תעודות SSL

כולנו שואפים להגיע למצב בו כל הפעולות שנבצע ברשת האינטרנט תהיינה בטוחות מפני אפשרויות בלתי חוקיות של גניבת זהות, גניבת פרטי כרטיס האשראי ובכלל, חדירה לפרטיות. אחת הדרכים להגיע לכך שתעבורת המידע בין אתר אינטרנט לבין הגולשים בו מוצפנת, הינה באמצעות שימוש בתעודת SSL עבור הדומיין תחתיו פועל אתר האינטרנט. SSL הוא ראשי התיבות של Secure Socket Layer ותפקידו ליצור הצפנה לכל תעבורה של מידע העובר בין האתר לגולש ובין הגולש לאתר באמצעות פרוטוקול HTTPS (התוספת S בצמוד ל- HTTP מציינת “Secure”). את תעודת ה- SSL רוכשים מגופים מוסמכים אשר מנפיקים את פרטי התעודה, אותה יש להתקין באמצעות פאנל ניהול אחסון האתר. לאחר התקנת תעודת ה- SSL יוצג דומיין האתר עם הקידומת Https ובשורת ה- URL בדפדפן ניתן יהיה לראות צלמית של מנעול המציינת גם היא כי האתר מוגן ב- SSL חוקי ובר תוקף.

תעודת SSL מורכבת ממפתח הצפנה ציבורי ומפתח הצפנה פרטי אשר פועלים ברמת שרת האחסון ובין האתר לגולש או למשתמש הרשום בו. כתוצאה מהשימוש במפתחות הצפנה אלו, המידע המועבר בין האתר לגולש ניתן לפענוח רק על ידי שניהם, כאשר צד שלישי המנסה לבצע יירוט של תעבורת המידע או “לצוטט” לתעבורת המידע על מנת לגנוב את תכניה, לא יוכל לעשות בו כל שימוש מכיוון שאין בידיו את מפתחות ההצפנה המיועדים לשם פענוח המידע העובר בין האתר לגולש.

לשימוש בתעודת SSL קיימות משמעויות רבות המשפיעות לא רק על אבטחת המידע של האתר ושל המשתמשים בו, אלא גם על גורמים חיצוניים כגון מנוע החיפוש גוגל, אשר לצורך הגברת הביטחון של הגולשים ברשת, מעניק דירוג טוב יותר לאתרי אינטרנט אשר משתמשים בתעודת SSL, על פני אתרים אחרים באותן תוצאות חיפוש אשר אינם משתמשים בתעודת SSL. כתוצאה מכך, ניתן לומר כי אתרים מאובטחי SSL יזכו לכניסות רבות יותר כיוון שיעלו גבוה יותר בתוצאות החיפוש ויחס ההמרה באתרים מאובטחי SSL יהיו גבוהים יותר מביוון שהגולשים והמשתמשים הרשומים בהם ירגישו בטוחים יותר להעביר מידע באתר. בנקודה זו חשוב לציין כי גם תעודת SSL חינם (Lets Encrypt) אשר אינה מזוהה ויזואלית עם גוף מסחרי האמון על מכירת תעודות SSL – הינה בעלת אותה משמעות של אבטחת מידע עבור בעלי האתר ובעבור הגולשים בו. יחד עם זאת, חשוב גם להבין כי תעודת SSL אשר נרכשה מגורם מוסמך והופעלה עבור הדומיין תחתיו פועל אתר האינטרנט, תאפשר לגולשים ולמשתמשים הרשומים באתר להיות בטוחים מעבר לכל ספק כי המידע שהם מעבירים דרך האתר לא רק מוצפן, אלא גם יגיע באופן וודאי לגוף שאליו הם מתכוונים להעביר את המידע. זהו יתרון האותנטיות (Authentication) של השימוש בתעודת SSL מטעם גוף רשמי על פני תעודת SSL חינם.

