מה זה SSL? - שאלות ותשובות בנוגע לתעודות אבטחה SSL

כיום, אבטחה נחשבת לאחד המרכיבים המשמעותיים של אתרי האינטרנט, במיוחד בכל הנוגע למסחר אלקטרוני ולעסקים מקוונים. האם הבחנתם שחלק מכתובות האתרים מתחילות ב-"http: //" וחלקן מתחילות ב-"https: //"?. במדריך הזה נוכל להסביר מה ההבדל ביניהם. מה זה תעודת אבטחה SSL, איך להתקין אותה ולמה זה חשוב לאתר שלכם

HTTP לעומת HTTPS

HTTP מייצג את HyperText Transfer Protocol, שהוא פרוטוקול אתרים בסיסי אשר משתמשים בו בעיקר באינטרנט (www). הוא מאפשר למשתמשים באינטרנט לתקשר ולהחליף מידע שנמצא בדפי האינטרנט, כגון תמונות, סרטונים, טקסט וכו'. כשיש HTTP בכתובת האתר (למשל, http://example.com) זה מאפשר לדפדפן האינטרנט לתקשר דרך פרוטוקול HTTP, כלומר הנתונים שהוחלפו / הועברו אינם מוצפנים ונחשבים ללא מאובטחים. לכן, דפדפני האינטרנט מייצרים אזהרות הקשורות בחיבור לא מאובטח.

תוספת "s" בסוף HTTPS מתייחסת ל-Hypertext Transfer Protocol Secure. זו גרסה מאובטחת יותר של פרוטוקול HTTP מכיוון שהיא כוללת שימוש ב-Transport Layer Security שנקרא גם TLS ובקודמתה (Secure Sockets Layer (SSL. לפיכך, התקשורת וחילופי הנתונים בין הדפדפן לאתר מאובטחים ומוצפנים יותר. קיומו של HTTPS באתר (למשל, https://example.com) אומר לדפדפן האינטרנט לתקשר באמצעות פרוטוקול HTTPS, כלומר נתונים שהוחלפו / הועברו באמצעות HTTPS הם בטוחים ומוצפנים; לכן, דפדפני אינטרנט מראים אייקון של מנעול כדי להראות שהאתר מאובטח.

מה זה SSL? מה זה TLS?

SSL או Secure Sockets Layer הוא פרוטוקול אבטחת אינטרנט מבוסס הצפנה. הוא פותח לראשונה על ידי נטסקייפ בשנת 1995 במטרה להבטיח פרטיות, אימות ושלמות נתונים בתקשורת באינטרנט. רבים שואלים מה ההבדל בין TLS ל-SSL, ובכן SSL הוא השלב הקודם בתהליך, לפני שיצא לאור ה-TLS המשמש כיום (על פי Cloudflare.com).

כאשר אתם מבקרים או קונים באתרים המועדפים עליך, אתם מתחברים לאתרים על ידי הכנסת המידע האישי והפיננסי שלך, כגון פרטי כרטיס אשראי. זאת, ללא ידיעה שהאתר לעיתים אינו מאובטח ולא מוצפן. הדבר האחרון שאתה מצפה הוא שהמידע ייקלט על ידי פולש בערוץ לא מאובטח. התערבות מסוג זה נקראת גם התקפת MITM או Man-In-the-Middle. מצד שני, כאשר אתם קונים באתר מאובטח שמופעל באמצעות SSL / TLS, הדפדפן שלכם יוצר ערוץ תקשורת מאובטח עם שרת האינטרנט המגביל התערבויות מסוג זה, והחיבור המאובטח נוצר באופן מיידי.

איך SSL / TLS עובד?

חיבור SSL / TLS נוצר כאשר דפדפן אינטרנט מנסה לגשת לאתר המופעל באמצעות SSL / TLS; רצף זה נקרא SSL/TLS Handshake. חיבור מאובטח זה מאפשר למשתמשי הקצה (למשל, דפדפן אינטרנט) ושרתי אינטרנט לאשר קשרים מאובטחים זה עם זה על ידי החלפת המפתחות הסודיים להצפנה ופענוח התקשורת. SSL/TLS Handshake נקבעת באופן מיידי ואינה נראית לעין עבור המשתמש.

