אינטרנט

התקנת SSL באתר: כל מה שחשוב לדעת על מעבר ל-https

התקנת SSL באתר

אתם מביטים בכותרת של הכתבה הזו, חוזרים וקוראים אותה, ולא מבינים על מה אנחנו מדברים? אל דאגה, מדובר בעניין פשוט למדי, שמסתתר מאחורי כמה אותיות באנגליתהנושא היום: הצפנת המידע שעובר בין מחשב למחשב. המטרה: ליצור אתר מאובטח יותר, כזה שישמור על הפרטים של הגולשים וידאג שאלו לא יוכלו לעבור לצד שלישי. הדרך לעשות זאת: התקנת SSL באתר ומעבר לhttps. נראה לנו שכבר עכשיו הדברים ברורים יותר, לא כך?

על הצפנה ועל שימוש מאובטח באתרי אינטרנט

רשת האינטרנט, כידוע, היא אזור פרוץ למדי. ללא כלי אבטחת מידע, זהו מערב פרועמאוד, שבו כל אחד כמעט יכול לחדור לנתונים אישיים של גולשים ולהשתמש בהם כאוות נפשו. כן, כן: אם אתם נמצאים באזורים לא מאובטחים ברחבי הרשת, גורמים זדוניים יכולים לגנוב מכם פרטים רבים, החל מתעודת הזהות, דרך פרטי כרטיס האשראי ועד לזהות שלכם. מפחיד? נכון. אפשר להילחם בזה? כן. איך? קודם כול להיות מודעים.

ברגע שאתם מודעים לסכנה, אתם מתחילים לחפש אותה בכל פינה, ולחשוב על כלים שיוכלו לסייע לכם להתגונן מפניה. שני כלים חשובים בעניין זה הם ההצפנה והגלישה המאובטחת. אלו כלים שמבטיחים שהנתונים שעוברים בין המחשב שלכם (או הסמארטפון) לבין המחשב (השרת) שממנו פועל האתר שבו אתם גולשים יישארו חסויים לצד שלישי, כלומר שאיש לא יוכל לגלות אותם ולהשתמש בהם בזמן העברתם בין שני הצדדים.

הדרך לזהות אתרים מאובטחים ומוצפנים קלה למדי: בשורת הדומיין, שורת הכתובת של האתר, ייראו המילים https, ולא רק http. באתרים המאובטחים בצורה מושלמת, יופיע גם סימן מוכר של מנעול לצד הדומיין. זה אומר שכל מערך ההצפנה שלהם עובד כראוי.

מעבר לhttps

יש לכם אתר, אך לא בhttps?

אל דאגה. זה ניתן לשינוי

בעל אתר שמעוניין לעבור לאתר מוצפן ומאובטח, עושה זאת לרוב משתי סיבות עיקריות:

  • כדי להגן על עצמו: אתר מאובטח הוא אחד הכלים (מיני רבים) שמאפשרים להגן על האתר בצורה טובה מפני איומים מבחוץ

  • כדי להגן על הגולשים שלו: אחד האינטרסים החשובים של כל בעל עסק הוגן, הוא לספק לרוכש שלו בעולם הפיזי או בעולם הווירטואלי סביבת קנייה בטוחה. לכן הוא ירצה להעמיד עבורו גם אתר מאובטח.

כעת נשאלת השאלה: כיצד אפשר להעביר אתר ממצב שהוא אינו מאובטח, למצב שבו הוא מאובטח ומוצפן כהלכה? התהליך הזה אינו פשוט, קצת ארוך אך אפשרי בהחלט. הנה, בקצרה, הצעדים הנדרשים כדי לעשות זאת:

  1. רכישת רישיון SSL והתקנתו: רישיון הSSL, או תעודת SSL, הם שמאפשרים למעשה את קיומו של קשר מאובטח בין האתר לבין הגולשים שלו ולהיפך, ולכן זהו הצעד הראשון שיש לבצע בדרך להפיכת האתר כולו למאובטח

