התקנת תעודת SSL לאתר – למה צריך את זה?

התקנת תעודת SSL לאתר – למה צריך את זה?

סוגיית אבטחת אתרי האינטרנט והתקשורת הדיגיטאלית בכלל מקבלת הדים רבים בשנים האחרונות וזאת עקב מספר סיבות שנעסוק בהן במאמר. אחד ההיבטים החשובים של התחום הוא רמת האבטחה של אתרים בכלים שונים, הזוכים לעידוד ותמיכה גם מגוגל. בשורות הבאות נבחן מהי תעודת SSL, כיצד מתקינים אותה, מי צריך את זה, ולמה?

הצורך באמצעי אבטחה ברשת

מזה שנים שאנו מכירים את סוגיית ההתקפות וההונאות באתרי אינטרנט, ההולכות ונעשות מורכבות ומתוחכמות יותר. ההתקפות עשויות להתבצע על האתרים עצמם דרך חדירה לשרתים, על התקשורת שמקיימים הגולשים מול השרת ועוד. מהצד השני קיימים פיתוחים מיועדים שמטרתם להילחם בבעיות הללו ולהגן מפניהן ואחד מהם הוא פרוטוקול (SSL (Secure Sockets Layer שמייד נעסוק בו.

באופן מיוחד מדובר בסוגיה בוערת עבור כל אתר המערב פעילות פיננסית, בין אם אתרי בנקים, חברות ביטוח, חברות כרטיסי אשראי וכן כל אתר המציע קנייה אונליין של מוצרים שונים. מאחר שבשנים האחרונות צרכנות ברשת תופסת תאוצה גדולה, עולה צורך גובר בפתרונות למניעת גניבות והונאות וזהו הנושא המרכזי שנועד לפתור הפרוטוקול. מאידך, כפי שנראה בהמשך יש עוד מספר יתרונות חשובים שהוא מעניק לבעלי אתרים באשר הם.

קודם כל: מה זה HTTPS?

לפני שנסביר על SSL כדאי להכיר מושג מקביל בשם HTTPS, שהוא למעשה תחילית המופיעה לפני כתובות של אתרים. כולנו מכירים את התחילית HTTP ומי מכם ששם לב לעניין אולי ראה את התחילית HTTPS לפני כתובות של אתרי בנקים, חברות אשראי וכדומה.

תחילית זו מעידה שהאתר משתמש בפרוטוקול יותר מתקדם ומוצפן של אבטחה, לעומת התחילית הישנה. זו הייתה חשופה הרבה יותר לפריצות ופעולות זדוניות שכן אין בה שימוש בפרוטוקול מתקדם ומכאן קצרה הדרך להשגת מידע עסקי ופרטים אישיים של הגולשים. אולי זה לא כל כך נורא מבחינתכם שמישהו ישיג את תאריך יום ההולדת של אחד הגולשים שלכם, אבל מבחינת הגולש זה חשוב. בנוסף לכך, מה אם יוכלו להשיג את פרטי כרטיס האשראי, סיסמאות וחשבון הבנק שלו? מה אם יוכלו לבצע שינויים באתר? מה אם יוכלו להתחזות לכם?

כאן העניינים מסתבכים והדבר לא נעלם מעיניה של גוגל, השואפת תמיד לספק ללקוחותיה (כלומר הגולשים) מענה איכותי יותר. על כן, החברה החליטה כבר לפני מספר שנים לתרום לחיזוק האבטחה של אתרים המופיעים בתוצאות החיפוש ושכל אתר בעל תחילית HTTPS יזכה לדחיפה קדימה. המשמעות ברורה: אין זה משנה אם אתם מוכרים מוצרים ושירותים אונליין ואין זה משנה מהו תחום עיסוקכם, הטמעת תעודת SSL (שנותנת תחילית HTTPS) תדחוף אתכם קדימה בתוצאות החיפוש. גם ההיפך נכון: מי שלא יטמיע את הפרוטוקול המתקדם פשוט ילך לאחור בגוגל כי האחרים מתקדמים על חשבונו.

מספר מילים כלליות על תעודת SSL

תעודת SSL לאתר מעידה שהותקן בו פרוטוקול אבטחה מתקדם, שיוצר ערוץ תקשורת מוצפן וסגור בין שני קצוות: הקצה הראשון הוא המחשב שעימו עובד הגולש שהגיע לאתר שלכם ואילו בקצה השני נמצא השרת שמארח את האתר. הדבר מקשה מאוד על ניסיונות לדלות חומר והופך כמעט לבלתי אפשרי, בין היתר משום שחומר חסוי כמו מספרי חשבון בנק אינו נשמר במחשב.

