أسماء النطاقات وDNS وHTTPS

مقدمة

عند تكتب www.google.com في المتصفح وتضغط Enter، ماذا يحدث خلف الكواليس؟ هذا الإجراء البسيط ظاهرياً ينطوي على سلسلة من عمليات التعاون الدقيقة تشمل تحليل أسماء النطاقات واستعلامات DNS ومصافحة تشفير TLS وغيرها. فهم هذه الآليات هو درس إلزامي لكل مطور - فهو يرتبط مباشرة بما إذا كان يمكن الوصول إلى موقعك وما إذا كانت بياناتك ستُسرق.

ماذا ستتعلم في هذا المقال؟

بعد إتمام هذا الفصل، ستحصل على:

• مبادئ DNS: فهم العملية الكاملة لكيفية ترجمة أسماء النطاقات إلى عناوين IP
• أنواع السجلات: إتقان استخدام سجلات DNS الشائعة مثل A وCNAME وMX وغيرها
• آلية HTTPS: فهم كيف تُنشئ مصافحة TLS اتصالاً مشفراً آمناً
• نظام الشهادات: التعرف على سلسلة الثقة للشهادات الرقمية وآلية التحقق
• الوعي الأمني: فهم لماذا HTTPS هو الحد الأدنى المطلوب للويب الحديث

الفصل	المحتوى	المفهوم الأساسي
الفصل 1	تحليل DNS	الاستعلام العودي، الاستعلام التكراري
الفصل 2	سجلات DNS	A، CNAME، MX، TXT
الفصل 3	HTTPS وTLS	عملية المصافحة، الاتصال المشفر
الفصل 4	سلسلة ثقة الشهادات	CA، شهادة جذر، شهادة وسيطة
الفصل 5	HTTP مقابل HTTPS	نص عادي مقابل مشفر، مقارنة أمنية

---

0. صورة شاملة: من اسم النطاق إلى الاتصال الآمن

الاتصال على الإنترنت يعتمد على عناوين IP (مثل 142.250.80.46)، لكن البشر لا يستطيعون تذكر هذه الأرقام. لذلك اخترعنا نظام أسماء النطاقات (DNS) - "دليل الهاتف" للإنترنت، الذي يترجم أسماء النطاقات المقروءة بشرياً إلى عناوين IP مقروءة آلياً.

لكن مجرد العثور على الخادم ليس كافياً. إذا كان محتوى الاتصال يُنقل بنص عادي، فإن أي وسيط يمكنه التنصت أو التعديل على بياناتك. HTTPS يحل هذه المشكلة - فهو يضيف طبقة تشفير TLS فوق HTTP، مما يضمن سرية وسلامة البيانات أثناء النقل.

زيارة ويب كاملة

1. تحليل اسم النطاق: المتصفح يسأل DNS "ما هو عنوان IP لـ www.google.com؟"، DNS يجيب "142.250.80.46"
2. اتصال TCP: المتصفح يقيم مصافحة TCP ثلاثية الاتجاهات مع الخادم
3. مصافحة TLS: الطرفان يتفاوضان على خوارزميات التشفير ويتحققان من الشهادات ويتبادلان المفاتيح
4. اتصال مشفر: جميع بيانات HTTP تُنقل عبر القناة المشفرة

---

1. تحليل DNS: "دليل الهاتف" للإنترنت

مبدأ عمل DNS (Domain Name System) يشبه البحث في دليل الهاتف: أنت تعرف اسم الشخص (اسم النطاق)، وتحتاج إلى العثور على رقم هاتفه (عنوان IP). لكن "دليل الهاتف" للإنترنت ليس كتاباً واحداً، بل نظام موزع وهرمي.

🔍 DNS Resolution Simulator

🌐

Browser cache

→

💻

OS cache

→

🔄

Recursive resolver

→

🌍

Root name server

→

📂

TLD server

→

🏠

Authoritative DNS server

Resolution flow: When the browser visits a website, it first translates the domain name into an IP address. This process checks multiple caches and servers until the matching IP is found.

