אבטחת אתר האינטרנט הארגוני היא צורך בסיסי. האתר הוא נכס של הארגון, הוא עלה כסף, הוא מכניס כסף (אם משתמשים בו בצורה נכונה), ולכן יש לשמור עליו היטב. אחת הדרכים לשמור על האתר שלכם (ועל המבקרים בו) היא להתקין תעודת אבטחה שמצפינה את התקשורת בין האתר לבין הדפדפנים של הגולשים בו – תעודה שמוכרת בשם "תעודת SSL".

פוסט זה הפך למאוד רלוונטי לאחרונה, מפני שממש בשבוע שעבר, גוגל החלה לסמן בדפדפן כרום שלה אתרים שלא משתמשים בהצפנת SSL כלא מאובטחים (Not Secure). ראו לדוגמא את אתר משרד הרישוי:

צילום של שורת הכתובת עם סימון ה"לא מאובטח"

מטרת הפוסט הקצר הזה היא לעשות קצת סדר בכל ראשי התיבות שאולי תיתקלו בהם כשתעבדו על פרויקט האתר הארגוני.

SSL

Secure Sockets Layer

פרוטוקול קריפטוגרפי שנוצר ע"י חברת Netscape בשנות ה-90, המאפשר להצפין תקשורת שעוברת בין מחשבים. רוב הסיכויים שתתקלו בראשי התיבות הללו במסגרת הביטוי "תעודת SSL" (SSL Certificates).

תעודת SSL היא קובץ קטן שיושב על שרת אחסון האתר ומכיל צמד "מפתחות", שהם למעשה צירוף של תווים שמשמשים לפיענוח והצפנה. כאשר גולשים לאתר המאובטח עם תעודת SSL (או TLS, תכף אסביר), הדפדפן עושה מעין "לחיצת יד" עם השרת ובודק את התעודה שלו. אם התעודה בתוקף ונמצאת תקינה, מתחילה להתבצע בין השרת לדפדפן תעבורת נתונים מאובטחת.

תעודות SSL מונפקות ע"י חתמים (Certificate Authority).

רוב החתמים גובים כסף על הנפקת התעודה, אך יש חתם אחד גדול שמנפיק תעודות SSL בחינם בשם Let’s Encrypt. החתם הזה הוא בעצם ארגון ללא מטרת רווח בשם Internet Security Research Group (ISRG). פרויקט Let’s Encrypt מקבל חסות מגופי תקשורת ואינטרנט גדולים כגון the Mozilla Foundation ו-Cisco Systems. נכון לכתיבת שורות אלה ניתן לבטוח בתעודות שלו ולהשתמש בהן. למעשה, תעודת ה-SSL שמאבטחת את המדריך הסגול היא תעודה של Let’s Encrypt.

כשאתם מחפשים שרת אחסון (או שבונה אתרים מציע לכם לאכסן דרכו), מומלץ מאוד לבדוק אם השרת תומך בהתקנה פשוטה וחידוש אוטומטי של תעודות Let’s Encrypt.

WildCard SSL – תעודות SSL מותקנות על השרת ומבצעות אימות לפי דומיין (לדוגמא www.thepurpleguide.org). תעודות WildCard יאבטחו את כל תתי-הדומיינים תחת דומיין ראשי מסוים. לדוגמא, תעודת WildCard תאבטח גם את הדומיין הראשי (thepurpleguide.org), וגם את הסאב-הדומיין blog.thepurpleguide.com.

באם אתם משתמשים בתעודות שאינן WildCard, תצטרכו לאבטח כל סאב-דומיין בנפרד.

TLS

Transport Layer Security

פרוטוקול המהווה גרסה חדשה ומשודרגת של SSL. למעשה, כאשר אתם מתקינים תעודת SSL, ברוב המקרים מה שאתם למעשה מתקינים היא תעודת TLS. אין סיבה מיוחדת שבגינה משתמשים עדיין במונח "תעודת SSL" במקום "תעודת TLS", אלא זה פשוט מפני שכולם רגילים למונח הישן יותר.

HTTPS

HTTP Secure

הרחבה של פרוטוקול HTTP שמאפשרת ביצוע תקשורת מאובטחת על בסיס תעודות TLS (לשעבר SSL). ל-HTTPS קוראים גם HTTP over TLS ו-HTTP over SSL.

ניתן לבצע תקשורת מאובטחת עם HTTPS רק במידה ובשרת מותקנת תעודת SSL תקינה בתוקף. כלומר, אם תנסו ליצור הפניה בשרת מ-HTTP ל-HTTPS ללא תעודת SSL, האתר שלכם יופיע בדפדפנים כלא-מאובטח.

 

חושבים ששכחתי משהו שכדאי להוסיף? תכתבו לי בתגובות.

אהבתם את הפוסט? שתפו עם חבריכם!

כתיבת תגובה