חיפוש
סגור את תיבת החיפוש

מה זה פרוטוקול אבטחה SSL – המדריך המלא

ככל שהשנים חולפות והטכנולוגיה מתקדמת, העידן הדיגיטלי צובר תאוצה ומפיק שינויים וחידושים בתחומים שונים. כיום, כולנו משאירים את הפרטים שלנו באתרים ובאפליקציות השונות כל הזמן – כרטיסי אשראי, מידע רפואי, שירותים בנקאיים ועוד. במידה וציוות האותיות SSL או TLS לא אומרות לכם דבר וגם במידה ואתם רוצים להעמיק את הידע וללמוד להתקין תעודת SSL – המאמר הבא בשבילכם.

מה זה ssl

כתוצאה מהעלייה בשימוש בתהליכים שונים ברשת, הכוללים העברה של נתונים ומידע שלא היינו רוצים לשתף – נולד הצורך להגן ולאבטח את אותו מידע על מנת שלא יעבור לצד שלישי, או לכל צד אחר אשר לא היה הכתובת לאותו המידע מלכתחילה.

פרוטוקול SSL (Secure Socket Layer) בא לענות בדיוק על הצורך הזה ומהווה שכבת הגנה חשובה ומרכזית. כאשר אנו מזינים את הפרטים השונים שלנו באתרים השונים, המחשב שלנו מעביר את אותם פרטים למחשב היעד, כלומר לשרת. פרוטוקול ה-SSL מונע מכל צד שלישי שלא יהיה, לראות ולהבין את אותם פרטים בעת שהם מועברים ממחשב למחשב.

למעשה, ה-SSL אינו מונע 'האזנה' של מחשב שלישי לאותה שיחה או העברת נתונים, אלא מבוסס על נקודת הנחה שצד שלישי תמיד 'מאזין' ולכן, ישבש את השיחה בין המחשבים בצורה כזו שלא תהיה מובנת לכל מי שינסה לעשות כן.

בשנים האחרונות, גוגל הצליח להגביר את המודעות לחשיבות של פרוטוקול SSL באופן משמעותי, בכך שהכריז שאתרים שאינם משתמשים בפרוטוקול אבטחה כמו HTTPS יספגו הפחתה בדירוג המשוכלל שמשפיע על קידום האתרים בתוצאות החיפוש בגוגל. כשגוגל חושף את האתרים לדירוג נמוך בשל חוסר האבטחה שבהם, הם מעודדים בעצם בעלי אתרים להשתמש ב-SSL ובכך לשפר את אבטחת המידע של הגולשים.

מה הם היתרונות והחשיבות שבשימוש בתעודת SSL?

כאשר יש ברשותנו אתר כלשהו או שירות מקוון כזה או אחר, האחריות לשמירה על פרטי לקוחות הקצה שלנו, תלויה בנו קודם כל מבחינה מוסרית וכן באופנים שונים ואחרים.

 אחד מאותם אופנים בא לידי ביטוי בצורה משמעותית מאוד, כאשר לפני מספר שנים נפל דבר בתחום אבטחת הנתונים ובאתרים השונים בכלל. זה קרה כאשר ענקית הטכנולוגיה האמריקאית גוגל, הכריזה שאתרים שאינם עושים שימוש בפרוטוקול אבטחה כמו SSL, עתידים להיפגע מהפחתה בדירוג המשוכלל, דבר שמשפיע באופן מהותי על חשיפת האתר בגוגל ועל קידום האתר בגוגל.

אותו צעד של גוגל, הביא לשימוש רב בהרבה על ידי אתרים שונים ונותני שירותים מקוונים בעולם כולו, בפרוטוקול האבטחה SSL. מכיוון שכאשר גוגל לא מקדם את האתר שלך ואחוז החשיפה יורד באופן משמעותי ומכוון בשל חוסר האבטחה שבו, לא צפויה לו הצלחה רבה בעתיד הנראה לעין.