الخطوات الأربع لتحليل DNS

1. ذاكرة التخزين المؤقت للمتصفح: ابحث أولاً في ذاكرة التخزين المؤقت المحلية، إذا كنت قد زرت هذا النطاق من قبل، استخدم عنوان IP المخزن مباشرة
2. المحلل العودي: إذا لم يكن موجوداً في ذاكرة التخزين المؤقت، يُرسل الطلب إلى المحلل العودي لمزود خدمة الإنترنت (مثل 8.8.8.8)
3. الاستعلام الهرمي: المحلل العودي يسأل بالتتابع خادم اسم النطاق الجذري → خادم TLD (.com) → خادم اسم النطاق الموثوق (google.com)
4. إرجاع النتيجة: الخادم الموثوق يُرجع عنوان IP النهائي، المحلل العودي يخزن النتيجة مؤقتاً ويُعيدها للمتصفح

المستوى	الخادم	المسؤولية	العدد
الجذر	Root Server	يعرف عناوين جميع TLD	13 مجموعة عالمياً
TLD	TLD Server	يدير .com و.cn و.org وغيرها	مجموعة لكل لاحقة
الموثوق	Authoritative	يخزن سجلات DNS لأسماء النطاقات المحددة	2 على الأقل لكل نطاق
المحلل العودي	Resolver	ينفذ عملية الاستعلام الكاملة نيابة عن المستخدم	ISP أو DNS عام

---

2. أنواع سجلات DNS: "جدول التكوين" خلف النطاقات

DNS لا يقتصر على ترجمة أسماء النطاقات إلى عناوين IP. من خلال أنواع مختلفة من سجلات DNS، يمكنك التحكم في تسليم البريد وإعادة توجيه النطاقات واكتشاف الخدمات وغيرها. فهم أنواع السجلات هذه هو أساس تكوين النطاقات واستكشاف أخطاء الشبكة.

📋 DNS Record Type Cheatsheet

AAddress record

Maps a domain name to an IPv4 address. This is the most common DNS record type and is ultimately what browsers need when visiting a site.

Example record

example.com. IN A 93.184.216.34

Common uses

• Point a website domain to a server IP
• Point subdomains to different servers
• Return multiple IPs for load balancing

Tip: DNS does more than translate domains into IP addresses. It also supports mail routing, domain verification, load balancing, and other features through different record types.

نوع السجل	الاستخدام	مثال
A	اسم النطاق → عنوان IPv4	example.com → 93.184.216.34
AAAA	اسم النطاق → عنوان IPv6	example.com → 2606:2800:220:1:...
CNAME	اسم النطاق → اسم نطاق آخر (اسم مستعار)	www.example.com → example.com
MX	تحديد خادم البريد	example.com → mail.example.com
TXT	تخزين معلومات نصية	التحقق من SPF، التحقق من ملكية النطاق
NS	تحديد خادم DNS الموثوق	example.com → ns1.example.com

تكوين DNS في السيناريوهات العملية

• نشر موقع ويب: إضافة سجل A يشير إلى عنوان IP للخادم، أو سجل CNAME يشير إلى اسم نطاق CDN
• تكوين البريد الإلكتروني: إضافة سجل MX يشير إلى خادم البريد، وسجل TXT لتكوين SPF/DKIM ضد البريد المزعج
• التحقق من ملكية النطاق: مزود الخدمة السحابية يطلب منك إضافة سجل TXT محدد لإثبات ملكيتك للنطاق
• موازنة التحميل: تكوين سجلات A متعددة لنفس النطاق، DNS يوزع حركة المرور بالتناوب

---

3. HTTPS وTLS: ارتداء "سترة واقية من الرصاص" للبيانات

بروتوكول HTTP ينقل البيانات بنص عادي - مثل إرسال بطاقة بريدية، يمكن لساعي البريد (الوسيط) قراءة المحتوى بحرية. HTTPS يضيف طبقة تشفير TLS (Transport Layer Security) فوق HTTP، وهو ما يعادل وضع البطاقة في ظرف مختوم.

مصافحة TLS هي الخطوة الرئيسية لإنشاء اتصال آمن، حيث تُنجز عملية التحقق من الهوية والتفاوض على المفاتيح قبل بدء نقل البيانات الفعلي.

