שאלות נוספות בנושא זה
תחומי הדרכה נוספים
מאמרים אחרונים מאמרים אחרונים
04/04/2024 18:47
בניית חנות אינטרנטית לגיימינג Stop Games
בניית של חנות באינטרנט למכירה של מוצרי גיימינג, מחשבים, סלולר וציוד נלווה
09/08/2023 17:16
בניית חנות אינטרנטית לחיות יאמי פט
בניית חנות באינטרנט למכירה של מוצרים לחיות מחמד
12/03/2023 22:03
סקירת הגירסאות של שפת התכנות באינטרנט PHP
במאמר זה נסקור את התפתחות שפת צד השרת PHP מראשית ימיה, לכל אורך גירסאותיה השונות עד לאן שהיא הגיעה ב...

מהו פרוטוקול HTTPS ומהו SSL/TLS

  1. דף הבית
  2. מרכז ההדרכה של מיזם גרופ
  3. סטנדרטים ותקנים באינטרנט
  4. מהו פרוטוקול HTTPS ומהו SSL/TLS
בניית חנות וירטואלית מאובטחת תמכור לכם יותר. הכירו את הפרוטוקולים השונים לאבטחת החנות.
אבטחת אתר אינטרנט עם SSL

הבעיתיות של פרוטוקול HTTP

פרוטוקול התקשורת HTTP, או בשמו המלא HyperText Transfer Protocol, הינו פרוטוקול המשמש להעברת נתונים בין הלקוח (הדפדפן) לבין השרת (אותו ענן בו מאוחסן האתר) ובכך להציג אתרים באינטרנט. לפרוטוקול זה מספר גירסאות, ביניהן גירסת HTTP/1.1 הוותיקה והישנה, גירסת HTTP/2 החדישה והמהירה, ויש גם תכנון לגירסת HTTP/3 העתידית.

פרוטוקול זה לוקה בחסר בכל הקשור לאבטחה, כיוון שהנתונים שמועברים בין הלקוח לשרת אינם מועברים בצורה בטוחה מספיק וניתן בקלות "להאזין" להם ולפענח אותם ע"י צד שלישי, ואותו צד שלישי יכול אפילו לשנותם. בעולם האבטחה, מכונה מתקפה מסוג שכזה "מתקפת Man in the Middle". במקרה שהנתונים כוללים סיסמאות, מידע אישי או מספרי כרטיס אשראי, מדובר בבעיה של ממש. דמיינו לעצמכם פריצה לחנות אינטרנטית: מיד לאחר שהרוכש בחנות מזין את פרטי האשראי שלו, במקום שנתונים אלו יעברו לספק הסליקה, הם מועברים לצד שלישי שמעתיק אותם לעצמו.

שכבת המעטפת HTTPS

הפתרון לבעיית האבטחה של פרוטוקול HTTP היא פרוטוקול HTTPS. למעשה, זהו אינו פרוטוקול עצמאי, כי אם שכבת הגנה על פרוטוקול HTTP, או במילים אחרות, מימוש מאובטח של פרוטוקול HTTP. האות S ב-HTTPS היא מהמילה Secure (אבטחה).

HTTPS דואג כי התקשורת באינטרנט תעשה שימוש בשכבת האבטחה SSL/TLS. שכבת האבטחה איננה מסתירה את עצם קיום הנתונים המועברים מצד שלישי, אלא למעשה מאבטחת אותם מפניו, באופן שאם קיים צד שלישי שמאזין לנתונים, הוא לא יוכל להבינם או לשבשם.

כתובתו של אתר אינטרנט שעובד בפרוטוקול HTTPS מתחילה תמיד ב-https במקום ב-http. לעיתים הדפדפן מסתיר את התחלת הכתובת (מטעמי נוחיות הקריאה), אבל הקלקת עכבר על שורת הכתובת תציג את הכתובת המלאה.

אתר עם https יציג מנעול בשורת הכתובת, באופן שמראה לגולשים כי מדובר באתר מאובטח.

אתר מאובטח עם SSL

איך עובדות שכבות ההגנה SSL ו-TLS?

SSL, בשמו המלא Secure Sockets Layer, הוא שכבת אבטחה שבה משתמש פרוטוקול HTTP בעת העברת הנתונים בין הלקוח לשרת. תחילה, יצאה גירסת SSL 1.0, אחריה SSL 2.0 ואחריה SSL 3.0.

TLS, בשמו המלא Transport Layer Security, הוא הגירסה המתקדמת יותר של SSL ולמעשה מחליף את SSL 3.0. ל-TLS קיימות גירסאות TLS 1.0, TLS 1.1, TLS 1.2 והאחרונה TLS 1.3.

כל הדפדפנים הנפוצים היום, לרבות גוגל כרום, מוזילה פיירפוקס ומיקרוסופט אקספלורר (או Edge), תומכים באופן מלא בגירסאות החדשות של TLS.

