אם אתם שומעים את המושג SSL לראשונה ושואלים את עצמכם מה זה SSL וספציפית מה זה תעודת SSL – הגעתם למקום הנכון.
מה זה SSL ולמה צריך תעודת SSL?
SSL הוא תקן אבטחה שנועד לוודא שמידע שעובר בין המחשב של הגולש לבין השרת מאובטח באמצעות הצפנה מתאימה, ולכן יהיה ניתן לפענח אותו רק בשתי נקודות הקצה.
כלומר, גם אם מישהו יצליח לשים את ידיו על המידע הזה, לא יהיה לו את המפתח המתאים בשביל לפענח אותו.
למה בכלל צריך SSL באתר, ומהי המשמעות של אתר לא מאובטח?
תקן SSL הוא לא חדש, אבל בשנים האחרונות החשיבות שלו עולה מכיוון שגוגל מעודדת עוד ועוד אתרים להשתמש בו.
לאחרונה, גוגל גם מזהירים באמצעות הדפדפן על אתרים שלא משתמשים בתקן בכך שהטפסים בהם אינם מאובטחים – כן, לא רק באתרי מסחר אלא בכל אתר שמכיל טפסים למעשה.
אתר שמשתמש בתקן יהיה בעל הקידומת HTTPS במקום HTTP ובחלק מן הדפדפנים הוא יהיה מסומן בסימון מיוחד של מנעול נעול.
אגב, אם שמעתם על תקן TLS, מדובר למעשה על גרסה חדשה יותר של תקן SSL, אבל העיקרון זהה.
האם יש קשר בין אבטחה, תעודות SSL וקידום אורגני?
מבחינת קידום אתרים, לאתרים שמשתמשים בתקן יש יתרון מסוים לעומת אתרים שלא.
בנוסף, היום הוא כבר הפך לסטנדרט עולמי, כמו שאתרים רספונסיביים הפכו להיות דבר שבשגרה.
עם הזמן, ככל הנראה נושא האבטחה, התקנת תעודת SSL תקבל משקל גבוה יותר באלגוריתמים של גוגל.
ישנם גם מצבים שבהם האתר אמנם תומך בתקן SSL, אבל עם תעודת SSL שלא בתוקף.
אם אתם חושדים שזה המצב, פתחו את כלי הפיתוח של כרום בעזרת F12, לחצו על שני החיצים הכפולים למעלה ובחרו בלשונית אבטחה. כאן תוכלו לראות מהו סוג התעודה והאם היא בתוקף.
התקנת תעודת SSL: האם זה באמת מאבטח לי את האתר?
מבחינת גוגל, אתר ללא תעודת SSL זה "אתר לא מאובטח" ולכן יהיה חשוף לאזהרות והודעות מציקות שתוצגנה לגולשים, מה שמותיר רושם רע, בלי קשר לרמת האבטחה האמיתית של האתר.
על מנת לראות את הפוטנציאל האורגני ותוך כמה זמן נכפיל לך את ההכנסות
ניתן לחייג למספר 052-9095200 או למלא את הטופס:
אבל האם יש קשר בין תעודת SSL לאבטחה בפועל?
בתכלס? לא ממש.
תעודת SSL מיועדת בעיקר לאבטחת התקשורת בין הגולשים לשרת.
תעודות SSL לא משמשת כהגנה מפני האקרים או נסיונות פריצה לאתר – על כן, גם אתר עם תעודת SSL יכול להיות אתר לא מאובטח וחשוף לפריצות, כמו כל אתר אחר.
בשביל אבטחת אתרים צריך אחסון חזק ומאובטח, וכן לבצע כל מיני פעולות הקשחה בשרת ובאתר עצמו.
למידע נוסף כתבתי מדריך מקיף על אבטחת אתרי וורדפרס (אך רלוונטי גם להרבה אתרים באופן כללי).
איך משתמשים ב – SSL?
על מנת להשתמש ב-SSL, צריך לרכוש תעודת אבטחה (תעודת SSL או SSL Certificate) מאחת מחברות האבטחה שמתעסקות בזה או ישירות דרך חברת אחסון האתרים.
דרך ההתקנה משתנה מאחסון לאחסון – יש חברות אחסון אתרים שמאפשרות להתקין תעודת SSL ישירות בפאנל ניהול (כמו uPress למשל), יש כאלו שמאפשרות לעשות את זה דרך ה-cPanel ויש מקרים בהם צריך לרכוש תעודת SSL חיצונית, ולעבור תהליך טיפה יותר מסורבל של לחבר אותה לאחסון.
