HTTPS / SSL – האם אתה באמת צריך את זה באתר שלך?
האינטרנט הוא לא המקום הבטוח לשיחה סודית. יש אלפי עיניים סקרניות שמחכות לך בכדי לדלות את המידע האישי שלך – כתובות, מספרי הטלפון שלך, ואת פרטי כרטיס אשראי שלך. זו הסיבה שרוב החברות משתמשות בפרוטוקול מאובטח (HTTPS) בעת עיבוד למשימות סודית.
HTTP הוא פרוטוקול המשמש את שרתי אינטרנט ולקוחות (דפדפנים) כדי לתקשר ולהעביר דפי אינטרנט וקבצים. יש המון פרוטוקולים אחרים כמו FTP, SSH ועוד…
HTTPS הוא הגרסה המאובטחת של פרוטוקול HTTP אשר משתמש ב SSL.
HTTP + SSL = HTTPS
HTTPS משתמש בהתאמה ב “מנגנון לחיצת יד” ציבורי ופרטי ומפתח לפני העברת נתונים. ברגע שנעשית לחיצת היד, נוצר חיבור וההפעלה מאובטחת מתחילה. כאשר אתה מבקר באתר HTTPS, כל זה קורה באופן כמעט מיידי לפני שאתה רואה את המחוון הירוק בשורת הכתובת של הדפדפן שלך.
סיבות למה HTTPS
אבטחה מעולה: עם SSL, החיבור שלך מוצפן. מנהרה וירטואלית נוצרת ודרכו רק השרת והדפדפן יכולים לתקשר. אף אחד אחר לא יכול לפרש את הערוץ גם אם הוא מותקף, הוא לא יוכל להבין את הנתונים המוצפנים. הוא היה צריך את המפתח הפרטי אשר ידוע רק לדפדפן.
לבדיקת: HTTPS דרוש תעודת SSL ורכישה של התעודה לעסק היא תהליך רציני. זה דורש מסמכים רשמיים שיוגשו ויאומתו על ידי תעודת המאשר (CA). רק כאשר המסמכים עברו בדיקות האימות, הוא יוציא את תעודת SSL.
לגיטימציה לעסקים: כאשר אתה מבקר באתר מאובטח SSL, אתה יכול להיות בטוח על אמינות האתר. אתה תמיד תוכל לקבל את הפרטים ליצירת קשר ההכרחיים של הבעלים מתעודת SSL של האתר.
Data Integrity: שלמות הנתונים מתייחסים לעקביות של הנתונים המבוקשים והנתונים שהתקבלו בפועל. ראה את הדוגמא הבאה: מישהו מבקר באתר שלך להודעה מיוחדת על הוראות התקנת שרת XYZ. בסוף הפוסט, אתה משאיר את קישור שותפים. באתר לא מאובטח, תוקף יכול בקלות לנצל את החיבור ולשלוח למבקר והנתונים בסכנה. בכל ההסתברות, הוא יחליף את קישור השותפים שלך עם קישור התחזות. כך יש הבדל עצום בנתוני המבוקשים והנתונים שיתקבל בפועל – שלמות הנתונים נהרסו. עם SSL, כל זה לא אפשרי!
מלכוד:
יצירת חיבור מאובטח דורשת כוח חישוב משמעותי הן על ידי הלקוח והשרת. התוצאה היא קצב העברה איטי יותר בהשוואה לHTTP. זו הסיבה שרוב האתרים לא משתמשים HTTPS כל הזמן. הם מחכים עד הרגע שאתה מנסה להתחבר או לבצע רכישה. אתרי מסחר אלקטרוני כמו אמזון וronkal.net ואחרים עוקבים כלל זה. בדרך זו הגלישה בוערת מהירה ורכישות מאובטחות.
האם אני באמת צריך HTTPS באתר שלי?
שאלה טובה, אבל זה לא פשוט של כן לתשובה.
מנועי חיפוש מעדיפים אתרים HTTPS
הנה ציטוט מהודעה האחרונה בבלוג של Google Webmaster Central.