  2. גיבוי האתר: כדי למנוע מצב שבו המעבר ישבש את האתר כולו (משום שצעד מסוים נעשה שלא כהלכה, למשל), רצוי מאוד לגבות את האתר כדי להחזירו בקלות למצב הקודם במקרה של תקלה

  3. עדכון הדומיין בכל עמוד: מדובר למעשה בתהליך טכני למדי, שבו צריך להחליף את כתובות כל העמודים באתר לכתובת https

  4. עדכון קוד האתר: אם אינכם אנשי תכנות ופיתוח, תידרשו כאן יותר מכל שלב אחר להיעזר באנשי המקצוע המתאימים. אלו יבצעו את השינוי ואת המעבר הטכני לhttps, ממש כמו בשינוי הדומיין שבשלב הקודם רק בשפת הקוד של האתר. בהזדמנות זו כדאי לעדכן גם מערכות חיצוניות שמשתמשות באתר, כמו ניוזלטרים או מודעות גוגל

  5. ביצוע הפניה לעמודים החדשים: הפניה 301 מעבירה את הגולש אוטומטית לעמוד החדש, שהוא אותו העמוד אך עם תחילית https

  6. תיוג בcanonical: המעבר לאתר מאובטח עשוי ליצור בעיה מסוימת, שכן לכל עמוד יהיו שתי גרסאות אחת של http, ואחת של https. הcanonicalמסמןלמנועי החיפוש מהי הגרסה הנכונה וזו שיש להתייחס אליה, ורק אליה

  7. סריקה ועדכון מפת האתר: כחלק מהמעבר לעמודי https, חשוב מאוד שגוגל יסרוק את מפת האתר החדשה, ולאפשר לו לסרוק את כל העמודים החדשים. את שני הצעדים אפשר לבצע דרך הGoogle Search Console.

התקנת SSL באתר

האם האתר שלכם כבר מאובטח?

כפי שראיתם, אפשר להפוך את האתר למאובטח בכמה צעדים לא מסובכים למדי. אם יש כאן יותר מדי דברים שאינכם מכירים, כדאי מאוד להתייעץ עם מתכנת או עם איש קידום אתרים, אשר עבורם מדובר בעבודה מוכרת למדי.

כעת, אחרי שעשיתם את כל הצעדים הללו במלואם, אתם יכולים להתרווח בכיסא ולהיות רגועים: האתר שלכם מאובטח

בטוחים?

לא במאה אחוז. מדוע? ראשית, כי חשוב לציין שאתר מאובטח לחלוטין (שכולל את אותו סימן של מנעול ירוק המאשר כי הוא מאובטח באופן מלא מבחינת הקשר בין הגולש לאתר) יהיה כזה רק אם כל השלבים בוצעו כהלכה. מספיקה טעות אחת, ומספיק פספוסאחד קטן, כדי שגוגל לא יאשר לאתר את סמל המנעול המיוחל.

לכן חשוב מאוד לבדוק היטב שביצעתם את כל המהלכים במלואם. יש לוודא כי כל מחלקותהאתר עברו את השינוי, ומומלץ לבצע את כל התהליך בהדרגה בייחוד באתרים גדולים כדי לוודא שכל חלק וחלק באתר הועבר במלואו, לפני שעוברים הלאה.

מה עוד חשוב לדעת?

  • שישנם דפדפנים שמתייחסים באופן שונה לרמת האבטחה, ולכן בדפדפן אחד יכול להיות שהאתר שלכם יוצג כמאובטח, ובאחר לא. בדקו את הדרישות של כל דפדפן כדי להתאים את האתר גם אליו

  • שתעודת SSL צריכה לכלול את הכתובת המלאה כולל הWWW שכולנו כבר מזמן לא מקלידים כדי לתמוך באתר שלכם

  • שגוגל דוחף מעלהאתרים בעלי אבטחה מלאה

  • שחשוב לעדכן גם את גרסת המובייל של האתר שלכם, כדי שגם היא תהיה מאובטחת.