🤝 TLS Handshake Demo

💻

Client (browser)

→

Client Hello

Send supported TLS versions, cipher suites, and random number

←

Server Hello

Choose TLS version, cipher suite, and server random number

←

Certificate

Server sends its digital certificate with public key

→

Key Exchange

Both sides negotiate and generate a session key

→

Finished

Both sides confirm the handshake and start encrypted communication

🖥️

Server

الخطوات الأساسية لمصافحة TLS 1.3

1. Client Hello: العميل يرسل قائمة بخوارزميات التشفير المدعومة ورقماً عشوائياً
2. Server Hello: الخادم يختار خوارزمية التشفير ويعيد الشهادة الرقمية ورقماً عشوائياً
3. التحقق من الشهادة: العميل يتحقق من أن شهادة الخادم موثوقة (يتحقق من توقيع CA والصلاحية ومطابقة النطاق)
4. تبادل المفاتيح: الطرفان يتفاوضان على مفتاح مشترك عبر خوارزمية ECDHE (لا تُنقل المفتاح نفسه عبر الشبكة)
5. الاتصال المشفر: جميع البيانات اللاحقة تُنقل مشفرة بالمفتاح المتماثل المتفق عليه

الخاصية	TLS 1.2	TLS 1.3
جولات المصافحة	2-RTT	1-RTT (أول مرة) / 0-RTT (استئناف)
تبادل المفاتيح	RSA أو ECDHE	ECDHE فقط (أمان أمامي)
خوارزميات التشفير	يدعم خوارزميات قديمة أكثر	يحتفظ فقط بالخوارزميات الآمنة
الأداء	أبطأ	أسرع

---

4. سلسلة ثقة الشهادات: لماذا نثق بهذا الموقع؟

أهم خطوة في مصافحة TLS هي "التحقق من الشهادة". كيف يحكم المتصفح أن شهادة الموقع حقيقية وليست مزورة من مهاجم؟ الإجابة هي سلسلة ثقة الشهادات - نظام تأييد طبقي.

🔗 Certificate Trust Chain

Click each certificate layer to inspect its details and role in the trust chain.

🏛️

Root Certificate (Root CA)

Starting point of trust

issues↓

🏢

Intermediate Certificate (Intermediate CA)

Bridge of trust

issues↓

🌐

Server Certificate

Website identity card

🏛️Root Certificate (Root CA)

IssuerDigiCert Global Root G2 (self-signed)

Validity25 years (2013 - 2038)

Key lengthRSA 2048-bit

StorageOS/browser built-in trust store

ScaleAbout 150 trusted root certificates globally

The root certificate is the anchor of the whole trust chain. It is self-signed by a root certificate authority and preinstalled in operating systems and browsers. Only a small number of root CAs exist globally, protected by strict audits and physical security. Root CA private keys are usually stored offline in hardware security modules.

🔍 Browser Verification Flow

1Browser receives the server certificate and reads issuer information.

2It finds the intermediate certificate and verifies the server certificate signature with the intermediate CA public key.

3It then verifies the intermediate certificate signature with the root CA public key.

4It confirms the root certificate exists in the local trust store, so the whole chain is valid.

البنية ثلاثية الطبقات لسلسلة الثقة

1. الشهادة الجذرية (Root CA): صادرة عن هيئة شهادات موثوقة، مثبتة مسبقاً في أنظمة التشغيل والمتصفحات. هذا هو "مرساة" الثقة.
2. الشهادة الوسيطة (Intermediate CA): صادرة عن CA الجذرية، تُستخدم لإصدار الشهادات النهائية. CA الجذرية لا تصدر شهادات المواقع مباشرة لأسباب عزل أمني.
3. الشهادة النهائية (Leaf Certificate): الشهادة التي يستخدمها موقعك فعلياً، صادرة من CA الوسيطة، تحتوي على معلومات مثل اسم النطاق والمفتاح العام وفترة الصلاحية.

نوع الشهادة	مستوى التحقق	سرعة الإصدار	سيناريو الاستخدام
DV (التحقق من النطاق)	يتحقق فقط من ملكية النطاق	دقائق	المواقع الشخصية، المدونات
OV (التحقق من المؤسسة)	يتحقق من هوية المؤسسة	أيام	مواقع الشركات
EV (التحقق الموسع)	تحقق صارم من المؤسسة	أسابيع	البنوك، المؤسسات المالية
شهادة wildcard	تغطي جميع النطاقات الفرعية	حسب النوع	سيناريوهات متعددة النطاقات الفرعية

---

5. HTTP مقابل HTTPS: لماذا التشفير هو الحد الأدنى؟

في عام 2024، أكثر من 95% من حركة مرور الويب العالمية تُنقل عبر HTTPS. متصفح Chrome يضع علامة "غير آمن" على مواقع HTTP، ومحركات البحث تقلل ترتيب مواقع HTTP. HTTPS لم يعد "خياراً"، بل أصبح الحد الأدنى المطلوب للويب الحديث.

🔐 HTTP vs HTTPS Data Transfer

💻

Browser

Original data

password=MySecret123&user=zhangsan

🔓 Plaintext transfer

🕵️

A man-in-the-middle can eavesdrop

🖥️

Server

Item	HTTP	HTTPS
Port	80	443
Data encryption	None (plaintext)	TLS symmetric encryption
Identity verification	None	CA certificate verifies server identity
Data integrity	No guarantee	MAC check prevents tampering
SEO impact	Search engines may rank it lower	Preferred by search engines
Performance cost	No extra overhead	TLS handshake adds about 1-2 RTT

البُعد	HTTP	HTTPS
نقل البيانات	نص عادي، يمكن التنصت عليه	مشفر، لا يمكن التنصت عليه
التحقق من الهوية	لا يوجد، لا يمكن تأكيد هوية الخادم	موجود، التحقق من الخادم عبر الشهادات
سلامة البيانات	بدون حماية، يمكن التعديل	محمي، التعديل يُكتشف
المنفذ	80	443
تأثير SEO	تقليل ترتيب البحث	إضافة نقاط لترتيب البحث
عرض المتصفح	عرض تحذير "غير آمن"	عرض أيقونة القفل

الحصول على شهادات HTTPS مجاناً

Let's Encrypt هي هيئة إصدار شهادات مجانية وآلية، تسمح لأي موقع بتمكين HTTPS بدون تكلفة. مع أداة Certbot، يمكنك طلب وتجديد الشهادات تلقائياً بأمر واحد. معظم منصات السحابة ومزودي CDN يوفرون شهادات SSL مجانية أيضاً.

---

الخلاصة

أسماء النطاقات وDNS وHTTPS هي الأعمدة الثلاثة ل infrastucture الإنترنت. DNS يسمح لنا بالوصول إلى المواقع بأسماء يمكن للبشر قراءتها، وHTTPS يضمن أن عملية الاتصال آمنة وموثوقة.

مراجعة النقاط الرئيسية في هذا الفصل:

1. DNS نظام هرمي: الجذر → TLD → الموثوق، استعلام طبقي، تسريع بالتخزين المؤقت
2. أنواع السجلات لها استخدامات مختلفة: سجل A يشير إلى IP، CNAME يصنع اسماً مستعاراً، MX يدير البريد، TXT للتحقق
3. مصافحة TLS تؤسس الثقة: التحقق من الشهادات + التفاوض على المفاتيح، TLS 1.3 يحتاج 1-RTT فقط
4. سلسلة ثقة الشهادات: CA الجذرية → CA الوسيطة → الشهادة النهائية، تأييد طبقي
5. HTTPS هو الحد الأدنى: الشهادات المجانية (Let's Encrypt) تجعل التشفير بلا حواجز

قراءة إضافية

• How DNS Works - شرح مبدأ عمل DNS بشكل كوميكس
• توثيق Let's Encrypt - دليل طلب شهادات SSL مجانية
• Cloudflare Learning Center - دروس DNS وأمن الشبكات
• TLS 1.3 RFC 8446 - مواصفات بروتوكول TLS 1.3
• SSL Labs - اختبار عبر الإنترنت لجودة تكوين HTTPS للموقع