تبدأ بنقطة)، مما يمنع الوصول لمجلد .well-known. يجب استثناء هذا المجلد.
• تعطل خادم الـ DNS المحلي الخاص بـ Plesk.

الارتقاء الأمني: تفعيل HSTS (HTTP Strict Transport Security)

حتى لو كان موقعك يستخدم `https://`، المخترق الماهر في المقهى (Man-in-the-Middle) قد يجبر متصفحك على تحميل الموقع بـ `http://` في أول زيارة ويسرق بياناتك. تقنية الـ HSTS هي توجيه أمني تفرضه في Plesk يُجبر متصفح الزائر (مثل Chrome) على أن يتذكر إلى الأبد ألا يفتح هذا الموقع إلا عبر اتصال مشفر، حتى لو كتب المستخدم `http://`.

لتفعيله في Plesk: اذهب إلى `Hosting Settings` للنطاق > `SSL/TLS Certificates` > HSTS وقم بتحديده. تحذير الخبراء: لا تقم بتفعيله لمدة عام كامل (max-age=31536000) إلا بعد أن تكون متأكداً 100% أن موقعك ونطاقاتك الفرعية تمتلك شهادات SSL صالحة ومستقرة، وإلا ستُغلق المواقع في وجه زوارك ولن يتمكنوا من الدخول حتى تزول المدة الزمنية!

تأمين لوحة Plesk نفسها (Securing the Panel)

من الكوارث أن تدخل للوحة تحكم السيرفر برابط غير آمن. لتأمين اللوحة نفسها وخدمات البريد الإلكتروني (Postfix/Dovecot):

# عبر سطر الأوامر للمحترفين:
plesk bin certificate --secure-panel -domain server.yourdomain.com
plesk bin certificate --secure-mail -domain server.yourdomain.com

بهذا يتم تشفير اتصالات الـ IMAP و SMTP أيضاً، وتتخلص نهائياً من رسائل تحذير الأمان عند ربط البريد بالاوتلوك.

[توسعة المحترفين] الأمان العسكري للـ SSL/TLS و OCSP Stapling

تفعيل HSTS كما شرحنا سابقاً يمنع المتصفحات من استخدام الـ HTTP، لكننا نحتاج للغوص في جودة التشفير نفسه (Cipher Suites) وكيفية تحسين سرعة مصافحة הـ SSL.

مشكلة بروتوكولات التشفير الضعيفة (TLS 1.0 & TLS 1.1)

حتى لو كان موقعك يستخدم Let's Encrypt، إذا كان Nginx يسمح بالاتصال عبر بروتوكولات قديمة مثل TLS 1.0 أو TLS 1.1، فإن أدوات الفحص الأمني (مثل SSLLabs) ستعطيك تقييم C أو B بدلاً من A+، وسيعتبر موقعك غير آمن للمدفوعات عبر الإنترنت (PCI-DSS Compliance Failure). في الإصدارات الحديثة من Plesk، يتم تعطيلها افتراضياً، ولكن يمكنك التحكم الدقيق بها عبر أداة سطر الأوامر الخاصة بـ Plesk لـ PCI Compliance:

# أداة لتمكين التشفير الصارم وفق معايير بطاقات الائتمان
plesk sbin pci_compliance_resolver --enable all

هذا الأمر السحري سيعيد كتابة قواعد التشفير (Cipher Suites) في Apache و Nginx لتقبل فقط الاتصالات فائقة الأمان (TLS 1.2 و TLS 1.3)، مما يضمن لك تقييم A+ في أي فحص أمني.

تحسين سرعة الموقع عبر الـ OCSP Stapling

عملية التفاوض لإنشاء اتصال آمن (SSL Handshake) تأخذ وقتاً (Ping) إضافياً وتسبب بطئاً عند فتح الموقع لأول مرة. المتصفح يجب أن يتصل بخوادم Let's Encrypt ليتأكد أن شهادتك لم يتم إلغاؤها (Revoked). هذا الاتصال الثالث يضيع أجزاء من الثانية ثمينة! الحل هو OCSP Stapling. تقنية OCSP Stapling تجعل Nginx (سيرفرك) هو من يتصل بـ Let's Encrypt مرة واحدة كل فترة، ويجلب شهادة "إبراء ذمة"، ويقوم بـ "تدبيسها" (Stapling) مع الرد الذي يرسله للزائر! الزائر الآن لا يحتاج للاتصال بـ Let's Encrypt، مما يحسن سرعة الموقع بشكل خيالي. لتفعيلها، اذهب إلى إعدادات النطاق في Plesk > `Hosting & DNS` > `Apache & nginx Settings` وأضف:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

تأمين خدمات الـ FTP بـ FTPS الإجباري

استخدام الـ FTP العادي هو انتحار أمني، فكلمات المرور تنتقل كنص واضح (Plain Text). في Plesk، اذهب لـ `Tools & Settings > Security Policy` وفعل خيار (Allow only secure FTPS connections). هذا سيجبر جميع عملاء الـ FTP (مثل FileZilla) على استخدام تشفير الـ SSL/TLS أثناء رفع الملفات، ويمنع أي هاكر على نفس الشبكة من سرقة باسوردات موقعك عبر برامج التصنت (Sniffing).