אתרים ללא אבטחת SSL יסומנו כלא בטוחים על ידי גוגל

הזמן להתקין אבטחת SSL באתר הגיע, ויש לכם עד יולי 2018 להשלים את המשימה, או שגוגל תסמן את האתר שלכם כאתר “לא בטוח”.

בניסיון להפוך את תקן HTTPS הבטוח לתקן סטנדרטי, המיושם על ידי כל אתרי האינטרנט ולא רק על ידי אתרי מסחר אלקטרוני ואתרי תשלום, דחפו בשנים האחרונות יצרני הדפדפנים הגדולים את השימוש באבטחת SSL – בשנה שעברה שינו גוגל ומוזילה את ממשק המשתמש והוסיפו את אייקון המנעול ואת הסימון “בטוח” עבור אתרים בעלי אבטחת SSL.

במקביל, הוסיפו הדפדפנים את הסימון “לא בטוח” לאתרי HTTP, אך בצורה הדרגתית בלבד. בתחילה הופיע הסימון אך ורק כאשר המשתמש נדרש להכניס סיסמה בשדה שאינו מוצפן. בהמשך הדרך, הוסף הסימון “לא בטוח” לכל דף HTTP שיש בו שדות טקסט לקליטת פרטים מן המשתמש. כעת, עם שחרור גרסת כרום 68 ביולי הקרוב, יסומן כל אתר HTTP ללא אבטחת SSL כאתר “לא בטוח”, באופן גורף.

בכדי להימנע מפגיעה המונית באתרי אינטרנט לגיטימיים, דחתה גוגל את יישום המהלך כבר מספר פעמים, ונמנעה מלהוסיף את התכונה החדשה לעדכון התקופתי של דפדפני כרום. כעת כאמור, תתווסף התכונה החדשה לעדכון הקרוב של גוגל כרום, ותשפיע על כל אתרי האינטרנט המוצגים בדפדפן.

על פי נתוני גוגל, נכון לעכשיו מרבית תעבורת הרשת באינטרנט מתבצעת באמצעות פרוטוקול HTTPS הבטוח:

  • מעל 68% מהתעבורה באינטרנט, הן באמצעות אנדרואיד והן באמצעות ווינדווז, היא מאובטחת
  • מעל 78% מתעבורת האינטרנט בכרום ובמאק, היא מאובטחת
  • 81 מ-100 האתרים המובילים באינטרנט, משתמשים בפרוטוקול HTTPS כברירת מחדל

מה כל כך חשוב ב-HTTPS?

HTTP הוא פרוטוקול תקשורת שעליו מבוססת כל התקשורת ברשת האינטרנט, אלא שבמונחי האינטרנט נחשב ה-HTTP למיושן. חסרונו הגדול ביותר הוא שהוא אינו בטוח. כאשר אתם יוצרים תקשורת HTTP עם אתר אינטרנט, וזה בדיוק מה שהדפדפן שלכם עושה כשאתם נכנסים לאתר כזה, התקשורת שלכם מול האתר היא אינה מאובטחת. המשמעות היא שכל אדם יכול לצותת לתקשורת שלכם מול האתר, ועל ידי כך לגנוב או לשנות מידע המועבר הלוך ושוב בינכם ובין האתר.

HTTPS לעומת זאת, הוא פרוטוקול תקשורת מאובטח, המצפין את כל תעבורת התקשורת בין הדפדפן ובין האתר, כך שגורם שלישי שאין לו את מפתח ההצפנה, לא יוכל לצותת לתקשורת זו. מעבר לנושא האבטחה, HTTPS הוא מהיר וטוב יותר מ-HTTP והוא גם מונע מספקי האינטרנט (ISP) להזריק מודעות פרסומת לאתר שלכם.

מה עליכם לעשות כעת?

המשימה היא להפוך את האתר שלכם מאתר HTTP לאתר HTTPS על ידי התקנת אישור SSL באתר. אישור SSL ניתן לכל דומיין ותת-דומיין בנפרד, ולכן אם יש לכם מספר דומיינים, חשוב להעניק את אישור ה-SSL לכל אחד מהם, ואת זה תוכלו לעשות באמצעות מגוון רחב של חבילות SSL, המוצעות כיום על ידי השוק. את אישור ה-SSL תוכלו להזמין אצל החברה שמארחת את האתר שלכם (Hosting), ובדרך כלל ניתן לעשות זאת באופן עצמאי אונליין דרך אתר החברה.

לאחר התקנת האישור, יהיה עליכם להפוך את האתר ל-HTTPS באמצעות שינוי מרכיב HTTP ל-HTTPS בכתובות URL של דפי האתר, והוספת הפניות 301 (301 redirects). כדאי לדעת שבמרבית המקרים, פרט להזמנת והתקנת אישור SSL לדומיין, לא תצטרכו לדאוג לדבר נוסף, כשאת כל שאר העדכונים תבצע חברת האירוח באופן אוטומטי.

בכל מקרה, את כל התהליך הזה יהיה עליכם להשלים עד יולי 2018, או שיהיה לכם עניין עם גוגל 🙂

נשמח לשמוע את דעתכם