SSL הוא תקן אבטחה שנועד לוודא שמידע שעובר בין המחשב של הגולש לבין השרת מאובטח באמצעות הצפנה מתאימה, ולכן יהיה ניתן לפענח אותו רק בשתי נקודות הקצה. כלומר, גם אם מישהו יצליח לשים את ידיו על המידע הזה, לא יהיה לו את המפתח המתאים בשביל לפענח אותו.
נתחיל מההתחלה: למה בכלל צריך SSL באתר?
התקן עצמו לא חדש, אבל בשנים האחרונות החשיבות שלו עולה מכיוון שגוגל מעודדת עוד ועוד אתרים להשתמש בו. בשנה האחרונה גוגל גם מזהירים באמצעות הדפדפן על אתרים שלא משתמשים בתקן בכך שהטפסים בהם אינם מאובטחים – כן, לא רק באתרי מסחר אלא בכל אתר שמכיל טפסים למעשה.
אתר שמשתמש בתקן יהיה בעל הקידומת HTTPS במקום HTTP ובחלק מן הדפדפנים הוא יהיה מסומן בסימון מיוחד של מנעול נעול. אגב, אם שמעתם על תקן TLS, מדובר למעשה על גרסה חדשה יותר של תקן SSL, אבל העיקרון זהה.
מבחינת קידום אתרים, לאתרים שמשתמשים בתקן יש יתרון מסוים לעומת אתרים שלא. מהנסיון שלי, היתרון הזה עדיין לא כל כך מורגש, אבל (כמעט) כמו כל דבר שגוגל חופרים עליו – אני ממליץ ליישר קו. בנוסף, לא מן הנמנע שבעתיד הלא רחוק זה יהפוך לסטנדרט עולמי, כמו למשל שהיום להקים אתר רספונסיבי זה Must. עם הזמן גם סיכוי טוב שזה יקבל בוסט קצת יותר משמעותי מבחינת הקידום.
ישנם גם מצבים שבהם האתר אמנם תומך בתקן SSL, אבל התעודה שלו לא בתוקף. אם אתם חושדים שזה המצב, פתחו את כלי הפיתוח של כרום בעזרת F12, לחצו על שני החיצים הכפולים למעלה ובחרו בלשונית אבטחה. כאן תוכלו לראות מהו סוג התעודה והאם היא בתוקף.
האם זה באמת מאבטח לי את האתר?
תכלס, לא ממש. זה בעיקר לאבטחת התקשורת בין הגולשים לשרת. האתר עדיין יוכל להיפרץ כמובן. בשביל אבטחת אתרים צריך אחסון חזק ומאובטח, וכן לבצע כל מיני פעולות הקשחה בשרת ובאתר עצמו. למידע נוסף כתבתי מדריך מקיף על אבטחת אתרי וורדפרס (אך רלוונטי גם להרבה אתרים באופן כללי).
איך משתמשים ב – SSL?
על מנת להשתמש ב-SSL, צריך לרכוש תעודת אבטחה מאחת מחברות האבטחה שמתעסקות בזה או ישירות דרך האחסון. דרך ההתקנה משתנה מאחסון לאחסון – יש חברות אחסון אתרים שמאפשרות להתקין תעודת SSL ישירות בפאנל ניהול (כמו uPress למשל), יש כאלו שמאפשרות לעשות את זה דרך ה-cPanel ויש מקרים בהם צריך לרכוש תעודת SSL חיצונית, ולעבור תהליך טיפה יותר מסורבל של לחבר אותה לאחסון.
כאמור, ההתקנה מתבצעת בדרך כלל דרך תוכנת הניהול של השרת, אם התעודה היא תעודה שנקנתה, יש קודם כל להגיש בקשה (CSR) ורק לאחר מכן להתקין את התעודה. בדרך כלל תוכלו למצוא באתר של חברת האחסון מדריך שמסביר איך לעשות זאת.
התקנתי תעודת SSL – מה עכשיו?
לאחר התקנת התעודה – יהיה אפשר לגשת מיידית לכל כתובת באתר עם הקידומת https (אם תנסו לעשות את זה בלי SSL מותקן, תקבלו אזהרה מהדפדפן). אבל, לא מספיק שאפשר לגשת – יש לבצע הפניה גורפת של כל כתובות האתר לגרסת ה https, שהיא מעכשיו הגרסה המועדפת. אלו השלבים שיש לפעול בהם לאחר התקנת התעודה:
1. עדכון מסד הנתונים
בשלב זה מומלץ להחליף את כל הקישורים הפנימיים לקישורים עם HTTPS. ברוב התוכנות לניהול מסד הנתונים כמו למשל phpmyadmin יש אופציה של חיפוש והחלפה. בחלק מחברות האחסון אפשר לעשות את זה גם ישירות בפאנל (Search & Replace). אם אתם עובדים על וורדפרס, יש גם תוספים שמאפשרים לעשות את זה אבל זה מיועד רק למשתמשים בעלי נסיון ובכל מקרה אני ממליץ בחום לעשות גיבוי לפני כן.
היה ואתם משתייכים לקבוצה נדירה של אתרים סטטיים ללא מערכת ניהול – יש לבצע את הסיפור הזה ידנית.
2. הפניות 301 ברמת השרת
בנוסף לכל השינויים ברמת האתר, יש גם לבצע הפנייה מסוג 301 שתפנה כל עמוד לגרסת ה- HTTPS שלו – כי מעכשיו זאת הגרסה הדיפולטיבית שהאתר צריך לרוץ עליה. ההפניות גם מעבירות תמיד את הגולש לגרסה הנכונה, גם את גוגל – וגם דואגות שהג'וס של הקישורים יעבור הלאה לגרסה המאובטחת של כל עמוד באתר. בנוסף, במידה ויש לנו (וסביר שכן) קישורים חיצוניים שמפנים לגרסה הישנה – ההפניות ברמת השרת ידאגו שהכח שלהם לא ילך לאיבוד.
אם אתם מאחסים על שרת Apache, אפשר לעשות זאת בקלות באמצעות קובץ ה-.htaccess בצורה הזו (החליפו את example.co.il בכתובת האתר שלכם):
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.co.il/$1 [R,L]בכל מקרה בשלב זה מומלץ להיעזר במתכנת או חברת האחסון.
לאחר שזה בוצע מומלץ לעשות בדיקה ולהיכנס לכתובת כלשהי באתר ללא https. אם הופנתם לגרסת https – השלב הזה בוצע כמו שצריך.
3. עדכון תמונות, קבצי תבנית וסקריפטים באתר
לפעמים יש לנו קבצי עיצוב או JS מותאמים אישית. יש לוודא שכולם רצים על https בצורה תקינה. גם שלב זה מומלץ לעשות בעזרת איש טכני.
מי שעובד על וורדפרס יכול להעזר בתוספים כמוReally Simple SSL שחוסך לכם את הכאב ראש הזה.
4. תגי קנוניקל
תגי קנוניקל שמפנים לעמוד עצמו או לעמוד אחר באתר צריכים גם כן לעבור שינוי לכתובת עם HTTPS על מנת שגוגל לא יחשיב את הכתובת הישנה בתור העמוד המקורי. בדרך כלל ההגדרות האלו גם כן מאוחסנות במסד הנתונים, אבל חשוב לבדוק שהשינוי בתגי קנוניקל עבר כמו שצריך על ידי צפייה בקוד לאחר מכן.
5. קונסולת החיפוש (כלי מנהל האתרים)
בתוך קונסולת החיפוש יש לפתוח פרופיל חדש עבור האתר עם הקידומת https. מבחינת גוגל מדובר כביכול ב-2 אתרים שונים ואתם תראו נתונים שונים מבחינת קישורים, חשיפה של ביטויים ונתונים אחרים. אפשר לשמור את הפרופיל של האתר הישן עד שהמעבר יושלם באופן סופי, מה שיכול לקחת שבועות או אפילו חודשים באתרים גדולים במיוחד.