נשאלת השאלה אם כן, מדוע לא משתמשים כל אתרי האינטרנט בעולם בתעודות SSL? קיימות שתי תשובות אפשריות לשאלה זו: 1. תעודות SSL ממקור רשמי ומוסמך ניתנות לרכישה בעלות כספית די גבוהה, כאשר כל שנה יש לחדש את תעודת ה- SSL על מנת להמשיך להשתמש בה. כמו כן, על מנת להפעיל תעודת SSL יש לרכוש כתובת IP קבועה עבור הדומיין תחתיו תפעל התעודה. לכתובת IP קבועה קיימת גם כן עלות חודשית או שנתית ועלות זו מצטרפת לעלותה של התעודה. 2. תעודת SSL יוצרת למעשה שלב נוסף של תעבורת מידע בין שרת אחסון האתר לבין הגולש (שלב הנקרא “לחיצת יד” מאובטחת SSL), עובדה העלולה לגרום להאטה מסוימת במהירות הטעינה של האתר (בייחוד כאשר האתר מקבל תנועה גדולה של מבקרים). אין די בשתי הסיבות הללו על מנת להימנע משימוש בתעודת SSL ושתי הסיבות הללו יחדיו זניחות לעומת היתרון העצום של בעלי האתר ומשתמשי אתר הפועל תחת SSL. שימו לב בתמונת המסך הבא לאופן הנראות של תעודת SSL רשמית ומוסמכת – עלות כספית והאטה יחסית קטנה בזמן טעינת האתר הם זניחים לעומת תועלת השימוש בתעודת SSL:

רוב תעודות ה- SSL מונפקות לרוכשים תוך זמן קצר, אולם על מנת להתקין תעודת SSL בשרת אחסון האתר, יש להקפיד על ביצוע מספר שלבים ועל דיוק הביצוע בכל שלב ושלב. תחילה יש לגשת לפאנל ניהול אחסון האתר אשר סופק על ידי חברת האחסון ולייצר קובץ CSR – Certificate Signing Request. קובץ זה הינו למעשה הבקשה שלנו לייצר תעודת SSL ואת הבקשה הזו אנו מעבירים לחברה ממנה אנו נרכוש את תעודת ה- SSL שלנו (תעודת ה- SSL תותאם כמובן לקובץ ה- CSR ששלחנו). לאחר הרשמה באתר החברה ממנה נרכוש את תעודת ה- SSL, נבחר את סוג תעודת ה- SSL שברצוננו לרכוש, נציין פרטים כגון: סוג פאנל ניהול אחסון האתר, שם מנהל הדומיין ואת פרטי תעודת ה- CSR שיצרנו קודם. נקבל דוא”ל עם קישור לאישור הזמנת תעודת ה- SSL ולאחר מכן נקבל את פרטי התעודה על מנת להטמיע אותם במקום המיועד לכך בפאנל ניהול אחסון האתר. יש לוודא כי תעודת ה- SSL מופעלת עבור הדומיין עם קידומת WWW ובלעדיה. כאשר מבצעים תהליך זה מספר פעמים הוא הופך להיות קל יותר ויותר, אולם חברות אחסון אתרים אשר שירות לקוחות מקצועי ואיכותי נמצא בראש מעייניהן, תסייענה ללקוחות אחסון אתרים בתהליך הרכישה וההטמעה של תעודת SSL, בין אם באמצעות מדריכי “צעד אחר צעד”, סרטוני וידאו, או תמיכה טלפונית בזמן אמת.

סוגים נפוצים של תעודות SSL

Domain Validated SSL Certificates – תעודת SSL בעלת תוקף דומיין: תעודת SSL מסוג זה נועדה לוודא שהדומיין רשום כהלכה אצל רשם דומיינים מוסמך ואדם בעל סמכות לניהול הדומיין מסוגל לאשר את הבקשה להפעלת תעודת SSL. תהליך תיקוף התעודה מבוצע בדרך כלל באמצעות דוא”ל או ניהול כתובות DNS – בעל הדומיין מתבקש להוכיח בעלות על הדומיין ואפשרות לניהולו באמצעות דוא”ל שנשלח למנהל האדמיניסטרטיבי של הדומיין, או באמצעות ביצוע שינוי רשומת DNS. תהליך תיקוף הדומיין לצורך הפעלת SSL אורך בין מספר דקות למספר שעות ובמידה והוא מתבצע באופן תקין ותעודת ה- SSL תקפה ומאושרת על ידי רשות מוסמכת, יציג הדפדפן עבור הדומיין חיבור HTTPS מאובטח. תעודת SSL זו מקבלת תוקף ברמת שרת אחסון האתר והיא בעלת רמת התוקף הנמוכה ביותר שניתן לרכוש מספקי SSL מסחריים. היות והנפקת תעודת SSL כזו עשויה לרוב לעבור בתהליך של אוטומציה (או בהתערבות אנושית מינימלית), מחירה נמוך מאד אך היא עלולה שלא למנוע מתקפות גניבת מידע (Phishing) ומתקפות יירוט מידע המועבר בין האתר לגולשים ובין הגולשים לאתר.

Organization Validated SSL Certificates – תעודת SSL בעלת תוקף ארגוני: על מנת לתקף תעודת SSL זו, נדרשים בעלי הדומיין לאשר את בעלותם על הדומיין ואת אפשרותם לנהל אותו ובנוסף, נדרשת גם הוכחה לזהות הארגונית העומדת מאחורי הדומיין. הוכחת הזהות הארגונית הינה חלק בלתי נפרד מתעודת ה- SSL והיא כוללת את המידע: שמו המלא של הארגון, העיר והמדינה בה פועל הארגון. תהליך מתן התוקף לתעודת SSL זו די דומה לתהליך מתן התוקף לתעודת SSL ברמת שרת אחסון האתר, אך הוא ארוך יותר וכולל התערבות אנושית של בדיקה ואישור מסמכים לווידוא זהות הארגון. תעודת ה- SSL מופעלת לרוב על בסיס חתימה דיגיטלית של 2048 ביט והצפנה של 256 ביט. משך התהליך בין מספר שעות למספר ימים. עלותה של תעודת SSL זו גבוהה יותר, אך היא מאפשרת לגולשים ולמשתמשים באתר האינטרנט לא רק לוודא כי התעבורה באתר מוצפנת, אלא גם לוודא כי התעבורה באתר ממונעת אך ורק לארגון הספציפי העומד מאחורי הדומיין בו הם גולשים כרגע.

Extended Validation SSL Certificates – תעודת SSL בעלת תוקף מורחב: תהליך תיקוף דומה לזה של תעודת SSL ארגוני, אך ארוך יותר וכולל גם התערבות אנושית לצורך ווידוא זהות האישיות המשפטית העומדת מאחורי שם הדומיין. תהליך תיקוף מורחב לתעודת ה- SSL עשוי לארוך מספר ימים עד מספר שבועות וזוהי הרמה הגבוהה ביותר והיקרה ביותר של תעודות SSL. עבור גולשים ומשתמשים באתר בעל תוקף SSL מורחב, הזהות הפיזית והמשפטית של הארגון העומד מאחורי הדומיין – בלתי ניתנת לערעור או ספק. שורת ה- URL מוצגת בצבע ירוק והיא מבטיחה לגולשים ולמשתמשים באתר כי לא זו בלבד שהתעבורה ממוענת לארגון הספציפי, אלא גם שהתעבורה מעוגנת ומוגנת על ידי ישות משפטית אמיתית. הארגונים המשתמשים בתעודת SSL בעלת תוקף מורחב הינם לרוב מוסדות בנקאיים, אתרי מסחר מקוון, אתרים בעלי פרופיל תעבורה גבוה (כמו אתרי חדשות למשל), אתרי מותג ואתרים האוספים מידע או מקבלים תשלום אשר מבקשים להקנות למבקרים בהם אמינות וביטחון. על אף העלות הגבוהה יחסית של תעודת SSL בעלת תוקף מורחב, יש לציין כי ארגונים וגופים העושים בה שימוש, עשויים לזכות לא רק בהחזר ההשקעה אלא גם ברווח וזאת, לנוכח העובדה שככל שגולשים רבים יותר חווים אמון וביטחון באתר בו הם משתמשים, כך עולה הסיכוי למשתמשים חדשים רבים יותר באתר ולמשתמשים חוזרים. באתרי אינטרנט מבוססי מסחר – הדבר מתורגם כמובן לעליה מתמדת ברווחים הכספיים הנובעים מהשימוש באתר.

Single-name SSL Certificates – תעודת SSL בעלת תוקף שמי: זוהי תעודת SSL המיועדת לדומיין האתר בלבד. כלומר, אתר www.domain.co.il יפעל תחת SSL, אך לעומת זאת, mail.domain.co.il לא יוכל לפעול תחת תעודת ה- SSL. תעודת ה- SSL תהיה תקפה אך ורק לשם הדומיין המצויין בתעודה, כך שבמידה ותעודת ה- SSL נרכשה עבור הדומיין mail.domain.co.il, היא לא תהיה תקפה עבור הדומיין www.domain.co.il או domain.co.il. כל ניסיון להפעיל את תעודת ה- SSL הזו עבור שם שאינו בדיוק השם שצויין בתעודה, יוביל לכך שהדפדפן יציג הודעת אזהרת אבטחה.

Wildcard SSL Certificates – תעודת SSL חלופית / חופשית: בניגוד לתעודת SSL בעלת תוקף שמי, תעודת SSL חלופית / חופשית נועדה להצפין את התעבורה של הדומיין וכל סאב דומיין אחר שנמצא תחתיו (עם www או ללא), למעט סאב דומיין כפול כגון: subdomain1.subdomain2.domain.com. עלותה של תעודת SSL זו גבוהה יותר מאשר תעודת SSL בעלת תוקף שמי, אך עבור אתרים העושים שימוש בסאב דומיינים רבים היא בעלת תועלת רבה יותר היות והיא מכסה את כל וריאציות הסאב הדומיינים של הדומיין הראשי.

Multi-Domain SSL Certificates – תעודת SSL מרובת דומיינים: תעודת SSL זו נועדה להצפין את תעבורת הרשת עבור דומיין אחד ראשי וכן עבור מספר דומיינים אחרים באותה תעודה (ולכן נקראת גם תעודת SAN – Subject Alternative Name). ניתן להשתמש בסוג זה של תעודת SSL עבור דומיינים העושים שימוש בשרת Microsoft Exchange, שרת Office Communications ומערכת MDM – Mobile Device Manager. תעודת SSL מרובת דומיינים איננה מצריכה כתובת IP ייעודית עבור כל דומיין המצויין בתעודה. כמו כן, ניתן להשתמש בתעודה זו באחסון אתרים שיתופי, אולם תעודת ה- SSL וצלמית המנעול ישוייכו רק לדומיין הראשי. תעודת SAN יכולה לשרת עד 99 דומיינים, אולם במידה ובוצעה רכישה עבור, למשל 10 דומיינים, לא ניתן להרחיב את התעודה עבור יותר ממספר הדומיינים עבורם נרכשה התעודה ויש לרכוש תעודה נוספת עבור הדומיינים האחרים. דבר נוסף, במידה וקיימת משמעות להבדלה או הבחנה בין הדומיינים שעבורם נרכשה תעודת SSL מרובת דומיינים, מומלץ שלא להשתמש בסוג תעודת SSL זה, היות ותעודת ה- SSL תציין את כל הדומיינים אותם היא משרתת.

Shared SSL Certificates – תעודת SSL שיתופית: תעודת SSL שיתופית נועדה בעיקר למצבים בהם נדרש חיבור מוצפן לשרת עבור כתובת שאינן לשימוש ציבור הגולשים הרחב, כמו למשל עבור פאנל ניהול האתר. תעודת SSL שיתופית משתמשת בדומיין מארח פיקטיבי ולא בדומיין הראשי של האתר, לדוגמא: domain.co.il.server.co.il, או לחליפין בחברות אחסון אתרים המאפשרות שימוש בדומיין זמני לפני הפניית DNS לכתובת הקבועה: https://secure274.domain.co.il/~usern87. דרך הפעולה של תעודה זו פשוט מאד: במקום להעביר את התעבורה דרך Port 80, תעבורת האתר עוברת דרך Port 443, אותו ניתן להצפין באמצעות SSL. לא ניתן להשתמש בתעודה זו (לרוב מונפקת בחינם) עבור הדומיין הראשי ולכן היא איננה מומלצת לאתרי מסחר מקוון ולאתרים בהם נדרשים המשתמשים למלא פרטים אישיים.