אם אתה אוסף מידע רגיש באתר שלך (כולל דוא ל וסיסמה), עליך להיות בטוח. אחת הדרכים הטובות ביותר לשמור על עצמך היא להפעיל תעודת HTTPS, המכונה גם SSL (Secure Sockets Layers), כך שכל המידע העובר אל השרת שלך וממנו מוצפן אוטומטית. אישור HTTPS מונע מהאקרים לפרוץ את המידע הסודי של המשתמשים שלך בזמן שהוא מאוחסן באינטרנט. הם ירגישו בטוחים כשהם רואים תעודת HTTPS בעת גישה לאתר שלך - בידיעה שהוא מוגן על ידי תעודת אבטחה.
היתרונות של אישור
הדבר הטוב ביותר בתעודת SSL, בדיוק כמו HTTPS, הוא שקל להגדיר אותו, ולאחר שזה נעשה, תצטרך להפנות אנשים להשתמש בתעודת HTTPS במקום HTTP. אם תנסה לגשת לאתר שלך על ידי הצבת https:// מול כתובות האתרים שלך ברגע זה, תקבל שגיאת אישור HTTPS. הסיבה לכך היא שלא התקנת תעודת HTTPS SSL. אבל אל תדאג, אנחנו נגדיר את זה מיד!
המבקרים שלך ירגישו בטוחים יותר באתר שלך כשהם רואים תעודת HTTPS בעת גישה לאתר שלך- בידיעה שהוא מוגן בתעודת אבטחה.
מה זה
HTTP או HTTPS מוצגים בתחילת כל כתובת אתר בדפדפן אינטרנט. HTTP מייצג Hypertext Transfer Protocol וה-S ב-HTTPS מייצג Secure. באופן כללי, זה מתאר את הפרוטוקול שבאמצעותו נשלחים נתונים בין הדפדפן שלך לאתר שבו אתה צופה.
אישור HTTPS מבטיח שכל התקשורת בין הדפדפן שלך לאתר שבו אתה צופה מוצפנת. זה אומר שזה בטוח. רק המחשבים המקבלים והשולחים יכולים לראות את המידע בזמן העברת הנתונים (אחרים יכולים לגשת אליו, אך לא יכולים לקרוא אותו). באתרים מאובטחים, דפדפן האינטרנט מציג סמל מנעול באזור כתובת האתר כדי להודיע לך.
HTTPS צריך להיות בכל אתר שאוסף סיסמאות, תשלומים, מידע רפואי או נתונים רגישים אחרים. אבל מה אם אתה יכול לקבל אישור SSL בחינם ותקף עבור הדומיין שלך?
איך עובדת הגנת האתר?
כדי להפעיל את אישור האבטחה של HTTPS, עליך להתקין SSL (Secure Socket Layer). הוא מכיל את המפתח הציבורי שנדרש כדי להתחיל את ההפעלה בצורה מאובטחת. כאשר מתבקש חיבור HTTPS לדף אינטרנט, האתר שולח תעודת SSL לדפדפן שלך. לאחר מכן הם יוזמים "לחיצת יד SSL", הכוללת שיתוף "סודות" כדי ליצור חיבור מאובטח בין הדפדפן שלך לאתר.
SSL סטנדרטי ומורחב
אם האתר משתמש בתעודת SSL רגילה, תראה סמל מנעול באזור כתובת האתר של הדפדפן שלך. אם נעשה שימוש באישור Extended Validation (EV), שורת הכתובת או כתובת האתר יהיו ירוקים. תקני EV SSL עדיפים על תקני SSL. EV SSL מספק הוכחה לזהות בעל הדומיין. קבלת הסמכת EV SSL מחייבת גם את המועמדים לעבור תהליך הערכה קפדני כדי לאמת את האותנטיות והבעלות שלהם.
מה קורה אם אתה משתמש ב-HTTPS ללא אישור?
גם אם האתר שלך אינו מקבל או משתף נתונים רגישים, ישנן מספר סיבות שבגללן אולי תרצה שיהיה לך אתר מאובטח ולהשתמש בתעודת SSL בחינם ותקפה עבור הדומיין שלך.
ביצועים. SSL יכול לשפר את הזמן שלוקח לטעון דף.
אופטימיזציה למנועי חיפוש (SEO). המטרה של גוגל היא לשמור על האינטרנט בטוח ומאובטח לכולם, לא רק לאלה שמשתמשים ב-Google Chrome, Gmail ו-Drive, למשל. החברה אמרה שהאבטחה תהיה גורם באופן שבו הם מדרגים אתרים בתוצאות החיפוש. בינתיים זה לא מספיק. עם זאת, אם יש לך אתר מאובטח ולמתחרים שלך אין, האתר שלך עשוי לדרג גבוה יותר, מה שעשוי להיות נחוץ כדי להגביר את הפופולריות שלו מדף תוצאות החיפוש.
אם האתר שלך אינו מאובטח ואוסף סיסמאות או כרטיסי אשראי, משתמשי Chrome 56 (שפורסם בינואר 2017) יראו אזהרה כישהאתר לא בטוח. מבקרים שאינם מכירים את הטכנולוגיה (רוב משתמשי האתר) עשויים להיבהל לראות תיבת "שגיאת אישור HTTPS" ולעזוב את האתר שלך פשוט כי הם לא מבינים מה זה אומר. מצד שני, אם האתר שלך מאובטח, זה יכול לגרום למבקרים להרגיש יותר בנוח, ולגרום להם יותר למלא טופס הרשמה או להשאיר תגובה באתר שלך. ל-Google יש תוכנית ארוכת טווח להציג את כל אתרי HTTP כלא מאובטחים ב-Chrome.
היכן אוכל לקבל אישור HTTPS בחינם?
אתה מקבל אישור SSL מרשות אישורים. אישורים כאלה תקפים ל-90 יום, אך מומלץ לחדש ל-60 יום. כמה מקורות חינמיים אמינים:
- Cloudflare: חינם לאתרים ובלוגים אישיים.
- FreeSSL: בחינם לעמותות וסטארט-אפים כרגע; לא יכול להיות לקוח של Symantec, Thawte, GeoTrust או RapidSSL.
- StartSSL: אישורים תקפים למשך שנה עד 3 שנים.
- GoDaddy: אישורים לפרויקטי קוד פתוח, תקפים לשנה.
סוג האישור ותקופת התוקף תלויים במקור. רוב הרשויות מציעות תעודות SSL סטנדרטיות בחינם ומחייבות תשלום עבור תעודות EV SSL אם הן מספקות אותן. Cloudflare מציעה תוכניות בחינם ובתשלום ואפשרויות נוספות שונות.
מה לקחת בחשבון בעת קבלתאישור SSL?
Google ממליצה כאן על אישור עם מפתח של 2048 סיביות. אם כבר יש לך אישור של 1024 סיביות חלש יותר, מומלץ לעדכן אותו.
תצטרך להחליט אם אתה צריך דומיין אחד, מספר דומיינים או תעודה כללית:
- תעודה אחת תשמש עבור דומיין אחד (למשל www.example.com).
- תעודת ריבוי הדומיינים תשמש עבור מספר דומיינים ידועים (למשל www.example.com, cdn.example.com, example.co.uk).
- תעודת Wildcard ישמש עבור דומיין מאובטח עם תת-דומיינים דינמיים רבים (למשל a.example.com, b.example.com).
איך אני מתקין אישור SSL?
מארח האינטרנט שלך יכול להתקין אישור בחינם או בתשלום. לחלק מהמארחים יש למעשה אפשרות להתקין את Let's Encrypt ב-cPanel האישי שלהם, מה שמקל על הדברים. שאל את המארח הנוכחי שלך או מצא אחד שמציע תמיכה ישירה עבור Let's Encrypt. אם המארח לא מספק שירות זה, חברת תחזוקת האתר או המפתח שלך יכולים להתקין עבורך את האישור. עליכם להיות מוכנים לכך שתצטרכו לחדש את התעודה לעיתים קרובות מאוד. בדוק מסגרת זמן עם אישור.
מה עוד צריך לעשות?
לאחר קבלת והתקנה של תעודת SSL, עליך לאכוף SSL באתר. שוב, אתה יכול לשאול את מארח האינטרנט שלך, חברת השירות אומפתח לבצע פעולה זו. עם זאת, אם אתה מעדיף לעשות זאת בעצמך והאתר שלך מופעל על ידי וורדפרס, אתה יכול לעשות זאת על ידי הורדה, התקנה ושימוש בתוסף. עם האפשרות האחרונה, הקפד לבדוק תאימות לגרסה שלך של WordPress.
שני תוספים פופולריים לאכיפת SSL: תוסף SSLWP פשוט, SSLSSL מאולץ. הקפד לגבות את האתר שלך והיזהר מאוד כאשר אתה עושה זאת. אם תגדיר משהו לא נכון, עלולות להיות לכך השלכות הרות אסון: מבקרים לא יוכלו לראות את האתר שלך, תמונות לא יוצגו, סקריפטים לא ייטענו, מה שישפיע על אופן הפעולה של חלק מהדברים באתר שלך, כגון טיפוגרפיה וצבעים לא מוצג כראוי. דרך.
עליך להפנות משתמשים ומנועי חיפוש לדפי HTTPS באמצעות הפניות 301 בקובץ.htaccess בתיקיית השורש בשרת. קובץ ה-.htaccess הוא קובץ בלתי נראה, אז ודא שתוכנית ה-FTP שלך מוגדרת להציג קבצים מוסתרים. ב-FileZilla, למשל, עבור אל Server> Force view של קבצים מוסתרים. FileZilla לפני הוספת הפניות מחדש, יהיה זה רעיון טוב לגבות את קובץ ה-.htaccess שלך. בשרת, שנה את שם הקובץ באופן זמני על ידי הסרת הנקודה (מה שהופך אותו לבלתי נראה מלכתחילה), הורד את הקובץ (שנראה כעת במחשב שלך כתוצאה מהסרת התקופה), ואז הוסף את הנקודה בחזרה למה שנמצא בשרת.
שנה הגדרותGoogle Analytics
לאחר השלמת השלבים האלה, עליך לשנות את כתובת האתר המועדפת עליך בחשבון Google Analytics שלך כדי להציג את גרסת ה-HTTPS של הדומיין שלך. אחרת, סטטיסטיקת התנועה שלך יושבת מכיוון שגרסת ה-HTTP של כתובת האתר מטופלת כאתר שונה לחלוטין מגרסת ה-HTTPS של האישור. Google Search Console מתייחס ל-HTTP ול-HTTPS כאל דומיינים נפרדים, אז הוסף אליו חשבון דומיין HTTPS. זכור, כאשר אתה עובר מאישור HTTP ל-HTTPS, אם לאתר שלך יש לחצני גישה מיוחדים, המונה יאופס.