בשיטת TLS (או SSL הישן יותר), הנתונים הנשלחים ברשת מאובטחים שלושה אמצעים:

  1. פרטיות - הנתונים המועברים ברשת מועברים בצורה מוצפנת ע"י מפתח סודי (רצף ארוך של אותיות ומספרים) שרק השולח והמקבל מכירים, ובכך נשמרת פרטיות המידע בין השולח והמקבל
  2. אותנטיות - בכל קבלת נתון, מבוצע אימות שהשולח אותנטי, כלומר הוא אכן השולח האמיתי ולא מתחזה
  3. אימות - כל נתון הנשלח מאומת על ידי הצד המקבל שהוא אכן נתון אמיתי שלא עבר שינוי ומניפולציה כלשהי ע"י צד שלישי

כחלק מהמנגנון של שיטת SSL/TLS, נעשה שימוש בתעודה, מכונה גם תעודת SSL או SSL Certificate, אשר ממנה נגזר אותו מפתח סודי ייחודי שמוכר רק ע"י הלקוח והשרת (מכונה מפתח פרטי). ישנם סוגי תעודות שונים, הנבדלים זה מזה באורך המפתח, כאשר אורך מפתח ארוך יותר מקנה רמת הגנה טובה יותר.

תעודת SSL תקפה לזמן קצוב שלאחריו צריך להחליפה בתעודה חדשה, כאשר ברוב המקרים מדובר בפרק זמן של מספר חודשים עד שנה. הסיבה להחלפה התכופה של התעודה היא הצורך לעדכן מעת לעת את המפתח הפרטי, וזאת כדי להמנע ממצב שצד שלישי מצליח לפרוץ את שכבת ההגנה על ידי נסיונות חוזרים ונישנים של פניות לשרת עם מפתחות סודיים שונים שהוא מנסה.

הסרטון הבא מדגים יפה את השימוש ב-SSL/TLS:

YouTube previewPlay

 

למתקדמים, סרטון שמסביר לעומק איך בדיוק עובד SSL/TLS:

YouTube previewPlay

מדוע כדאי להשתמש ב-HTTPS?

השימוש בפרוטוקול HTTPS באתרי אינטרנט מומלץ מכמה סיבות:

  1. אבטחה טובה יותר - כאמור, רמת אבטחה גבוהה יותר בהעברת הנתונים בין הלקוח לשרת בפרוטוקול HTTPS לעומת פרוטוקול HTTP.
  2. אחוזי המרה גבוהים יותר - באתרים עם HTTPS, רואה הגולש מנעול בצד שורת הכתובת, דבר שמגדיל את הסיכוי שיבצע פניה או הזמנה באתר. באתרים ללא HTTPS, תוצג לגולש הערת אזהרה במקום המנעול, דבר שיקטין את הסיכוי שהגולש יבצע פניה או הזמנה באתר.
  3. תאימות טובה יותר למנועי החיפוש - מנועי החיפוש ובראשם גוגל נותנים העדפה לאתרים מאובטחים בתוצאות החיפוש. למעשה, אבטחת האתר עם HTTPS היא אחד מגורמי הדירוג של גוגל ויש לה השפעה ישירה על קידום האתר בתוצאות החיפוש האורגניות, וזאת מתוך חזון של גוגל שכל האתרים בעולם יהיו עם שכבת אבטחה, גם אם לא מדובר בחנות וירטואלית אלא באתר תדמית פשוט.

כמה עולה להתקין תעודת SSL?

קיימות בשוק חברות שונות המספקות תעודת SSL וחותמות על התעודה שהיא אכן מוכרת על ידם ובטוחה לשימוש. ניתן לרכוש תעודת SSL ולהתקינה על שרת האחסון ולאחר התאמת קוד באתר לדאוג שהוא יופעל באופן מאובטח עם פרוטוקול HTTPS. בדרך כלל, התמחור הוא לפי אורך המפתח (נניח 128 או 512 תווים) וכמות הדומיינים שיכולים להשתמש בתעודה (דומיין יחיד או הרבה דומיינים).

קיימים גם פתרונות חינמיים לתעודת SSL המתחדשת אוטומטית ללא עלות, למשל פתרונות של cPanel או של Let's Encrypt, ולכן, אין סיבה היום שאתר חדש שמוקם לא יהיה מאובטח ויעבוד בפרוטוקול HTTPS.

תגיות: אבטחה
הוספת תגובה
YouTube previewPlay

שנקפיץ יחד את העסק שלך לגבהים חדשים?

בניית חנות אינטרנטית של מיזם גרופ תעזור לך ביצירת סיסטם עוצמתי שמגדיל מכירות.

ההצלחה מבוססת על בניית חנות וירטואלית בחוד החנית עם הקמת מערך שיווק אפקטיבי שמגדיל חשיפה והמרות.

 

אל תהססו! מלאו את הטופס או התקשרו עכשיו 077-7644819

 
WhatsApp
שנקפיץ לך את העסק?
לחץ כאן
התקשר עכשיו 077-7644819
או מלא את הטופס להלן: