בכל יום אינספור אנשים גולשים באתרים האהובים עליהם, מתחברים לחשבון המשתמש שלהם ומבצעים רכישות און-ליין. רבים מהם לא מודעים לסכנות הטמונות באתרי אינטרנט לא מאובטחים או לחילופין באתרים מתחזים. כיצד תוכלו לדעת אם אתר האינטרנט בו אתם גולשים שייך לארגון המציג עצמו כבעל האתר? האם יש דרך לבדוק שהתשלומים אכן מתבצעים בצורה מאובטחת ובעזרת תקשורת מוצפנת? פרוטוקול ה- SSL כאן כדי לעזור.
מהו Secure Sockets Layer?
SSL) Secure Sockets Layer) ו- TLS) Transport Layer Security) הם פרוטוקולי אבטחה פופולריים וחשובים של רשת האינטרנט. מטרת הפרוטוקול היא הצפנת התעבורה בין השרת והלקוח ע"מ למנוע ציתות, שינוי או זיוף של המידע. תעודת SSL עובדת בצורה של מפתח ומנעול. בשרת בו מותקנת התעודה נמצא המפתח הפרטי (Private Key) שצריך להישאר סודי ולא לצאת מגבולות הארגון, זהו בעצם "המנעול". התעודה נרכשת דרך רשות האישורים (certificate authority) והתקנתה באתר נקראת מפתח ציבורי. המפתח הציבורי מפורסם לכל ומכיל את פרטי הדומיין ופרטים מסוימים על החברה שהיו קיימים ב CSR (קובץ בקשה אשר מונפק ידנית מהשרת בו תותקן התעודה וכולל פרטים על הדומיין והארגון). כאשר גולש מנסה לגשת לשירות המוצפן (אתר אינטרנט מאובטח, כניסה לשירות דוא"ל ועוד) בעזרת תעודת SSL, יוצג בפניו המפתח הציבורי (באופן לא גלוי). במידה ובשרת אליו הגולש ניגש קיים המפתח הפרטי – התקשורת תוצפן, והגולש יקבל אישור לכך (לדוגמה בדפדפן האינטרנט – יוצג מנעול ירוק).
מהם השלבים לרכישת והתקנת תעודת SSL?
ראשית עליכם לבחור את תעודת ה-SSL המתאימה ביותר עבורכם. תעודות SSL מחולקות לשני סוגים עיקריים: תעודות DV) Domain Validation) ותעודות OV) Organization Validation). תעודות מסוג DV הן תעודות בעלות נמוכה המתאימות למגוון שימושים הדורשים הצפנה סטנדרטית ובד"כ מתקבלות תוך מספר דקות מתום תהליך ההזמנה. תעודות אלה מתאימות לאתרים אשר דורשים הצפנה בסיסית, הכוללים עמודי Login או הרשמה לאתר. תעודות DV יציגו מנעול ירוק, המייצג כי האתר מאובטח והאתר אכן שייך למחזיק הדומיין, עם זאת פרטי הארגון לא יוצגו במאפייני התעודה. מסיבה זו, תעודות DV אינן מיועדות לאתרים הכוללים תשלומים מקוונים והעברת פרטים רגישים. עבור אתרים אלו ההמלצה היא שימוש תעודת OV. תעודות מסוג OV הן תעודות בעלות הצפנה חזקה אתר מיועדות לאתרי אינטרנט גדולים וקטנים הכוללים תשלומים מקוונים והעברת פרטים רגישים. תעודות אלה מציגות את פרטי הארגון בתוך מאפייני התעודה.
- על מנת לרכוש תעודת SSL, יש להנפיק תחילה (Certificate Signing Request (CSR מהשרת בו תותקן התעודה. CSR היא תעודה המכילה מספר פרטים על הדומיין, הארגון אליו מתשייך הדומיין וכולל בתוכו בצורה מוצפנת את ה-Private Key של השרת.
- בעת הזמנת תעודת ה- SSL, המזמין יתבקש לבחור ב- CSR שהונפק מהשרת ולאחר מכן תעודת ה- SSL תונפק עבור השרת הספציפי בו מדובר.
- במידה והוזמנה תעודת SSL מסוג Domain Validation, המזמין יבחר כתובת דואר אלקטרוני אליה תישלח הודעת אימות הזמנה, על מנת לוודא כי למזמין יש גישה לשם הדומיין עבורו הוזמנה התעודה.
- במידה ותעודת ה- SSL היא מסוג Organization Validation, יבוצע אימות מלא מול הארגון עבורו הוזמנה התעודה. האימות כולל שליחת תעודת רישום חברה (במקרה הצורך), אימות טלפוני מול איש הקשר בארגון ואימות השליטה בדומיין. תהליך זה עלול לקחת מספר ימי עסקים.
תעודת ה-SSL שהונפקה תישלח לכתובת הדוא"ל שהוזנה בעת ההזמנה ותכיל את המפתח הציבורי שיש להתקין בשרת, הוראות התקנה ומידע רלוונטי נוסף.
למה צריך את זה?
בימים אלו, אבטחת מידע היא אחד הדברים החשובים ביותר בארגון. בעת כל תקשורת בין הארגון ללקוח והעברת מידע רגיש מאחד לשני, שמירה על סודיות המידע המועבר בין הצדדים היא קריטית. מסיבה זו קובעי הסטנדרטים בשוק (כגון גוגל) פועלות כדי להבטיח שרוב אתרי אינטרנט יפעלו בפרוטוקולי תקשורת מאובטחת (HTTPS). ביולי האחרון הודיעה גוגל כי מנוע החיפוש כרום יציג לגולש אזהרת אבטחה עבור כל אתר ללא תעודת SSL. כך, על מנת לשמור על מקומם במנועי החיפוש, בעלי אתרים נאלצים לרכוש ולהתקין תעודות אבטחה (SSL). זאת ועוד, תעודות SSL דואגות להצפין את נתוני התעבורה בין הגולש לאתר האינטרנט בעמודי התחברות לחשבון משתמש, השארת פרטי התקשרות או תשלומים מקוונים וכך בעצם מגן על המשתמש הסופי מפני פריצות וגניבות מידע. לפרטים נוספים על תעודות SSL ניתן ליצור קשר עם צוות המומחים של דומיין דה נט.
- בניית אתר אפקטיבית – 6 טיפים חשובים - מאי 30, 2022
- אירוח אתרים במסגרת חבילות שונות - מאי 22, 2022
- כל מה שאתם צריכים לדעת על E-mail Marketing - מרץ 28, 2022
