סמרט ווב- פרסום ביוטיוב

תעודת SSL וכל מה שאתם צריכים לדעת עליה

הטכנולוגיה מתפתחת בקצב מסחרר, והעולם הופך ממוחשב יותר ויותר.
אם פעם היינו מסתפקים במכולת השכונתית או הקניון הקרוב,
כיום מתגברת המגמה של קנייה בנעלי בית. אנחנו מבצעים מחקר על המוצרים אותם אנחנו מעוניינים לקנות, משווים את המחירים דרך אתרי האינטרנט השונים, ולרוב גם קונים דרכם.
חווית הקניות שינתה את פניה ללא היכר.
 הקניה ברשת הולידה את המודעות לצורך באבטחה.
כצרכנים אנו מעוניינים ברכישה מאובטחת בעת שאנחנו מזינים פרטים רגישים לאתר (כמספר כרטיס האשראי, לדוגמה).
מאחר ואנחנו לא רואים במו עינינו את המוכר העומד מולנו בעת רכישת מוצר וביצוע תשלום,
אין לנו אפשרות להתרשם ולהחליט האם הוא מהימן או לא.
לחלל זה נכנסו תעודות ה-SSL, המהוות דרך עקיפה המעידה על בעל האתר, רצינותו ודאגתו לגולשים המגיעים לאתרו ולאבטחת פרטיהם, גם אם אין זוהי הכוונה המקורית של הימצאותה של תעודת ה-SSL..

 

מהו SSL ומה הוא מבטיח לגולשים באתר?

SSL הינו פרוטוקול אבטחה, שמטרתו להבטיח את אמינות התקשורת בין הגולש (דרך הדפדפן שלו) לבין השרת עליו יושב האתר.
לא נלאה אתכם בכניסה לפרטים הטכניים על סוג ההצפנה בה הוא מבוצע וסוגי האימות שמבצע הפרוטוקול בין הצדדים השונים, אבל, בסופו של דבר, הוא מבטיח כי הנתונים שאתם מקלידים יגיעו לשרת שאליו הם מיועדים.
אם תרצו, לדוגמה, לרכוש ספר בחנות של אמזון, לא תחששו ששרת של אקר מתחזה לשרת הלגיטימי ו"קוטף" את הנתונים שלכם, אודות לתעודת ה-SLL.
התעודה תדאג גם לכך שלא ישנו את הנתונים שאתם מזינים בדפדפן שגויים או לא נכונים.
אלה הם הדברים בהם מטפל פרוטוקול SSL – "צינור" התקשורת שבין הגולש לשרת האתר.

 

אתם בעלי אתר? זה הזמן לתעודת SSL!

עד כה, בחנו את ה-SSL מנקודת מבטו של הגולש.
כעת, נעבור לנקודת מבטם שלכם, בעלי אתרים, שאולי אינם מבינים (במידת מה, בצדק) למה להם כל כאב הראש הזה של התקנת תעודה, אשר לעיתים עלולה לסבך ולסרבל מעט את  הקמת האתר.
גם אם היינו מצליחים להתעלם מעניין האבטחה ומהרושם הלא-מודע שמותירה תעודה כזו על גולשים-רוכשים באתר, ישנו גורם נוסף וכבד משקל, שממנו כבר לא ניתן להתעלם בשנים האחרונות – גוגל ותכתיביה.

 

מה אומרת גוגל?

בשנת-2014 הודיעה גוגל על כוונתה לקדם ולתגמל מבחינת עדיפות בסדר תוצאות החיפוש את אתרים המצוידים ב-SSL (המאופיינים בתחילית https במקום http).
 בינואר 2017, הגיע נושא אתרים מאובטחים בתעודות SSL גם אל דפדפן הגוגל כרום (אף הוא, כידוע, נמנה על מוצרי גוגל). פגשנו אותו בהודעת ה-"Not secure" המצטרפת לאתר שאיננו מאובטח בגרסת הבתא של כרום 56.
ההודעה התווספה לשורות הכתובת בדפים שדרשו הזנת סיסמאות, הזנת פרטים או הזנת אמצעי תשלום (למשל, כרטיסי אשראי), אבל לא עמדו בתנאי אבטחת ה-SSL הנדרשת על פי גוגל לטפסים.
גרסת גוגל כרום 62, שתופץ החודש (אוקטובר 2017), תציג את האזהרה הזו בשני מצבים נוספים – בעת הדרישה להזין כל פרט שהוא בדף שאיננו דף https, ובדפי http, בהם מבקר הגולש במצב גלישה אנונימי (גלישה בסתר). כך או אחרת,
אם יש לכם אתר והוא חשוב לכם, זה הזמן לרכוש תעודת SSL.

