מה זה https? מה ההבדל בין http ל-https? ומה זה תעודת SSL?

https

http, https ותעודת SSL הם מושגים שתתקלו בהם ברגע שתרצו לבנות אתר. היום נסביר בקצרה מה זה ומה המחיר של תעודת SSL והאם האתר שלכם צריך אותה.

מה זה https?

HTTPS (Hypertext Transfer Protocol Secure) זהו פרוטוקול תקשורת מאובטח המשמש בעיקר להעברת מידע בין דפדפנים ושרתים. כלומר כאשר אתם גולשים לאתר מאובטח, כל המידע עובר בשיטה זו.

הצפנה סימטרית ואסימטרית

אז הבנו שמדובר באבטחה וכדי להבין איך https עובד צריך להבין קצת איך הצפנה עובדת. אז הנה על קצה המזלג:

  • הצפנה סימטרית מאפשרת גישה למידע לכל מי שיש לו את המפתח (והמפתח הוא זהה לכולם וחייב להיות סודי). אפשר לעשות אנלוגיה של שיטת הצפנה זו למפתח לדירה. לכל מי שיש לו את המפתח או עותק של מפתח יכול להיכנס לדירה. הבעיה היא איך מעבירים את המפתח בפעם הראשונה. מכיוון שבאינטרנט יש סיכוי שיעזינו לכל הודאה שלכם (וכך גם למפתח), דרך פעולה זו לא מתאימה. ולכן אנו מגיעים לשיטה הבאה.
  • הצפנה אסימטרית מתבססת על שני מפתחות (ולא על מפתח סימטרי כמו בשיטה הקודמת): מפתח ציבורי הידוע לכולם ומפתח פרטי סודי. אם נעשה שוב אנלוגיה אז זה כמו כספת שנפתחת רק עם שני המפתחות אבל אפשר להוסיף לכספת דברים גם כשיש רק מפתח אחד. בצורה זאת כל שרת יכול לשלוח לכם את המפתח הציבורי שלו ותוכלו להחזיר לו תשובה מוצפנת (עם המפתח הציבורי) כך שרק אותו השרת יכול לפענח את ההודעה (בעזרת מפתח פרטי).

מה זה תעודת SSL?

תעודת SSL זהו מסמך דיגיטלי המאשר את הזהות של האתר ומאפשר תקשורת מוצפנת. SSL זהו קיצור של Secure Sockets Layer (היום גם משתמשים ב-TLS) ואלה הם פרוטוקולי תקשורת פופולריים באינטרנט.

אז למה צריך SSL certificate? כפי שראינו בהצפנה אסימטרית השרת שולח מפתח ציבורי. אבל לפני שאתם מתחילים את התקשורת המוצפנת איך אתם יודעים את הזהות של השרת. למשל שזה הבנק שלכם ולא אתר אחר שמתחזה לבנק שלכם. בדיוק את הבעיה הזאת באה לפתור תעודת SSL.

הגופים שמנפיקים את התעודות עושים את הבדיקות הנדרשות בהתאם לרמת אבטחה. יש שלוש רמות אבטחה. הרמה הנמוכה ביותר היא Domain-validated certificate (מוודאים שה-DNS של הדומיין רשום על שמכם). אחר כך יש את את רמת ה-Organization Validation (בנוסף יש זיהוי של הישות החוקית מאחורי האתר) ו-Extended Validation Certificates.

איך בודקים תעודת SSL באתר?

ניתן לראות את תעודת SSL של כל אתר בדפדפן.

  1. הזינו בדפדפן את כתובת האתר שברצונכם לבדוק.
  2. אם האתר מאובטח, ליד הכתובת יופיע מנעול. לחצו על מנעול זה.
  3. ב-chrome יופיע המשפט "connection is secure". תלחצו עליו.
  4. בחלון שיפתח תלחצו על "Certificate is valid".
  5. יפתח חלון בו ניתן לראות את ההגדרות השונות של תעודת SSL.

בצילום מסך הבא ניתן לראות את השלבים 3-5:

SSL certificate
SSL certificate

איך עובד https?

https משתמש בפרוטוקול הצפנה כדי להצפין תקשורת. והנה השלבים המופשטים:

  1. כאשר אתם מבקרים באתר https, הדפדפן מבקש את תעודת SSL ומוודא שהיא תקינה.
  2. בשלב הבא הדפדפן מבקש את המפתח הציבורי של השרת.
  3. המחשב שלכם משתמש במפתח הציבורי כדי להצפין את המפתח הפרטי (של הגולש) ושולח את ההודעה המוצפנת בחזרה לשרת.
  4. אחרי שהמחשבים העבירו מפתחות, הם בונים מפתח שבעזרתו כל התקשורת משלב זה והלאה מוצפנת.

מה ההבדל בין http ל-https?

ההבדל בין http ל-https הוא "s" שפירושה secure. כלומר https הוא פרוטוקול תקשורת כמו http רק שבנוסף הוא גם מאובטח.

האם חייבים אתר https?

התשובה הקצרה היא שכולם צריכים אתר מאובטח. מומלץ מאוד שכל האתר יהיה מאובטח וחייבים אבטחה בכל מקום בו המשתמש מזין פרטים אישיים. (כמעט) אף אחד לא יקנה ובטוח שלא יזין פרטי כרטיס אשראי בחנות מקוונת שהיא לא https.

ומה לגבי אתרי תוכן בלבד, למשל בלוגים? החל מ-2014 גוגל הודיע ש-HTTPS as a ranking signal. כלומר אם האתר שלכם לא מאובטח זה ישפיע לרעה על הדירוג שלו בגוגל. לכן אם אתם מבצעים קידום אורגני, אתם צריכים אתר מאובטח.

מה המחיר של תעודת SSL?

החסרון היחיד של אתר מאובטח הוא המחיר שצריך לשלם עבור תעודת SSL. הרבה אתרים בארץ ובעולם מוכרים תעודות SSL במחיר התחלתי של כ-50 ש"ח לשנה (תלוי בסוג רמת האבטחה וכמות הדומיינים).

אבל את כל זה שינה Let's Encrypt. זהו ארגון ללא מטרת רווח של Internet Security Research Group שנותן רשיונות SSL בחינם. ולכן היום רוב חברות אחסון אתרים (hosting) מציעות SSL ללא תוספת תשלום.

הערה: תעודת SSL של Let's Encrypt הם ברמה Domain-validated certificate מכיוון שניתן לתת אותם אוטומטית (ללא התערבות אנושית).

סיכום

כולם צריכים אתרים מאובטחים (https) עם תעודות SSL. רוב חברות אחסון אתרים (hosting) מציעות התקנת SSL בחינם ולכן זהו פרמטר שכדאי לבדוק כאשר בוחרים חברת אחסון אתרים.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *