אתר מאובטח SSL/TLS/HTTPS, העברת אתר קיים או חדש ל-SSL

תקן SSL

סטנדרט אבטחת המידע ברשת,  SSL או  HTTPS (שמו של הסטנדרט בגרסתו הנוכחית הוא TLS או Transport Layer Security) אותו מקדמת גוגל במרץ מזה כמה שנים לצד חברות אחרות שרוצות גם הן לקדם את שמירת הפרטיות ברשת (אלא אם אלה הגולשים שלהן, אז הסטנדרט כפול) צובר בחודשים האחרונים תאוצה לא מבוטלת, בעיקר בעקבות הודעה של גוגל מאוגוסט 2014 בה נאמר כי אתרי SSL/https יזכו לכמה נקודות זכות בתוצאות החיפוש.

מאחר ותחום העיסוק שלנו נוגע יותר בקידום אתרים מאשר באבטחת מידע, נעסוק במאמר זה בתהליך ההעברה מאתר לא מאובטח לאתר מאובטח תוך שמירה על הפרקטיקות המומלצות והיעילות ביותר, כאלה שאכן יקנו נקודות זכות בגוגל.

ראשית, נתחיל עם המגרעות של SSL ויש כמה כאלה

  • המעבר לאתר מאובטח עולה כסף, ולא ברור האם ההשקעה תחזיר את עצמה
    • עלויות המשנה כוללות את המעבר עצמו שכרוך בשינויים באתר, שהיקפם יכול להיות משמעותי וכן תשלום שנתי של כמה עשרות עד מאות דולרים עבור תעודת SSL, על אף שאפשר לרכוש תעודת SSL עבור מספר רב של אתרים – Unified Communications Certificate – UCC
  • מהירות האתר עומדת להיפגע במידת מה לכל הפחות (וידוע כי גם מהירות טעינת האתר היא פקטור בדירוגים של גוגל)
  • שגיאות בקוד האתר עלולות לגרום למספר בעיות:
    • קישורים פנימיים למשאבים שאינם תחת SSL עלולים להקפיץ הודעות שגיאה לגולש. אפילו קישור לתמונה או קובץ CSS פנימי יכול לגרום להודעות כאלה
  • באתרים שאינם מבקשים שם משתמש וסיסמה, אתרים שאינם אתרי מסחר אלקטרוני או כאלה שאין בהם עסקאות אונליין, ביישום של תעודת SSL על כל הכרוך בכך, אין היגיון רב, בוודאי לא היגיון כלכלי.

לא בדיוק מגרעת, אבל אתרים רבים נוטים להשתמש ב-SSL רק בעמודי הרישום או העמודים המוגנים מאחורי שם משתמש וסיסמה. זו אינה פרקטיקה מומלצת, לפחות לא על ידי גוגל.

יתרונות של SSL ואתר מאובטח

היתרון העיקרי כתוצאה ממעבר לאתר מאובטח ושימוש ב- SSL/TLS/HTTPS הוא יחס האמון מול הגולשים או הלקוחות של בעלי האתר. תעודת SSL מהזן היקר יותר כוללת חתימה של האתר הגלויה לעיני הגולש באופן בולט:

אבטחת SSL

באתרי מסחר אלקטרוני, גם כאלה המבוססים על מערכת ניהול התוכן למסחר מג'נטו, החשיבות של תעודת SSL גבוהה שבעתיים מאשר באתרי תוכן רגילים וכך גם באתרים בהם נשמר מידע אישי של הגולש דוגמת פייסבוק, אתרי הבנקים וחברות הביטוח וכיוצא באלה.

אם אתם בונים אתר חדש, לא משנה מאיזה סוג, עדיף להטמיע את תקני SSL/TLS/HTTPS כבר בתחילת התהליך. למרות מגרעותיו, סטנדרט האבטחה הזה הופך לתו תקן של איכות ואמינות ברשת והוא מומלץ לכל אתר חדש שכן נושא העלויות עליו נכתב למעלה יורד באופן משמעותי אם ההטמעה מתבצעת כבר בשלב הבנייה.

התהליך עצמו

אם האתר שלכם זקוק לתעודת SSL התוכנית למעבר כוללת מספר שלבים:

  • כל התוכן באתר, ללא יוצא מהכלל צריך להיות זמין תחת HTTPS בלבד, כולל כל הסאב דומיינים שיש לאתר
    • בנוסף, מטעמי מהירות, יש לוודא שהשרת שלכם תומך בפרוטוקול HSTS. פרוטוקול HSTS כופה על הדפדפן להגיש את האתר רק בגרסת HTTPS וכך מקצר את זמני הטעינה שלו וגם מורה לגוגל להציג את האתר בגרסת HTTPS בתוצאות החיפוש. עוד על כך בהמשך, וגם בקישור הבא
  • כל הקישורים הפנימיים צריכים להיות יחסיים ולא אבסולוטיים, כלומר קישור לקובץ תמונה ייראה כך: /files/images/image.png ולא https://www.example.com/files/images/image.png השימוש בקישורים יחסיים נועד בכדי למנוע מקישורי http רגילים להופיע בעמוד ולגרום להודעות שגיאה
  • יש לרכוש תעודת SSL מספק מוכר דוגמת סימנטק, שגם מציעה כלי לבדיקת תקינות התעודה שלכם. יש לחדש את התעודה מדי שנה, אלא אם רכשתם מראש לשנתיים עד ארבע – המקסימום שמאפשרות חברות האבטחה לרכוש (שנתיים אצל סימנטק, עד ארבע אצל GeoTrust). התעודה צריכה להיות ברמת הצפנה של 2048 ביט
  • יש לוודא שכל תגיות קנוניקל (Canonical) באתר מפנות לגרסת HTTPS ולא HTTPS. במקרה של קנוניקל לא מומלץ להשתמש בנתיב יחסי אלא בנתיב אבסולוטי, וזאת כדי למנוע מסקרייפרים (מעתיקי תוכן)להעתיק את התוכן שלכם באופו אוטומטי וליהנות מהטראפיק שלו, שכן האתר המעתיק יכיל הפניה מלאה למקור
  • עבור כל קריאה ל-HTTPS השרת שלכם צריך להחזיר HTTP Header הכולל את השורה הבאה:
    Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

לאחר שביצעתם את כל הסעיפים והאתר שלכם הפך להיות מאובטח לפי כל הסטנדרטים הנדרשים, תוכלו לנסות ולהגיש אותו לרשימת ה-HSTS של הדפדפנים כרום, פיירפוקס וספארי. הרישום זמין בכתובת זו: https://hstspreload.appspot.com ואתרים שנמצאים ברשימה נהנים מאבטחה משופרת כמו גם זמני טעינה מהירים יותר בדפדפנים אלה. זו רשימה זו מקודדת ישירות בדפדפנים ומורה להם תמיד להגיש אתרים הנמצאים בה בגרסת ה-HTTPS שלהם.

שימו לב כי הנקודה האחרונה למעלה חיונית ובלעדיה לא ניתן להצטרף לרשימה.