SSL או HTTPS מה זה, ולמה צריך את זה.

SSL הוא רשיון הצפנה לתעבורה בין האתר והגולש.

גלישה באתר מוגן SSL

HTTPS הוא פרוטוקול התקשורת שבו נשתמש על מנת שהתעבורה ביננו לבין האתר תהיה מוצפנת לדומא: https://www.bitanet.co.il  להבדיל מפרוטוקול HTTP שאנחנו משתמשים בו שלא חשוב שהתעבורה תהייה מוצפנת, ואז נגלוש ל- http://www.bitanet.co.il. 

למה צריך להצפין את התעבורה?
ובכן יש בעולם הרבה קבוצות של אנשים שהם לא אנשי שלומינו. והם מנסים בשביל יוקרה, בשביל נקמה בישראל, בשביל להראות שהם יכולים או מכל סיבה אחרת, לפרוץ לאתרים שלנו ולשבש את פעולתם, או בכדי לאסוף את בסיס המידע הקיים באתרים של אנשים כתובת מיילים ופרטים פיננסים.
וכשהאתר מוגן טוב אז יש שיטה נוספת שלא כוללת פריצה פיזית לאתר בכדי לאסוף נתונים והיא להריץ תוכנה חכמה שכל מה שהיא עושה זה ל"האזין לרשת" ו"מקליטה" את התעבורה בין האתר שלנו לגולשים ומפענחת את המידע המוקלט ואם התעבורה לא מוצפנת הם מקבלים את כל המידע שאנחנו מעבירים לאתר(כולל כרטיסי אשראי, ת.ז ועוד)  גלוי בלי להתאמץ.
בדיוק בשביל זה שמים SSL שמצפין את התעבורה והתוכנות האלה ש"מאזינות לרשת" מקבלים ג'יבריש במקום המידע שהם רוצים. 

טוב עכשיו למה זה חשוב? או כמו שאומרים לי הרבה בעלי אתרים עזוב בחייך אני בעל אתר תדמיתי את מי מעניין המידע בין הגולשים שלי לאתר?
שאלות טובות שהתשובה עליהם בקיצור היא "גוגל".

גוגל החליטה לפני כשנתיים שהיא מעודדת פרטיות, וכל אתר שישתמש ב- SSL יסומן כבטוח ויקודם יותר מאתרים שאינם בטוחים.
אני מאמין שאף האקר לא מעונין בפרטי הגלישה של מי שנכנס לאתר תדמיתי ולוחץ על המספר הטלפון או שולח מייל מהאתר.
SSL היה מיועד במקור לאתרים בהם יש הכנסת פרטים פיננסיים כגון מספר חשבון בנק, פרטי כרטיס אשראי וכו',
על ידי השימוש ב- SSL הצפינו את התעבורה בין הגולש לאתר וכך מי ש"האזין לרשת" לא יכל לאסוף את הפרטים הנ"ל בזמן שהם הועברו.
בהתחלה ה- SSL הוגדר לדפים אלו בלבד, עם הזמן הוסיפו גם את הדפים בהם נרשמים לאתר או מכניסים פרטים אישיים.
גוגל לקח את זה צעד נוסף קדימה וקבע שכל אתר שיש בו תיבה שניתן להקליד בה יחוייב ב- SSL, וסימן את כל האתרים שלא השתמשו ב- SSL כ"אתר לא בטוח" והזהיר את הגולשים מפני האתרים הנ"ל כך שבפועל גוגל לא השאיר ברירה לאתרים אלא להצטייד ב- SSL.

עדכון למאמר,(09/01/2024)
כפי שכתבתי בעבר הסטנדרט הוא כל אתר שלא מצויד ב- SSL מסומן כאתר לא בטוח ומוצג דף מקדים שמזהיר את המשתמש, ובכדי לעקוף את האזהרה ולהגיע לאתר צריך ללחוץ על "המשך בכל זאת", שמן הסתם מרבית הגולשים לא יעשו זאת אלא יצאו מהאתר.
חלק מהחברות הבונות אתרים נותנות את ה- SSL כחלק מהשרות וחלק לא ונדרש לרכוש את זה בנפרד בכל מקרה זה חלק בילתי נפרד ממעטפת האתר וחייבים לוודא שיש לנו אותה. 

תגובות