כפי שאמרנו, כל מי שגלש באתרים בעלי רמת סיווג גבוהה כמו חנויות מקוונות עם סליקת אשראי, בוודאי כבר נתקל בתחילית HTTPS וכן בסימון של מנעול ירוק שמופיע בשורת כתובת האתר. המנעול אינו סימן גראפי בלבד שמעיד על אמינות ובטיחות האתר, אלא גם מבטיח שמאחוריו אכן עומדת חברה רצינית ואמינה ולא גורם מתחזה כלשהו. את הנתון הזה ניתן לוודא באמצעות דאבל קליק על המנעול שמביא להצגת פרטי החברה ומי שמעוניין בכך יוכל לאמת את פרטיה בדרכים שונות. כמו כן, עשויות להופיע התראות במידה שקיימת אי התאמה בין האישור לבין הפרטים שמופיעים באתר. למרבה הצער, בשנים האחרונות נפלו גולשים רבים קורבן לתרמיות של אתרים מתחזים, שכל מטרתם היא גניבת פרטים ומידע.

פרוטוקול SSL נועד בין היתר למנוע את התופעה הזו. אם עדיין לא הבנתם איך הפרוטוקול עובד, לקראת סיום המאמר נצלול קמת יותר אל העומק וננסה להסביר בשפה פשוטה את העניין.

אז מי צריך תעודת SSL?

מכל מה שכתבנו לעיל, ניתן להבין שתעודת SSL נדרשת לכל בעלי האתרים הבאים:

• אתרים בעלי תוכן רגיש – חנויות מקוונות, אתרי מסחר אלקטרוניים, בנקים, פורטלים רפואיים וכדומה. כל אלו משתמשים בפרוטוקול האבטחה המתקדם כבר לא מעט שנים, ואף בפרוטוקולים מתקדמים יותר.
• אתרים שלא רוצים להפסיד גולשים – חשוב לדעת שגוגל הודיעה לאחרונה שתתחיל לתת התרעה אודות אתרים שאינם בעלי תעודת SSL והדבר אכן מתבצע באופן הדרגתי. ייתכן מאוד שכבר נתקלתם במשולש בצבע אדום או באזהרה כתובה אודות אתרים שפרטיהם אינם מתואמים לחלוטין עם פרוטוקול האבטחה, או שאינם משתמשים בו. המשמעות היא, שגם אם האתר שלכם תקין לחלוטין ואפילו לא נדרש לרמת אבטחה גבוהה, ייתכן שגולשים שירצו להיכנס אליו ייתקלו במסך התרעה. מובן מאליו שהם יחשבו פעמיים אם להיכנס או להמשיך לאתר דומה של מתחרים.
• מי שרוצה לשמור גולשים – הצד השני של המטבע הוא שתעודת SSL נותנת לכם סמל של מנעול ירוק ואז לא תופיע התראה בפני הגולשים וכלל לא תצטרכו כלל להתמודד עם הדאגות האלו.
• ישנה חשיבות גדולה למנעול הירוק ולכתובת HTTPS מבחינת רמת האמינות של האתר, מכיוון שהוא מעיד שאין גורם בלתי מורשה המסוגל לשנות מידע המועבר בין הגולשים לשרת המארח. על כן גם אין חשש להזנה של פרטים רגישים, בין אם מדובר במידע אישי או פיננסי והגולש יודע שרק השרת והוא עצמו יכולים להיות חשופים אל המידע. שימו לב, בשנים האחרונות גברה מאוד המודעות של גולשים מכל רחבי העולם לסוגיית האבטחה והפרטיות וחדשות לבקרים מתפרסמות ידיעות אודות שימוש במידע אישי, הונאות ופריצות בתחום הסייבר. המשמעות היא שאם יופיע סמל המנעול הירוק ליד כתובת האתר שלכם, תשדרו לגולשים אמינות וראש שקט ותשמרו אותם כלקוחות נאמנים.

• מי שרוצה להיות בטוח – מלבד האמור לעיל, תעודת SSL באמת מבטיחה את הפעילות באתר וזהו נושא חשוב בפני עצמו כמעט לכל אתר אינטרנט.
• מי שרוצה להתקדם בגוגל – כפי שכבר אמרנו, גוגל החליטה לתת עדיפות בתוצאות החיפוש למי שיש לו תחילית HTTPS, כלומר למי שהתקין פרוטוקול אבטחה מתקדם. אז מי שרוצה לשמור על הדירוג שלו בלי ללכת אחורה, ואפילו להתקדם על חשבון מתחרים שטרם עשו זאת, צריך להתקין את התעודה.