הנה כמה יתרונות נוספים, אשר מדגישים את החשיבות שבשימוש ב-SSL:

  • מניעה מוקדמת – מניעה מוקדמת של גניבת מידע בעידן בו הסכנה קיימת ומתגברת, היא מתבקשת והכרחית. פרטים חשובים ואישיים כמו מספרי כרטיס אשראי או מידע רפואי חסוי, הם נושאים רגישים שיש לאבטח.
  • שמירה על פרטי הלקוחות – השימוש ב-SLL יעזור להצפין את התקשורת ויגן מגניבות, פריצות והתקפות שונות גם על פרטי לקוח הקצה, וגם על השרת עצמו.
  • זהות מאומתת – השימוש ב-SLL מהווה אימות לזהותו האותנטית של השרת ובכך מונע משרתים מזויפים ומסכנות אחרות, לגנוב או לחשוף את הפרטים הרגישים.
  • תעודת SSLתעודת SLL תאפשר לכל משתמש לוודא שהוא באתר בטוח ואמין. משתמשי קצה רבים כיום מודעים לכך ויבדקו את תעודת ה-SLL בטרם יבצעו פעולה כלשהי באתר.

עושים סדר: מה זה tls וההבדלים בין SSL ל-TLS ובין HTTP ל-HTTPS

אחרי שהבנו מה זה פרוטוקול SSL ומה החשיבות והיתרונות שלו, הגיע הזמן לדבר על מה זה TLS ועל ההבדלים בין השניים.

למעשה, TLS (Transport Layer Security) הוא בעצם עדכון המהווה שדרוג מסוים לפרוטוקול ה-SSL.

ניתן אף לומר שרוב תעודות האבטחה שבשימוש כיום הם תעודות TLS, אך מסיבות שונות השם SSL הבסיסי תפס והשתרש יותר כהגדרה הנפוצה יותר של תעודת האבטחה, גם כאשר היא מסוג TLS.

כמעט כולנו מכירים את הקידומת שמהווה את הפרוטוקול הסטנדרטי – HTTP. משמעות ה-HTTP היא שקיים פרוטוקול בסיסי אך פרוטוקול HTTPS לעומת זאת, מהווה למעשה הוכחה לכך שנעשה שימוש ב-SSL. כלומר, SSL הוא למעשה הבסיס של HTTPS, כאשר ה-S שבסוף ה-HTTP מסמנת את המילה אותה כולנו רוצים למצוא –  SECURE- מאובטח.

מה ההבדלים בין תעודת SSL בודדת, תעודה לכמה אתרים (SAN SSL) ותעודת SSL Wildcard?

בכדי להפעיל את פרוטוקול ה-SSL בשרת האינטרנט במחשב שלכם וליצור חיבור מאובטח, יהיה עליכם לבחור בין היתר, את סוג ה-SSL שיתאים לכם ולצרכים שלכם.

הנה כמה מסוגי ה-SSL הבולטים:

  • תעודת SSL בודדת – תעודה אשר מיועדת להגן על שם מארח (דומיין) אחד בלבד.
  • תעודת SSL Wildcard – תעודה אשר מקנה את האפשרות לאבטוח של מספר תתי-שמות מארחים או סאב-דומיינים, באמצעות אישור בודד. ניתן גם להוסיף סאב-דומיינים נוספים בכל עת בלי הצורך להנפקה מחדש.
  • תעודה לכמה אתרים (SAN SSL) – SAN משמעותו – Subject Alternative Name. תעודה זו מאפשרת הגנה על מספר שמות מארח או דומיינים במקביל. בנוסף, היא גם מאפשרת לשנות את הערכים ב-SAN בכל עת ובלבד שתבצעו הנפקה של התעודה מחדש.

איך אפשר לבדוק אם אתר מאובטח באמצעות SSL / TLS?