כאמור, התקנת תעודות SSL מתבצעת בדרך כלל דרך תוכנת הניהול של השרת, אם התעודה היא תעודה שנקנתה, יש קודם כל להגיש בקשה (CSR) ורק לאחר מכן להתקין את התעודה. בדרך כלל תוכלו למצוא באתר של חברת האחסון מדריך שמסביר איך לעשות זאת.
ניתן למצוא גם תעודות SSL חינם, למשל התקנת תעודת SSL כמו זו של Let's Encrypt, אם כי התקנה דורשת קצת ידע טכני.
אני כן רואה מגמה בשנים האחרונות שהתקנת תעודות SSL הופכות להיות לסטנדרט והרבה אחסונים מציעים זאת בחינם וחלקם גם בפרוצדורה פשוטה מאד של לחיצת כפתור.
התקנתי תעודת SSL – מה עכשיו?
לאחר התקנת תעודת SSL – יהיה אפשר לגשת מיידית לכל כתובת באתר עם הקידומת https (אם תנסו לעשות את זה בלי SSL מותקן, תקבלו אזהרה מהדפדפן).
אבל, לא מספיק שאפשר לגשת – יש לבצע הפניה גורפת של כל כתובות האתר לגרסת ה https, שהיא מעכשיו הגרסה המועדפת.
אלו השלבים שיש לפעול בהם לאחר התקנת התעודה:
1. עדכון מסד הנתונים
לאחר התקנת תעודות SSL, מומלץ להחליף את כל הקישורים הפנימיים באתר לקישורים עם HTTPS.
ברוב התוכנות לניהול מסד הנתונים כמו למשל phpmyadmin יש אופציה של חיפוש והחלפה.
בחלק מחברות האחסון אפשר לעשות את זה גם ישירות בפאנל (Search & Replace). אם אתם עובדים על וורדפרס, יש גם תוספים שמאפשרים לעשות את זה אבל זה מיועד רק למשתמשים בעלי נסיון ובכל מקרה אני ממליץ בחום לעשות גיבוי לפני כן.
היה ואתם משתייכים לקבוצה נדירה של אתרים סטטיים ללא מערכת ניהול – יש לבצע את הסיפור הזה ידנית.
2. הפניות 301 ברמת השרת
בנוסף לכל השינויים ברמת האתר, יש גם לבצע הפנייה מסוג 301 שתפנה כל עמוד לגרסת ה- HTTPS שלו – כי מעכשיו זאת הגרסה הדיפולטיבית שהאתר צריך לרוץ עליה.
ההפניות גם מעבירות תמיד את הגולש לגרסה הנכונה, גם את גוגל – וגם דואגות שהג'וס של הקישורים יעבור הלאה לגרסה המאובטחת של כל עמוד באתר.
בנוסף, במידה ויש לנו (וסביר שכן) קישורים חיצוניים שמפנים לגרסה הישנה – ההפניות ברמת השרת ידאגו שהכח שלהם לא ילך לאיבוד.
אם אתם מאחסנים על שרת Apache, אפשר לעשות זאת בקלות באמצעות קובץ ה-.htaccess בצורה הזו (החליפו את example.co.il בכתובת האתר שלכם):
RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://www.example.co.il/$1 [R,L]
בכל מקרה בשלב זה מומלץ להיעזר במתכנת או חברת האחסון.
לאחר שזה בוצע מומלץ לעשות בדיקה ולהיכנס לכתובת כלשהי באתר ללא https. אם הופניתם לגרסת https – השלב הזה בוצע כמו שצריך.
3. עדכון תמונות, קבצי תבנית וסקריפטים באתר
לפעמים יש לנו קבצי עיצוב או JS מותאמים אישית.
יש לוודא שכולם רצים על https בצורה תקינה. גם שלב זה מומלץ לעשות בעזרת איש טכני.
מי שעובד על וורדפרס יכול להעזר בתוספים כמו Really Simple SSL שחוסך לכם את הכאב ראש הזה.
4. תגי קנוניקל
תגי קנוניקל שמפנים לעמוד עצמו או לעמוד אחר באתר צריכים גם כן לעבור שינוי לכתובת עם HTTPS על מנת שגוגל לא יחשיב את הכתובת הישנה בתור העמוד המקורי.
בדרך כלל ההגדרות האלו גם כן מאוחסנות במסד הנתונים, אבל חשוב לבדוק שהשינוי בתגי קנוניקל עבר כמו שצריך על ידי צפייה בקוד לאחר מכן.
5. קונסולת החיפוש (כלי מנהל האתרים)
בתוך קונסולת החיפוש (Google Search Console) יש לפתוח פרופיל חדש עבור האתר עם הקידומת https.
מבחינת גוגל מדובר כביכול ב-2 אתרים שונים ואתם תראו נתונים שונים מבחינת קישורים, חשיפה של ביטויים ונתונים אחרים. אפשר לשמור את הפרופיל של האתר הישן עד שהמעבר יושלם באופן סופי, מה שיכול לקחת שבועות או אפילו חודשים באתרים גדולים במיוחד.
6. עדכון בגוגל אנליטיקס
גם את גוגל אנליטיקס צריך לעדכן במעבר.
במקרה הזה מדובר בעדכון פשוט מאד שלוקח 2 שניות מקסימום. נכנסים לפרופיל של האתר באנליטיקס ומעדכנים את הקידומת של האתר ל https. בתכלס, אף פעם לא הבנתי למה זה טוב, כי האנליטיקס יספור יופי את הנתונים גם בלי זה. אבל בשביל פעולה שלוקחת זמן נשימה – למה לא בעצם?
מה שצריך לעשות זה להיכנס לפרופיל הרלוונטי באנליטיקס, נכנסים לאזור האדמין -> Property Settings ושם משנים את הקידמות.
תעודת SSL, אבטחה ו-HTTP/2
תקן HTTP/2 הוא תקן חדש יחסית לאתרי אינטרנט שמהווה שיפור של התקן הקיים (HTTP 1.1) ואמור לפתור מספר בעיות נפוצות ולהפוך את הטעינה של אתרים למהירה יותר בלי שינוי בתשתית או ברוחב הפס.
למרות שמבחינת התקן שלו, אין חובה להצפין את המידע שעובר דרך הפרוטוקול, רוב הדפדפנים הקיימים לא תומכים בו כאשר המידע אינו מוצפן.
אוקיי, התקנתי תעודת SSL ועברתי ל https בהצלחה – מה עכשיו?
אנשים מסוימים מפחדים מהמהלך הזה של התקנת תעודות SSL מתוך חשש שזה יפגע במיקומים של האתר.
הכצעקתה?
בעקרון, אם עושים הכל לפי הספר, אין סיבה אמיתית לחשוש.
נכון שאין 100% בדברים האלה ואי אפשר להבטיח תמיד שהכל יעבור חלק, אבל ברוב המקרים, מנסיוני – עדכונים כאלה עוברים בלי בעיה ומקרים מסוימים אף יש בוסט קטן במיקומים לאחר המעבר.
השלב הבעייתי ביותר הוא הכמה ימים / שבועות הראשונים לאחר המעבר – שלב שבו גוגל סורק ומאנדקס את 2 גרסאות האתר (http+https) במקביל, מה שיכול ליצור זעזועים במיקומים – אם כי ברוב המקרים מדובר בזעזועים זמניים בלבד.
אצלי למשל, לאחר מעבר ל https (מתישהו במהלך 2017) עמוד הבית שלי נעלם לחלוטין מגוגל למשך יום-יומיים לסירוגין (פעם הופיע במקום הראשון ופעם בכלל לא).
במקום להתעלף מפאניקה ניחשתי שזה קשור להתקנת תעודת SSL וכל המעבר ל https ונתתי לזה כמה ימים ואכן זה הסתדר.
לסיכום – האם לעבור ל https?
להבדיל מטכנולוגיות ושדרוגים אחרים שגוגל דוחפים אליהם (כמו AMP למשל), לגבי SSL אני חושב שזה משהו בלתי נמנע וממליץ לכל אתר להתחיל לקדם בנושא, במידה וטרם ביצע זאת.
באתרים חדשים אני כבר אוטומטית מתקין SSL – גם באתרי תמיכה המצ'וקמקים ביותר. עם שפע האחסונים שיש היום המציעים לבצע זו בהתקנת כפתור (או אפילו כברירת מחדל) – זאת אפילו לא טרחה.
אם הבנתם את החשיבות של תעודת SSL ונושאי האבטחה ואתם חוששים לעשות את זה לבד – קחו איש מקצוע, מתכנת או מקדם אתרים שכבר התנסה בכמה וכמה מעברים כאלה.
בהצלחה 🙂