אולי אתם חושבים עכשיו שמדובר בתעודה נורא יקרה ומסובכת להתקנה, אבל האמת היא שהמחירים זולים למדי והעבודה אינה ארוכה או מורכבת במיוחד. אם שוקלים זאת מול היתרונות שבהתקנתה ומול החסרונות הרבים של אי התקנה, ברור שמדובר בהשקעה כדאית (ושוב, זולה למדי).

כיצד מתקינים תעודת SSL לאתר

ראשית, חשוב לציין שישנה אפשרות להתקין את התעודה לבד ובעלויות מצחיקות, אך האמת היא שהדבר דורש הבנה מסוימת וביצוע תהליך שעשוי להיראות מורכב למי שאינו מצוי בתחום. לכן אנו ממליצים בחום להסתייע עבור ההתקנה בבעלי מקצוע, או לחילופין לפנות לחברה שמספקת את שרת האירוח של האתר, כי אלו יכולים לבצע מהר מאוד ובקלות רבה את ההתקנה.

העלות המרכזית טמונה בתשלום עבור רישיון SSL עבור חברות שונות המספקות אותו, כאשר התשלום משתנה בהתאם לחברות, לסוג ורמת האבטחה ולזמני קבלת הרישיון. בכל מקרה, הוא ממש לא בשמיים. מכאן גם ניתן להבין שבחירה ברישיון גבוה מזה הדרוש לכם עלול להביא לבזבוז מיותר של כסף וזוהי סיבה טובה נוספת להסתייע בבעלי מקצוע. מעבר לכך, רצוי מאוד לדעת לאילו חברות לפנות, להבין האם החברה שמספקת לכם שרת אירוח עובדת עימן, מה מציעה כל חברה ומה המוניטין שלה.

במידה שהחלטתם בכל זאת לבצע לבד את ההתקנה וכמובן כבר קיבלתם את הרישיון, עליכם לעבוד לפי מספר שלבים והנחיות. במאמר זה לא נעבור על כל תהליך ההתקנה, רק נאמר באופן כללי שהוא מורכב מקבלת בקשה לתעודת חתימה מוצפנת מספקית השרת שלכם ושליחתה אל החברה שסיפקה לכם את רישיון ה- SSL. לאחר זמן מה מתקבל ממנה קובץ שאותו מורידים למחשב ושולחים אותו לחברת אחסון האתר שלכם.

כיצד פועל פרוטוקול SSL?

באופן כללי, SSL הוא פרוטוקול אבטחה שנועד לפתור בעיות של זהות הגורם שמאחורי האתר, אימות נתונים של צד אחד או שני הצדדים למניעת זיופים ומתן פרטיות על ידי מניעה של ציתותים לתקשורת. יעדים אלו מושגים על ידי אבטחת התקשורת שבין משתמש הקצה (כלומר המחשב שלו) ובין השרת. ראשית, הפרוטוקול דואג לאבטח את שלב המפגש, או "לחיצת היד" שבין המחשב הספציפי לשרת, על ידי וידוי זהות של השרת ויצירה של מפתח שיחה. באמצעות מפתח השיחה ניתן להסכים על קוד משותף וחסוי שרק שני הצדדים מודעים אליו ושדרכו הם משוחחים. כמו כן, בשלב זה ישנה בחירה בצופן מיוחד המבוסס על אלגוריתמים ומפתחות מסוימים, שיפעלו לאורך ההתקשרות הנוכחית. מעבר לכך, הפרוטוקול דואג לחלק את המידע המועבר בין הצדדים לכמויות בדידות, בשלב הבא שבו מועבר המידע אל השרת כמו פרטי האשראי.

בשורה התחתונה

תעודת SSL היא אמצעי פשוט מאוד להתקנה הכרוך בעלויות זניחות ומעניק מענה חשוב ביותר לאתרים: תרומה לקידום בגוגל, שמירה על גולשים ומניעת התראות, מוניטין ואמינות, וכמובן מעטפת בטוחה עבור מידע והתקשרות. אנו ממליצים לכל לקוחותינו להתקין את התעודה ובמידת הצורך להתייעץ איתנו אודות רכישתה והתקנתה באופן המתאים לצרכיהם.