הנה הפעולות של SSL / TLS:

  1. כאשר דפדפן אינטרנט מנסה לבקר באתר (שרת אינטרנט), הוא מבקש תחילה מהשרת להזדהות.
  2. לאחר מכן, שרת האינטרנט שולח עותק של אישור SSL / TLS והמפתח הציבורי שלו.
  3. במהלך ה-SSL/TLS handshake, דפדפן האינטרנט בודק את התוקף של אישור ה-SSL. כמו כן, הוא מאמת את האתר כראוי על ידי אימות השם שלו והתאמת המקום שאליו הוא מנסה להתחבר.
  4. אישור SSL מורכב מ-public key ומ-private key המטפלים בהצפנת נתונים ופענוחם במהלך ה-SSL/TLS handshake לצורך התקשורת המאובטחת. לאחר שהדפדפן מאשר שהאישור מהימן, נוצר על ידי הדפדפן מפתח שלישי הנקרא "session key". באמצעות ה-public key של השרת.
  5. לאחר מכן, ה-session key נשלח חזרה לשרת. ה-session key הוא מפתח סימטרי, שהוא סוג הצפנה חזק כדי ליצור תקשורת מהירה.
  6. השרת מפענח את ה-session key שהתקבל ושולח בחזרה הודעה יחד עם ה-session key המוצפן.
  7. לבסוף נוצר חיבור מוצפן ומאובטח בין משתמש הקצה (למשל, דפדפן אינטרנט) לשרת האינטרנט. כעת, הם יכולים לתקשר בסביבה מאובטחת באמצעות מפתח ההפעלה שסופק. בדרך כלל, תהליך ה-SSL/TLS handshake אורך פחות משנייה.

SSL לעומת TLS

חברת נטסקייפ פיתחה לראשונה את ה-SSL בתחילת שנות ה-90, בהתחשב בצורך בפרוטוקול שיוכל להעביר נתונים בצורה מאובטחת. גרסת ה-SSL הראשונה נקראה SSL 1.0, שמעולם לא הועמדה לרשות הציבור בגלל ליקויים. עם זאת, SSL 2.0 הוצגה באופן רשמי כגרסה המשופרת של SSL 1.0 בשנת 1995, ונעשה בה שימוש נרחב לאימות נתונים והצפנתם. ככל שחלף הזמן אותרו נקודות תורפה ובעיות אבטחה רבות, שהנחו את הדרך להיווצרות גרסה חדשה בשם SSL 3.0. מאוחר יותר, ה-SSL 3.0 הוצא משימוש על ידי כוח Internet Engineering Task Force (IETF) מאחר והייתה התקפה על הגרסה, אשר נקראת התקפת POODLE בשפת האקר.

Transport Layer Security (TLS) הוצגה כשיפור בהשוואה ל-SSL, וזו הסיבה שבגללה משתמשים במונחים אלה יחד. הגרסה האחרונה היא TLS 1.3, אשר שוחררה בשנת 2018. הגרסאות הקודמות של TLS כללו את TLS 1.0, TLS 1.1 ו-TLS 1.2. בכל פעם שוחררה גרסה חדשה ובטוחה יחסית, אך הגרסה הנוכחית של TLS מציעה שיפורים ברמה יוצאת דופן מבחינת ביצועים ואבטחה.

האם Cloudways תומכת בגרסת ה-TLS 1.3?

בהחלט כן, כרגע הם תומכים בכל גרסאות TLS, כולל TLS 1.3 העדכני ביותר בכל השרתים שלהם וב-Cloudways CDN. כפי שתואר קודם, מאחר ולגרסאות TLS קודמות היו ליקויי אבטחה, אשר עלולים לגרום לכם שלא לספק סביבה אמינה ובטוחה ללקוחות הפוטנציאליים שלכם. אין לכם מה לדאוג אם אתם לקוחות של Cloudways מכיוון שאתם יכולים לעדכן בקלות את גרסת TLS באמצעות פלטפורמת Cloudways בכמה לחיצות בלבד במקום לערוך את קבצי תצורת השרת.

למה צריך את SSL / TLS?

ישנם המון אתרי SSL / TLS ברחבי העולם. הם נחשבים לעמוד השדרה של אתרי האינטרנט, ויש האומרים כי הוא עמוד התווך של האינטרנט המאובטח. תחום SSL / TLS אינו מוגבל רק לאתרים המעבדים מידע רגיש, כגון מידע פיננסי ובנקאי, אלא הוא עומד להגן על המבקרים ללא קשר למיקומם, להצפין נתונים בזמן שהוא עובר ברשתות השונות ולהפוך את התקשורת למאובטחת בין משתמש הקצה לבין שרת האינטרנט ללא קשר אם הוא מעבד מידע רגיש או לא.

SSL / TLS מורכב מעקרונות העבודה הבאים:

הצפנה – עקרון ההצפנה אחראי על העברת נתונים מאובטחת. במידה ולא משתמשים ב-TLS / SSL, הנתונים נשלחים כטקסט ברור, שהוא פגיע ביותר. לכן, אם אתם או המשתמשים שלכם מכניסים מידע כלשהו באתר שלכם, הוא צריך להיות מוצפן.

אימות – מלבד הצפנה, אישור SSL / TLS תקין מציע גם אימות שמבטיח שמקור הנתונים והיעד אמיתיים. במילים אחרות, שליחת וקבלת נתונים נעשית על ידי השרת הלגיטימי ולא על ידי מתחזה או שרת זדוני. בקיצור, זה ממזער את הסיכון להתקפת פישינג ו-MITM ((Man-In-the-Middle.

שלמות הנתונים – עקרון זה מבטיח שהנתונים שהתקבלו יהיו למעשה זהים לאלו שנשלחו ללא כל אובדן או שינוי במהלך העברת הנתונים.

עקרונות אלו מגדילים את ההסתברות שמשתמשים יבצעו יותר רכישות ויהיו בטוחים יותר לעשות עסקים באתר המאובטח שלכם ולא באתר שאינו מאובטח מכיוון שהמידע הרגיש שלהם כמו אישורי חשבון, מידע אישי ומידע כרטיס האשראי יוגנו.

טיפ: אם האתר שלכם מקבל תשלומים מקוונים באמצעות כרטיסים, ישנם כללים מסוימים שעליכם להקפיד על מנת לעמוד בתקנים של Payment Card Industry (PCI) ושימוש בתעודת SSL / TLS הוא אחד מהם.

למה אומרים תעודת SSL במקום תעודת TLS?

הסיבה המשמעותית שעומדת מאחורי זה היא שהמונח SSL עדיין נפוץ במיוחד. אנו משתמשים גם במונח "SSL" כאשר אנו מזכירים תעודות. כמו כן, ספקי אישורים רבים (CA) או ספקי אישורים כגון Let's Encrypt, DigiCert, Namecheap, Comodo משווקים את האישורים כתעודות SSL / TLS או פשוט אישורי SSL אך הכוונה היא לאישורי TLS (RSA או ECC).

**RSA ו-ECC הם רק שני האלגוריתמים המוצפנים המשמשים להעברת נתונים מאובטחים.

השפעת SSL / TLS על SEO

העלאת הדירוג של האתר שלכם היא תוספת טובה עבור העסק שלכם כאשר האתר שלכם פועל ב-HTTPS, מכיוון שגוגל נותנת עדיפות לאתרים מאובטחים הפועלים ב-HTTPS מאשר לאתרים לא מאובטחים הפועלים ב-HTTP. גוגל הכריזה על HTTPS כאות דירוג כבר באוגוסט 2014.

Google Analytics הוא אחד משירותי הניתוח הטובים בעולם. ובכל זאת, הוא יכול להציג סטטיסטיקה שגויה של הפניות אם משתמש כלשהו מגיע לאתר HTTP מאתר HTTPS מכיוון שמתייחסים לתנועה כאל "Direct Traffic". אבל אם מישהו עובר מאתר HTTPS לאתר HTTPS, תוכלו להשיג את סטטיסטיקת ההפניות הנכונה ותוכלו לעקוב בקלות אחריה.

איך אפשר לבדוק אם אתר מאובטח באמצעות SSL / TLS?

הדפדפנים נותנים למבקרים רמזים חזותיים בעזרתם אפשר להבין האם האתר מאובטח באמצעות SSL / TLS, כגון:

  1. תראו מנעול בשורת הכתובת ובכתובת האתר המתחילה ב- "https: //". שימו לב שלא כל הדפדפנים נותנים אינדיקציות כאלה.
  2. כמו כן, לא כל אתר עם "https: //" ואייקון של מנעול מבטיח תקשורת מאובטחת מאחר ותעודת ה-SSL / TLS שלהם יכולה להיות ללא תוקף. לכן, על ידי לחיצה על המנעול, תוכלו לבדוק את תוקף האישור ב-Google Chrome. שיטת בדיקה זו עשויה להשתנות בדפדפנים אחרים.

מה זה ssl

איך להתקין אישור SSL / TLS באתר שלכם?

פלטפורמת Cloudways תומכת בהתקנה קלה של Free Let’s Encrypt SSL או כל אישור SSL מותאם אישית. לחצו כאן לקבלת הוראות להתקנת אישור SSL / TLS באתר האינטרנט שלכם שנמצא בשרת של Cloudways.

מה הבדלים בין תעודת SSL בודדת, תעודה לכמה אתרים (SAN SSL) ותעודת SSL Wildcard

תעודות אבטחה Secure Sockets Layer (המכונה בדרך כלל SSL) היא תקן ידוע בתעשייה ידוע המשמש מיליוני אתרים להגנה על עסקאות דיגטליות עם לקוחותיהם. SSL המשמש ליצירת קישור מוצפן בין שרת אינטרנט לדפדפן. קישור מוצפן זה מבטיח שכל הנתונים המועברים בין שני המחשבים יישארו פרטיים. כדי ליצור חיבור מאובטח, שרת אינטרנט זקוק לאישור SSL. כדי להפעיל SSL בשרת האינטרנט שלכם, יהיה עליכם לבחור את סוג ה-SSL הנכון בהתאם לדרישתכם. מדריך זה יסביר את ההבדלים המרכזיים בין סוגי SSL.

תעודת SSL בודדת

תעודת SSL בודדת מגנה על דומיין אחד(שם מארח). לדוגמה, אם אתם רוכשים אישור עבור www.abcdomain.com זה לא יאבטח את my.abcdomain.com. על פי שיקול דעתה הבלעדי של רשות האישורים, אם אתם רוכשים אישור בשם בודד עבור שם המארח www (www.mydomain.com), האישור עשוי לכלול גם את הדומיין בלי ה-www (לדוגמא: mydomain.com).

תעודת SAN SSL (לכמה אתרים)

תעודת SAN SSL (ה-SAN הוא ראשי תיבות של Subject Alternative Name) מאפשרת להגן על כמה דומיינים באמצעות אישור יחיד. לדוגמה, אתם יכולים לקבל אישור עבור mydomain.com ולאחר מכן להוסיף ערכי SAN נוספים כדי שאותה תעודה תגן על mydomain.org, mydomain.net ואפילו mydomain.com. ברוב המקרים ניתן לשנות את ערכי ה- SAN בכל עת במהלך האישור – רק תצטרכו לשנות את הערך ואז לבצע הנפקה מחודשת של התעודה.

תעודת Wildcard SSL

תעודת אבטחה Wildcard SSL מאפשרת לכם לאבטח מספר סאב-דומיינים עם אישור אחד בלבד. במקרים רבים, עדיף להשתמש בתעודת Wildcard SSL הגיוני יותר מאשר להשתמש בתעודת תעודת SAN SSL (לכמה אתרים), מכיוון שהוא מאפשר סאב-דומיינים בלתי מוגבלים ואינכם צריכים להגדיר אותם בעת הרכישה. באפשרותכם להוסיף סאב דומיינים מבלי שתצטרכו בהנפקה מחודשת. לדוגמה, תוכלו להשתמש תעודת אבטחה Wildcard SSL עבור שם הדומיין mydomain.com ואישור זה יעבוד גם עבור my.mydomain.com my1.mydomain.com, וכל סאב-דומיין אחר. התו הכללי מתייחס לעובדה שהתעודה מסופקת עבור * .mydomain.com כך שהתעודה פשוט תפעל, אין צורך בהנפקה מחודשת.

מאת – צוות EasyCloud

מדריכים נוספים

אימות דו שלבי (2FA)

אימות דו-גורמי עבור חשבון Cloudways

כדי לשפר את אבטחת החשבון שלכם ב – Cloudways   הוסיפו  Two Factor Authentication )-TFA) כשכבת הגנה משנית כדי לוודא שרק אתם מסוגל להיכנס לחשבון ה- Cloudways שלכם. במדריך שלפניכם נסביר כיצד להפעיל TFA בחשבון Cloudways

קרא עוד »