בחודשים האחרונים אנחנו מפעילים בדיקות ולוקחים בחשבון אם אתרים משתמשים בחיבורים מאובטחים, מוצפנים כאות באלגוריתמי החיפוש שלנו בדירוג.
זה לא אומר שאם אין לך HTTPS באתר שלך, דרגת SERP שלך תיפול. לעת עתה. אנשי המשמר ייקחו את זה כמדד מוקדם של מה יהיה בעתיד. הרבה אנשים מתלוננים וחקירת ההחלטה של גוגל. למה לעזאזל אתה משתמש HTTPS בבלוג סטטי שלך? כדי למנוע מאקרים מקריאת התגובות של המבקרים שלך? לעזאזל, אפילו הבלוג של Google למנהלי אתרים לא באמצעות SSL!
תרחישים שבם לאתרים כדאי להשתמש HTTPS
יש הרבה מצבים שבם HTTPS אמור לשמש כשכבת נוסף של אבטחה. הנה כמה דוגמאות שבה יש להחיל:
חנויות מסחר האלקטרוני, כרטיס אשראי , רישום הכולל פרטים מזהים
אם אתה מפעיל חנות, יהיה זה נבון ביותר לשימוש HTTPS בדפי העסקה של האתר. כפי שאתם כבר יודעים, HTTPS הוא איטי יותר מאשר HTTP ולכן הוא נושא השפעה על חוויית הגלישה של המשתמש. עם זאת, כשזה מגיע למידע של מישהו הסודי כמו כתובת הבית, מספר טלפון או פרטי כרטיס אשראי – להקריב מהירות מעל הביטחון הוא הכרח. אתה תמיד צריך להשתמש HTTPS בתרחישים הבאים:
אוגרי משתמש או יומנים חדשים, משתמש שעומד לבצע תשלום, תשלום כתרומה
חלק מהאתרים מהציג כפתור תרומה קטן בסרגל הצד שלהם וכמעט כולם לא משתמשים HTTPS. הנה מה שיכול להשתבש. מאחר שהאתר אינו מאובטח, התוקף יכול בקלות לטפל בנתונים של האתר להציג מידע כוזב – כגון החלפת כפתור PayPal לתרום עם כמה אתר פישינג. כאשר מבקר (ולא תורם) לוחץ על קישור שההונאה, החשבון שלו הוא בסיכון של חשיפה. לכן, אם אתה משתמש בלחצן לתרום באתר שלך, תנסה לשלב SSL.
אתרי חברות
הרבה יזמי אינטרנט המנהלים פורומים פרטיים ואתרי החברות. אתרים כאלה משתמשים ברישום נתונים פרטיים – נתונים שאתה לא רוצה שהציבור יראה. SSL משמש במקרה זה כאלה, זה יהיה למנוע איומים על שלמות הנתונים וליצור סביבה בטוחה לחברים שלך כדי לקיים אינטראקציה. זה כמו להכות שתי ציפורים במכה אחת:
אבטחה טובה יותר, להגביר את אמון לקוחות
אתרים שנפרצו בעבר
אם האתר שלך הוא קורבן של התקפה ממוקדת או נפרץ לאחרונה, אז אתה צריך לשקול ברצינות מעבר לאתר SSL המוצפן. מתאוששים מאתר שנפרץ ניתן לעשות זאת באמצעות מומחיות אישית ו / או עם מומחים לעזרה ביטחון (כגון Sucuri).
כדי להגן על עצמך מפני התקפות עתידיות ולהוסיף שכבה נוספת של אבטחה, כוח להשתמש HTTPS בכל האתר שלך. עם זאת, מאחר ש SSL צורך הרבה משאבי שרת, האתר שלך עשוי להיות איטי למדי בהתאם לתצורת השרת שלך. אתה לא רוצה את זה. לכן, אתה יכול גם באופן סלקטיבי להשתמש SSL רק בדפי כניסה ותוך כדי העבודה בלוח המחוונים של המנהל.
העלות לתעודת SSL משולבת כ- 200$ דולר לשנה.