מכירים את מרפי? ההוא מהחוקים, שרק מחכה להזדמנות לשבש משהו, וכשיש אפשרות שמשהו ישתבש – הוא אכן משתבש? ובכן… כשזה נוגע באתרי אינטרנט, היות וחלק גדול מהדברים אינם באחריותכם הישירה ובהשגחתכם, דברים עלולים אכן להשתבש, ולגרום לאותו אתר שבניתם בזיעת אפכם (טוב, נו, בזיעת אפו של בונה האתרים, אבל בואו ולא נתקטנן על כך…) להפוך מאותו אתר חלומות שלכם לסיוט, חלום בלהות אמיתי. אחד הדברים שעלולים להשתבש (או לגרום לשיבוש באתר) הוא תעודת SSL.
מה יכול להשתבש בנושא תעודת SSL?
ישנם דברים רבים שעלולים להשתבש במהלך קניה, התקנה או שימוש בתעודת SSL, אבל הנה הבולטים והבעייתיים בהם:
בחירת תעודת SSL שאיננה מתאימה לאתר שלכם
אנחנו מתייחסים לתעודת SSL כאל מיקשה אחת, אבל האמת היא שישנן רמות שונות של תעודות, המחולקות על פי סוג האימות שלהן, תעודת SSL מסוג Domain Validated Certificate , תעודת SSL מסוג Organization Validated Certificate ותעודת SSL מסוג Extended Validation Certificate, מצד שני, ישנה גם חלוקת תעודות על פי כמות וסוגי כתובות הדומיין המכוסות (וכאן, החלוקה היא לתעודת SSL סטנדרטית ולתעודת Wildcard). צריך לדעת לבחור את התעודה הנכונה, המתאימה לאתר שלכם, לצרכיו ולמטרות התעודה.
הודעות שגיאה פתאומיות
לעיתים, כאשר תעודת SSL איננה מותקנת כהלכה, איננה תקינה או איננה תואמת לצורך, קישורים פנימיים שאינם מכוסים על ידה, עלולים להקפיץ הודעות שגיאה לגולשים. זו עשויה להיות תמונה, או קובץ פנימי באתר, בכל מקרה – רושם טוב, זה לא עושה על הגולשים.
שינויים בהגדרות ובתקינה
בתחילת שנת 2016, התעוררו בעלי אתרים רבים וגילו, כי למרות שרכשו תעודות SSL, הם אינם נחשבים למוגנים מפני סיכוני האבטחה, וכי, למעשה, תעודות ה-SSL שבידיהם, אינן שוות הרבה. על סאגת SHA-2 ו- SHA-1, תוכלו לקרוא בהרחבה במאמר – בעלי תעודות SSL (מסוג SHA-1) אינם מוגנים מפירצות אבטחה!
פריצה למאגרי המידע של חברת הרישוי, המנפיקה את תעודות ה-SSL
כן, גם אם חשבתם שזה לא יכול לקרות, זה אכן קרה!
באוגוסט 2011, הרבה לפני גל המודעות הגדול לחשיבותו של ה-SSL, והרבה לפני שגוגל הפכה אותו לאינדיקציה לרצינותם ומהימנותם של אתרים, פרץ האקר איראני למאגרי חברת הרישוי ההולנדית DigiNotar וגנב משם מעל ל-500 תעודות SSL. ההתנערות מהחברה שנפרצה הייתה מיידית והמונית: מיקרוסופט הוסיפה מיידית לרשימותיה השחורות את כל התעודות מבית DigiNotar, בהכריזה על כולן (כולל הלגיטימיות) כ"לא מאובטחות", מוזילה וגוגל, אף הן החרו-החזיקו אחריה, פרויקט TOR שמטרתו הגנה על אנונימיות הגולשים המליץ על דחיית תעודותיה, ואפילו חברת-האם של DigiNotar, ואסקו, מיהרה להודיע כי מדובר בתשתיות טכנולוגיות נפרדות, וכי לפריצה ל- DigiNotar אין שום קשר, נגיעה או השפעה, על פעילותה של ואסקו. בספטמבר 2011, פשטה DigiNotar את הרגל רשמית, וכמובן, שהאתרים שרכשו תעודות SSL ממנה, נאלצו להתמודד עם ההשלכות.
לסיכום
שוק תעודות ה-SSL הוא שוק מתפתח, אשר כמו בכל תחום, ניתן למצוא בו חברות רישוי רציניות יותר וכאלה שאינן רציניות. המחיר, למרות היותו פקטור משמעותי בעסקים, איננו צריך להיות הקריטריון היחיד לבחירה בתעודה זו או אחרת או בחברה זו או שנייה. בחרו בתבונה והגנו על לקוחותיכם- הגולשים לאתרכם.
מספקת קשת רחבה של פתרונות אינטרנט ופתרונות הגנת מותג דיגיטליים.
- יש לכם אתר וורדפרס? זה הזמן לנקות אותו כהלכה! - אפריל 10, 2022
- אחסון אתרים בישראל או אחסון בחו"ל – האם יש הבדל? - ינואר 19, 2022
- איחסון לינוקס או Windows? - ינואר 15, 2022