ישנם רמזים ברורים ונראים לעין, אשר באמצעותם ניתן להבין האם האתר בו אתם נמצאים מאובטח באמצעות SSL או TLS. ברוב הדפדפנים המוכרים, תוכלו להבחין בכך בעיקר על פי הסימנים הבאים:

  • מנעול בשורת הכתובת – בשורת הכתובת שבחלק העמוד העליון, יופיע סימן או אייקון של מנעול.
  • חפשו את ה-Sבאותה שורת כתובת ובסוף ה-HTTP, חפשו את הסיומת S. כלומר – HTTPS.
  • בדיקת תוקף – כאשר תלחצו על אייקון המנעול, תוכלו לוודא את אישור התעודה וכן את התוקף שלה.

חשוב לציין שסימנים אלו יכולים להשתנות בין הדפדפנים השונים.

איך מתקינים תעודת SSL?

התקנת תעודת SSL שלב אחר שלב, תתבצע באופן הבא:

  1. בקשת CSR הגישו בקשה לחברת האחסון שלכם, בה אתם מבקשים את ה- CSR (Certificate Signing Request) שלכם. העתיקו את טקסט ה-CSR שקיבלתם במקום המתאים בממשק ה-SSL שלרשותכם. בהמשך תקבלו קובץ שנקרא CTR.
  2. תעודת ה-SSL לאחר מכן יהיה עליכם להשיג את תעודת ה-SSL כאשר 2 אפשרויות עומדות לרשותכם. הראשונה תהיה לרכוש תעודה משרת גישה מוסמך (Certificate Authority). האפשרות השנייה תהיה להשיג תעודה בחינם מחברות שונות למשל כמו Let's Encrypt.
  3. התקנת התעודה – תהליך ההתקנה משתנה בהתאם לסוג השרת והסביבה המדוברת (Apache, Nginx, Microsoft IIS וכדומה). בדרך כלל בשלב זה יהיה עליכם ללכת בעקבות ההוראות שבקובץ ה-CTR.
  4. הגדרת השרת – הגדירו את שרת האינטרנט שלכם כך שישתמש בפרוטוקול ה-SSL על ידי בחירה ב-HTTPS. מרגע זו תוכלו להשתמש תמיד בקידומת HTTPS. לדוגמה, במקום http://www.example.com, תשתמשו ב-https://www.example.com.
  5. בדיקת אבטחה סופית – חשוב לוודא שהכתובת החדשה מתחילה ב-HTTPS ושמופיע גם אייקון המנעול.

טעויות נפוצות בהתקנת SSL באתר והדרכים להימנע מהן

לפניכם מספר טעויות נפוצות אשר קורות ללא מעט אנשים, כאשר הם מתקינים את ה-SSL באתר או במחשב שלהם.

  • טעינה ללא פרוטוקול אבטחה – אחת הטעויות הנפוצות ביותר היא כאשר אנשים טוענים אלמנטים שונים בתוך הקוד של העמוד, ועושים שימוש ב-HTTP ולא ב-HTTPS. במידה וטענתם אפילו אלמנט אחד תחת HTTP, יראה סימן אזהרה ציבורי באייקון המנעול שבשורת הכתובת. הדרך הטובה ביותר להימנע מכך היא להשתמש בתוספים שונים שימנעו מכך לקרות, כמו למשל – Really Simple SSL.
  • אי-חידוש פרוטוקול האבטחה – תעודת ה-SLL דורשת חידוש לאחר זמן מסוים. לכן חשוב מאוד שתבדקו מה אותו תאריך יעד ותוודאו שתאריך התעודה שלכם לא יפוג. במקרה שזה אכן קורה ולא חידשתם את התעודה, תופיע הודעת אזהרה גדולה עבור כל גולש שירצה להיכנס לאתר שלכם.
  • חסימת הפנייה ל-HTTTPחסימה של האפשרות לכניסה לעמודים עם HTTP באתר שלכם, במידה וכמובן מותקנת בו תעודת SSL, גם תמנע כפילויות של עמודים אשר מורידים את רמת הקידום של האתר בגוגל, וגם תאפשר כניסה רק עם עמודים בעלי פרוטוקול HTTPS.

אהבתם את המדריך? מוזמנים לשתף..

Facebook
Twitter
LinkedIn
WhatsApp
Email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *