Secure Your Website With SSL
מה זה SSL?
SSL (Secure Socket Layer) הוא פרוטוקול אבטחה שפותח על ידי חברת נטסקייפ, והפך לטכנולוגיית האבטחה הסטנדרטית לקישור מוצפן בין שרת אינטרנט לבין המחשב, המתקשר עם שרת זה והמכונה דפדפן. אבטחה ואמון הינם אלמנטים הכרחיים בהפעלת עסק מקוון. בימים בהם רואים יותר ויותר התקפות דיוג (Phishing) וגנבת זהות, הלקוחות סומכים עליך לאבטח את המידע הרגיש, שנשלח באמצעות האינטרנט, ברמת ההצפנה הגבוהה ביותר שקיימת ומספקי האבטחה האמינים ביותר. הפרוטוקול עושה שימוש בגורם מאשרCertification Authority) CA ) צד שלישי, בכדי לזהות קצה אחד או את שני הקצוות של הטרנזקציה. טכנולוגיית SSL מוטמעת בכל הדפדפנים הפופולריים, ומשמשת מיליוני ספקים עסקיים מקוונים (e-Business) לצורך הגנה על לקוחותיהם,
על מנת לוודא עסקאות מקוונות בטוחות, ושמירת חיסיון העברת מידע רגיש.
קל לדעת מתי השרת עושה שימוש באבטחת SSL, בכך שכתובת ה-URL בחלון הדפדפן מתחילה בhttps -, כאשר ה-“S” מציין חיבור מאובטח.
איך זה עובד?
בקשת דף מאובטח (https://) על ידי הדפדפן.
שרת האינטרנט שולח את המפתח הציבורי (public key) עם ה-אישור (certificate) המשויך.
הדפדפן בודק שהאישור הונפק על ידי גורם מהימן (בדרך כלל רשות אישורים אמינה), שהאישור עדיין בתוקף וכמו כן, שהוא אכן קשור לאתר המבוקש.
בשלב שלאחר בדיקה זו, עושה הדפדפן שימוש במפתח הציבורי, בכדי להצפין מפתח הצפנה סימטרי, אקראי ושולח אותו לשרת עם כתובת האתר המוצפנת, כמו גם את שאר נתוני ה-HTTP המוצפנים.
שרת האינטרנט מפענח את מפתח ההצפנה הסימטרי, באמצעות המפתח הפרטי שלו ומשתמש במפתח הסימטרי בכדי לפענח את ה URL ונתוני ה-HTTP.
שרת האינטרנט שולח בחזרה את מסמך ה-HTML המבוקש ונתוני ה-HTTP המוצפנים עם המפתח הסימטרי. הדפדפן מפענח את נתוני ה-HTTP ומסמך ה- HTML, באמצעות המפתח הסימטרי ומציג את המידע.
לאחר שלמדנו את אופן פעולתו העקרוני של פרוטוקול SSL, ראוי להדגיש שהוא אינו פועל בתחום של מניעת עבירת הריגול, באתר שלנו, אלא מניח באופן פסימי שריגול כזה מתקיים או עלול להתקיים, בכל רגע נתון ולפיכך, מנסה להבטיח שתוכן ה”שיחה” הזולג יישאר בלתי מפוענח עבור כל צד שלישי, שלא אושר. הפעולה הנה, איפה, פעולה של הצפנת מידע ולא של מניעה.
מה הוא אישור SSL?
על מנת להיות מסוגלים להשתמש בפרוטוקולSSL , שרת האינטרנט מחייב את השימוש באישור SSL.
כאשר תבחרו להפעיל SSL בשרת האינטרנט שלכם, תתבקשו לענות על מספר שאלות לגבי הזהות של אתר האינטרנט שלכם ושל החברה.
אישור SSL הוא קוד קצר בשרת האינטרנט שלכם, המספק אבטחה לתקשורת באינטרנט. ניתן להשוות זאת להטבעת חותם על מעטפה קודם שליחתה בדואר. כאשר הדפדפן מתחבר לאתר מאובטח, הוא ישלוף את אישור ה-SSL של האתר ויבדוק שלא פג תוקפו, שהוצא על ידי גורם מאשר המהימן על הדפדפן וכי הוא בשימוש על ידי אתר האינטרנט, שלשמו הופק. אם אחת מהבדיקות הללו נכשלת, אזי הדפדפן יציג אזהרה למשתמש הקצה, ליידוע כי האתר אינו מאובטח באמצעות SSL.
בדרך כלל, אישור ה-SSL יכיל את שם הדומיין, שם החברה, כתובת, עיר, ומדינה. האישור יכלול, בנוסף, תאריך תפוגה ופרטי הגורם המאשר, האחראי על הנפקתו.
אישור SSL מייצר אמון, מאחר שהוא מכיל מידע מזהה. בכל בקשת אישור SSL, צד שלישי המשמש כ-Certification Authority (CA), כגוןThawte ,GeoTrust, , אוVerisign , מאמת את המידע המזהה של הארגון ומפיק אישור ייחודי, עבור ה”מבקש”, עם מידע זה.
הצרכנים למדו לשייך את אייקון “מנעול הזהב”(golden padlock) , שמופיע בתוך תצוגת הדפדפן שלהם, כסימן של אמון באתר האינטרנט. עם הקלקה על אייקון המנעול, יוצג אישור ה-SSL שלכם, כולל פרטים אודותיו. אישורי SSL מונפקים הן לחברות והן ליחידים, הרשומים כעסק.
עובדה פשוטה זו, מספקת לעסקים מקוונים את ההזדמנות למנף את רמת האמון המוגברת ולהפוך את המבקרים באתר ללקוחות משלמים.
מה היא רשות האישורים (Certificate Authority)?
אישור SSL מהווה מכתב המלצה בעולם המקוון. כל אישור SSL מזהה, באופן ייחודי, את הדומיין הספציפי; לדוגמא, eDomain.co.il)) ואת שרת האינטרנט. האמון, באישור, תלוי באמון בארגון שהנפיק אותו.
לרשויות האישורים יש מגוון של שיטות לאימות המידע, המסופק על ידי יחידים או ארגונים. רשויות אישורים מכובדות, כגון Thawte ,GeoTrust ,Verisign אוRapid SSL , נחשבות ידועות ומהימנות על ידי ספקי הדפדפנים.
אימות, משמעותו שצד שלישי אמין מאמת את המידע המזהה, הכלול באישור ה-SSL ומבטיח ללקוחות כי האתר, שאליו נכנסו ובו הם מעוניינים לבצע טרנזקציה כספית מסוימת, או להעביר מידע מסווג כלשהו, הוא אכן האתר המבוקש על ידם (ולא אתר “מתחזה”).
חששות לגבי הונאה וגנבת זהות גרמו למשתמשים לחשוש לחלוק מידע אישי עם אתרים לא מוכרים.
מדוע אני צריך SSL?
אישור SSL מבטיח פרטיות בביצוע פעולות on-line מקוונות, כגון טרנזקציות כספיות, למרות היותן מבוצעות ומועברות באמצעות רשת האינטרנט הציבורית. על ידי כך, הוא מסייע ללקוחותיכם לקבל את הביטחון הדרוש להתנהלות, באתר האינטרנט שלכם.
אם תבקשו ממשתמשי אתר האינטרנט שלכם להתחבר ולהזין פרטים אישיים, כגון מספרי כרטיסי אשראי, לשם ביצוע פעולת רכישה מקוונת, מהאתר, או אם תציגו מידע סודי כגון הטבות בריאותיות או פרטי חשבונות כספיים, יהא עליכם להבטיח ללקוחות פרטיות, כמו גם, לעזור להם לוודא כי אתר האינטרנט שלכם הוא אותנטי ומאובטח. בנוסף, משמש SSL גם עבור שרתי דואר אלקטרוני, יישומים מבוססי אינטרנט, תקשורת שרת-מול-שרת, ניהול דפים עסקיים בפייסבוק ועוד.
מה הוא CSR (Certificate Signing Request)?
לפני שתוכלו להזמין אישור SSL , יהיה עליכם ליצור, ראשית, CSR (בקשת חתימה לאישור SSL) על השרת.
CSR הוא טקסט מוצפן, המשמש כמפתח ציבורי, שמופק על השרת, על פי הוראות תוכנת השרת שלכם. ה-CSR דרוש לצורך תהליך ההרשמה, לקבלת אישור SSL, מאחר שהוא כולל אימות מידע ספציפי על שרת האינטרנט שלכם, ושל הארגון. ה- CSR יכיל מידע מקודד ספציפי לחברה שלכם ולשם הדומיין. מידע זה נקרא Distinguished Name, או DN.
ה- DN כולל, ברוב השרתים, את השדות הבאים: מדינה, (מחוז אם קיים), יישוב (או עיר), הארגון, היחידה הארגונית, והשם המקובל.
בשנים האחרונות נוסף ממד בלתי מבוטל לצורך בהתקנת SSL, גם, באתרים שבהם לא מתבצעת גביית כסף באמצעות כרטיסי אשראי; הרחבה זו, לכל אתר, הנה לנוכח הכרזותיו של גוגל, לפיהן SSL הנו רכיב משמעותי במוניטין האתר. למעשה, מזה מספר שנים שגוגל מחשיבה את ה- SSL (הניתן לזיהוי במבנה הכתובת: https://example.com), שיש לכם באתר כסיגנל תומך בשיפור הדירוג, של האתר, בתוצאות החיפוש.
רמות שונות של הצפנה
הצפנה היא תהליך מתמטי של קידוד ופענוח מידע, כאשר מספר הסיביות (40-bit, 56-bit, 128-bit, 256-bit) קובע את גודל המפתח. כמו בסיסמא ארוכה יותר, כך במפתח גדול יותר, מספר הצירופים האפשריים רב יותר; למעשה, הצפנת 128-bit היא פי מיליארד יותר חזקה מהצפנה של 40 ביט. חוזקו של תהליך הצפנה נקבע על ידי יכולת דפדפן האינטרנט, אישור ה-SSL, שרת האינטרנט, ומערכת ההפעלה בצד הלקוח.
ולידציה של שם הדומיין (Domain Validation – DV)
אישורים אלה מונפקים מהר מאוד. על הבעלים או מנהל האתר, של שם המתחם, לאשר את הבקשה באמצעות אימייל. בזמן ההזמנה, יש לשלוח את כתובת הדואר האלקטרוני לאישור, שאותה ניתן לבחור מתוך מגוון כתובות דואר אלקטרוני סטנדרטיות כגון: administrator@yourdomain.com ,ssl@yourdomain.com וכיו”ב, או את כתובת הדואר האלקטרוני המופיעה תחת פרטי ה-WHOIS , של שם הדומיין.
זהו תהליך פשוט מאוד ותוכלו, כאמור, להשיג את האישור תוך זמן קצר מאוד.
ולידציה של הארגון (Organization Validation – OV)
זהו אישור אמין יותר עם אחריות גבוהה יותר מאשר אישורי ה- Domain Validation.
ה- OV SSL Certificate מהווה את הבחירה הטובה ביותר עבור אתרי מסחר אלקטרוני, אתרים עם תעבורה גבוהה, או רשתות עם דרישות אבטחה קפדניות. אישור זה מחויב, אם אתם מצפים שהמשתמשים שלכם ייתנו אמון בלשתף עם האתר מידע רגיש או חסוי. בעת הזמנת אישורOV SSL , החברה או הארגון ייבדקו על פי מקורות חיצוניים שונים. אנו ניצור עם הארגון שלכם קשר טלפוני, לפי מספר הטלפון, המופיע ברשומות ונשוחח עם איש קשר, כפי שמסרתם בעת מילוי ההזמנה. פרטי החברה או הארגון יירשמו, לאחר מכן, באישור ה- SSL; אישורים אלו מגיעים עם חותם “smart” של אתרים, אשר אמור להעניק למשתמשים שלכם בטחון נוסף.
ולידציה מורחבת (Extended Validation – EV)
ולידציה מורחבת(EV SSL) משדרת ללקוחות, מידית, באמצעות הפעלת הסרגל הירוק המופיע בכתובת הדפדפן, שהאתר שלכם בטוח, אמין ושאתם חברה אותנטית. אם אתם מעוניינים בחוויית ההצפנה הגבוהה ביותר, בתעשייה ובקבלת אישור ה- SSL המהימן ביותר, מן הראוי שתבחרו בוולידציה המורחבת. אישורSSL, עם ולידציה מורחבת (EV), דורש ממנפיק תעודת ה- SSL לוודא, באופן עצמאי, את המידע לגבי העסק של המבקש. ה- EV אשר הוצג לראשונה, בתחילת 2007, דורש בדיוק את מה שמציין שמו – אימות נרחב יותר של עסק המבקש, בכדי להבטיח שהמבקש אינו מתחזה (Phisher), רמאי (Spoofer), או כל סוג אחר של פושע מקוון. עם זאת, תעודות EV אלה זמינות לחברות או עמותות, שאינן מאוגדות כחברות, שותפויות כלליות, בעלויות פרטיות וסוכנויות ממשלתיות.
כיום, מעל 1/3 מהמבקרים באתר שלכם משתמשים בדפדפן התומך ב- EV SSL, כולל IE 11 ו-Firefox 12 .
דפדפנים אלה מציינים לגולשים, באמצעות נוכחות הסרגל הירוק ליד הכתובת, שאתם אמינים.