6. עדכון בגוגל אנליטיקס
גם את גוגל אנליטיקס צריך לעדכן במעבר. במקרה הזה מדובר בעדכון פשוט מאד שלוקח 2 שניות מקסימום. נכנסים לפרופיל של האתר באנליטיקס ומעדכנים את הקידומת של האתר ל https. בתכלס, אף פעם לא הבנתי למה זה טוב, כי האנליטיקס יספור יופי את הנתונים גם בלי זה. אבל בשביל פעולה שלוקחת זמן נשימה – למה לא בעצם?
מה שצריך לעשות זה להיכנס לפרופיל הרלוונטי באנליטיקס, נכנסים לאזור האדמין -> Property Settings ושם משנים את הקידמות.
אבטחה ו-HTTP/2
תקן HTTP/2 הוא תקן חדש יחסית לאתרי אינטרנט שמהווה שיפור של התקן הקיים (HTTP 1.1) ואמור לפתור מספר בעיות נפוצות ולהפוך את הטעינה של אתרים למהירה יותר בלי שינוי בתשתית או ברוחב הפס. למרות שמבחינת התקן שלו, אין חובה להצפין את המידע שעובר דרך הפרוטוקול, רוב הדפדפנים הקיימים לא תומכים בו כאשר המידע אינו מוצפן.
אוקיי, התקנתי תעודת SSL ועברתי ל https בהצלחה – מה עכשיו?
אנשים מסוימים מפחדים מהמהלך הזה מתוך חשש שזה יפגע במיקומים של האתר. הכצעקתה?
בעקרון, אם עושים הכל לפי הספר, אין סיבה אמיתית לחשוש. נכון שאין 100% בדברים האלה ואי אפשר להבטיח תמיד שהכל יעבור חלק, אבל ברוב המקרים, מנסיוני – עדכונים כאלה עוברים בלי בעיה ומקרים מסוימים אף יש בוסט קטן במיקומים לאחר המעבר.
השלב הבעייתי ביותר הוא הכמה ימים / שבועות הראשונים לאחר המעבר – שלב שבו גוגל סורק ומאנדקס את 2 גרסאות האתר (http+https) במקביל, מה שיכול ליצור זעזועים במיקומים – אם כי ברוב המקרים מדובר בזעזועים זמניים בלבד.
אצלי למשל, לאחר מעבר ל https (מתישהו במהלך 2017) עמוד הבית שלי נעלם לחלוטין מגוגל למשך יום-יומיים לסירוגין (פעם הופיע במקום הראשון ופעם בכלל לא).
במקום להתעלף מפאניקה ניחשתי שזה קשור למעבר ל https ונתתי לזה כמה ימים ואכן זה הסתדר.
לסיכום – האם לעבור ל https?
להבדיל מטכנולוגיות ושדרוגים אחרים שגוגל דוחפים אליהם (כמו AMP למשל), לגבי SSL אני חושב שזה משהו בלתי נמנע וממליץ לכל אתר להתחיל לקדם בנושא, במידה וטרם ביצע זאת. באתרים חדשים אני כבר אוטומטית מתקין SSL – גם באתרי תמיכה המצ'וקמקים ביותר.
אם הבנתם את החשיבות של העניין ואתם חוששים לעשות את זה לבד – קחו איש מקצוע, מתכנת או מקדם אתרים שכבר התנסה בכמה וכמה מעברים כאלה.
בהצלחה 🙂
היו חברתיים!
אהבתם? במידה ותירצו לקבל ממני עדכונים עתידיים ישירות לפיד שלכם אתם מוזמנים לעשות לי לייק בפייסבוק או לעקוב אחריי בגוגל+. נשתמע!
[contact-form-7]The post התקנת תעודת SSL ומעבר לאתר מאובטח עם קידומת https appeared first on דניאל זריהן.