 

אז איזה תעודה אני צריך?

התשובה לכך תלויה בשני גורמים: מה סוגו של האתר שלכם (אתר תדמית? אתר מכירות? פורטל פנים-ארגוני?), וכמה כתובות דומיין צריכה לכסות תעודה ה-SSL.
מבחינת רמת האבטחה, מתחלקות תעודות SSL לשלוש רמות אבטחה עיקריות, כשרמת האבטחה הינה תוצאה ישירה של רמת האימות הנדרשת בעת רכישת התעודה (וכמובן, גם מורכבות ואורך תהליך ההנפקה של התעודה).
התעודה הבסיסית היא תעודה מסוג DV) Domain Validated Certificate). תהליך ההנפקה שלה הוא קצר וכולל אך ורק אימות בעלות של הפונה על כתובת הדומיין עבורו מונפקת התעודה. מחירה של התעודה הוא זול ותהליך ההנפקה מהיר, ולכן, היא נמצאת באתרים שאינם זקוקים באמת לאבטחת התקשורת, אלא משמשת יותר להרגעת הגולשים (למשל, פורטל פנים-ארגוני). שלא יובן לא נכון, מדובר באבטחת SSL לכל דבר, היא פשוט קלה מידי עבור אתרים המכילים פרטים רגישים במיוחד.

 

אחריה ברמת חומרת האבטחה, נמצאת התעודה מסוג OV) Organization Validated Certificate). תהליך ההנפקה שלה ארוך יותר, והתעודה מכילה את פרטי הארגון/העסק שהוא בעל האתר, ולכן, נוסף לאימות בעלות על כתובת הדומיין, מבוצע אימות זהות רוכשי התעודה מול הרשויות. דבר,שבאופן טבעי, בשל הצורך בהעברת מסמכים, מאריך את התהליך.

ולבסוף, תעודה מסוג EV) Extended Validation Certificate), אשר נחשבת למחמירה ביותר מבין התעודות, וקיומה מוצג לגולש אל האתר באמצעות מנעול בשורת הכתובת וטקסט הצבוע בירוק, המציג את פרטי בעלי התעודה. בתעודות מסוג זה נעשה שימוש באתרים הדורשים הזנת אמצעי תשלום ופרטים רגישים אחרים. ניתן למצוא אותה באתרי קניות אונליין, בנקים וכד'.

 

תעודה סטנדרטית או Wildcard?

קריטריון נוסף לבחירת תעודת SSL הוא מספר כתובות הדומיין אותו צריכה לכסות האבטחה. הסוג הראשון, הוא התעודות הסטנדרטיות, אשר מכסות כתובת דומיין אחת בלבד.
מולן, קיימות תעודות ה-Wildcard, אשר מכסות את הדומיין ואת כתובות הסאב-דומיינים שלו (למשל, כניסת Admin, כניסת Log-In למשתמשים הגולשים, כניסת Profile וכן הלאה).

רכישה של תעודת ווילדקארד מאפשרת לבעלי אתרים מורכבים ליהנות מאבטחת SSL ללא צורך לרכוש תעודה לכל אחד מהסאב-דומיינים בנפרד.

 

חשוב לזכור:

בין אם אתם גולשים ובין אם אתם בעלי אתר, פרוטוקול SSL מאבטח אך ורק את התקשורת המתקיימת בין הדפדפן של הגולש לשרת האתר בעת הזנת הפרטים.
הוא איננו מעיד על רמת אבטחת הנתונים לאחר שאלה הוזנו והם נשמרים בשרת. לשם כך, קיים תקן PCI DSS (Payment Card Industry Data Security Standard), אשר מחלק את סוגי העסקים לארבע קבוצות ולכל אחת מהקבוצות מוכתבות דרישות אבטחה שונות, על פי מספר קריטריונים.

כתיבת תגובה

האימייל לא יוצג באתר.