SSL

מהי תעודת SSL?

בהגדרתם הבסיסית, הפשוטה, שירותי ענן מנוהלים הם שירות לניהול השימוש שלכם בשירותי ענן שבהם אתם משתמשים. מה שירותים אלה כוללים? מה ההבדל בין ענן לבין ענן מנוהל? ומהם יתרונות הענן המנוהל?

תעודת SSL מספקת פתרון חשוב ביותר עבור אבטחת התקשורת בין אתר לבין הגולשים אליו. למעשה, היא חלק ממכלול של כמה תקנים, טכניקות ועזרים לאבטחה בהקשר זה. שימוש בתעודה כזו מומלץ לבעלי אתרים ובייחוד עבור חנויות מקוונות. באופן בסיסי, Secure Socket Layer (SSL) היא שיטה נפוצה מאוד שמאפשרת הזדהות של בעלי האתר בפני הציבור, ותקשורת מוצפנת בין הדפדפן של הגולש לבין האתר. שני אלה יחד בונים אמון בין שני גורמים אלה ומעודדים ביצוע פעילויות רגישות, כמו רכישה בחנות המקוונת.

מדוע כל אתר חייב SSL על האתר?

השימוש ב-SSL הוא כבר עניין שגרתי ונפוץ מאוד. זאת בעיקר תודות ליתרונות הבאים שהוא מספק:

  • משכנע שאתם עסק ישר – SSL מסייע לוודא שהאתר אליו נכנסים הוא אכן של החברה שמוצגת באתר.
  • מרחיק חקיינים שמנסים להונות – במקביל, מנגנון זה מפריע למי שמנסים להתחזות לאתר שלכם (תופעה שמכונה Website spoofing). ככל שהאתר שלכם יהיה מצליח מבחינה מסחרית ובולט בשטח, קיימת סבירות גבוהה יותר שדבר כזה יקרה לכם.
  • משדר אמינות ורצינות – SSLמבהיר שאתם מתייחסים לאבטחה ברצינות, כלומר שהאתר שלכם הוא אכן אתר מאובטח.
  • עונה על דרישות חברות האשראי – חברות אשראי מחייבות שימוש ב-SSL, כתנאי לביצוע תשלומים בכרטיסי אשראי שלהן דרך האינטרנט.
  • מגן על פרטיות הגולשים – פרטים שמעביר אליכם הגולש, בין אם זה שאלה בטופס באתר או פרטי כרטיס האשראי, יישארו פרטיים.
  • מעודד רכישות – חששות אבטחה שונים הם גורם ידוע לכך שגולשים נמנעים לעתים מביצוע רכישות דרך האינטרנט. לכן, SSL יכול לעודד גולשים לבצע רכישות באתר לא חששות מבעיות אבטחה.
  • חשוב לקידום האתר – שימוש ב-SSL נלקח בחשבון גם בדירוג אתרים בתוצאות חיפוש.
  • משפר אמינות טכנית – SSLמבטיח תקשורת תקינה. הוא מוודא שהמידע שנשלח מדפדפן הגולש לאתר יגיע בשלמותו ובאופן תקין, וכך גם לגבי התקשורת, מהאתר שלכם חזרה אל הלקוח.

 

איך מתקינים SSL?

יש להשיג את התעודה ברכישה מגוף מאשר מוסמך (מכונה Certificate Authority או CA) או בחינם ממקור כמו Let's Encrypt. שימו לב, שלא כל התעודות זהות, ושיש רמות אבטחה שונות שהן מגדירות. בכל מקרה, לאור חשיבות העניין, מומלץ לרכוש ישירות מספק שמציע תעודות כאלה, ולא להתפשר על תעודות חינמיות. אם עובדים עם ספק אחסון אתרים, ייתכן שגם הוא מציע אפשרות של תעודת SSL – כיום הדבר נפוץ מאוד. לאחר מכן נכנסים לכמה שלבים יותר טכניים. אלה כוללים בין השאר תיאום ביניכם לבין ספק תעודת ה-SSL ולבין ספק אחסון אתרים. כך שמה שתעשו בדיוק יהיה תלוי בתיאום זה, וייתכן שספק האחסון יטפל בכך עבורכם.

 

איך יודעים כי ה-SSL תקין?

היבט תקינות מנגנון ה-SSL הוא כמובן קריטי. אנו רגילים להשתמש בלא מעט שירותי ענן, דוגמת אחסון בענן. כחלק מכך, נכנסים ללא התלבטויות רבות למגוון אתרים ושירותים. זה לא אומר שאין בהם סיכונים עבור הגולש, אך כאשר מדובר בפעילות רגישה כגון רכישה באתר אינטרנט, כאן כבר רמת הסיכון גוברת וחשוב במיוחד להבטיח את תקינות האבטחה. לרוב, הגולש יודע שמנגנון ה-SSL תקין באמצעות אייקון מנעול שמופיע ליד כתובת האתר. בהקלקה עליו, הוא אמור לראות מידע מורחב שיוצג בנושא. יש מנגנוני אבטחה שונים שבודקים זאת ומתריעים על כך, למשל תוספי דפדפנים מתחום האבטחה. מנגנונים אלה בודקים נקודות כמו מי הגורם שהנפיק את התעודה, האם היא בתוקף והאם האתר שמשתמש בה הוא אכן של הגורם שעבורו התעודה ניתנה. בצורה דומה, גם אתם יכולים לוודא שהכל עובד תקין לאחר התקנת תעודת SSL באתרכם. טיפ חשוב: כדאי למחוק את זכרון המטמון בדפדפן שאיתו נכנסים לאתר לשם הבדיקה.

 

טעויות נפוצות בהתקנת SSL

כל הכרוך בנושא זה הוא כיום כבר דבר שגרתי ובשל למדי. עם זאת, עדיין ייתכנו שגיאות מסוימות, כגון:

  • אי חידוש התעודה בזמן – טעות מיותרת למדי. נזקה הפוטנציאלי (לאמון הגולשים ולמכירות) גדול, ומצד שני קל מאוד לטפל בכך.
  • חוסר ב-HTTPS – Hypertext Transfer Protocol Secure (HTTPS) הוא סטנדרט ווב חדש ובטוח יותר מ-Hypertext Transfer Protocol (HTTP). HTTPSבמילא חשוב כיום וסטנדרטי, כך שאם האתר שלכם לא עובד איתו, גם תעודת SSL לא תהיה שווה הרבה. כל עמודי האתר שלכם וכל התכנים שבהם אמורים להיות נגישים רק באמצעות HTTPS. מומלץ למנוע אפשרות כניסה ב-HTTP, כולל שימוש ב-301 redirectלשם כך.
  • TLS – לסיום, נזכיר נקודה שהיא לא טעות ברמה הטכנית, אלא לעתים טעות בהבנה. SSL הוא למעשה פרוטוקול מיושן מעט בשלב זה. הפרוטוקול החדש יותר הוא Transport Layer Security. הציבור התרגל למונח SSL, אך אנו מדברים בפועל על TLS או אם תרצו (וגם זה מונח נפוץ) TLS / SSL.

סיכום

בהחלט מומלץ עבור כל בעל עסק שמנהל אתר להכיר את תעודת SSL ולהשתמש בה. בהחלט מומלץ לרכוש כזו מספק אחסון האתרים שלכם אם הוא מציע שירות כזה, ולנהל את הכל במקום אחד. מדובר בכלי שימושי שיעזור לכם להתמודד עם בעיות אבטחה ולהעלות את רמת האמינות של האתר מול הגולשים.