אין לכם https? גוגל עומדת להעניש אתכם
אם לא תעשו דבר קטן אבל חשוב עד ינואר 2017, התנועה לאתרים שלכם תיפגע מאוד. וחבל
מאת זהר סטולר
מכירים את מסך האזהרה המאיים שקופץ בדפדפן כרום, מציע לכם שלא לגלוש לאתר מסויים, ומציע לכם בחביבות ובתקיפות “לשוב לחוף מבטחים”? ובכן, החל מינואר 2017 גוגל עומדת להזהיר את כלל הגולשים ממרבית האתרים ברשת, כי הם אינם בטוחים מספיק, וסביר להניח שהיא תזהיר גם מהאתר שלכם.
https זה הסטנדרט החדש
מרבית האתרים המצויים ברשת מוגשים לגולשים בפרוטוקול http, בו התקשורת בינם לבין האתר נעשית באופן גלוי לחלוטין. כלומר, כל נתוני הטפסים, הטוקבקים, המיקום ואפילו הקוקיז השונים של הדפדפן עלולים להיות חשופים לחלוטין בפני מי שנמצא יחד איתכם על הרשת. הבנתם נכון – כל הנתונים שהדפדפן שלכם שולח לשרת, ויש הרבה מאוד כאלה, יכולים להילקח על ידי כל גולש מתוחכם ולפגוע בפרטיות שלכם – בין אם הסכמתם לכך ובין אם לאו.
https הוא גרסה שונה במקצת של התעבורה. הפרוטוקול הזה יוצר צינור מוצפן ביניכם לבין אתר האינטרנט, המחביא את המידע ממי שלא צריך לראות אותו. התעבורה מוצפנת בצורה פשוטה יחסית, והשוני בגלישה כמעט אינו מורגש, למעט הסימון בדפדפן. מדובר בגישה מקצועית ועדכנית יותר לאורח החיים האינטרנטי שלנו. מכיוון שכל המידע אישי שלנו עובר ברשת, והאפשרויות לניצול לרעה שלו הולכות וגדלות, בגוגל הבינו שהגיע הזמן להגביה את חומות האבטחה. והם עושים את זה עכשיו, ועל חשבוננו.
כלומר, אם עד היום היו הגולשים המבינים מחפשים את סמל המנעול בדפדפן, המציין תקשורת מאובטחת ומוצפנת בתקן https, בכל עת שהיו מבקשים להעביר כרטיס אשראי, מה-1/1/17, תתווסף אזהרה כתובה לכל אתר שאינו מוצפן. בתחילה יהיה כתוב בשורת הכתובת כי האתר אינו מוגן ובהמשך יצטרף משולש אזהרה אדום עם סימן קריאה בתוכו. זה אמנם לא נשמע הרבה, אבל חישבו על הנזק הפסיכולוגי – הגולשים מגיעים לאתר ומגלים הודעה שהוא מסוכן להם. מה הסיכויים שיעזבו אותו ויחזרו בהזדמנות אחרת? גדולים. והנזק? גדול אף הוא.
הפתרון פשוט – מתקינים SSL
על מנת להגן על פרטיות הגולשים ולהימנע מאותה האזהרה הבעייתית בצידו של הדפדפן, בעלי אתרים חייבים לרכוש תעודת הצפנה (SSL). רכישה של התעודה יכולה להתבצע ישירות דרך חברות האירוח או רשם הדומיינים, אך גם מגוון של חברות בניית אתרים יוכלו לתת את השירות. לאחר הרכישה יש להתקין את התעודה בתהליך פשוט שכל איש מקצוע בתחום יוכל לבצע בזמן סביר. עם זאת, חשוב לציין כי על מנת לרכוש את תעודת ההצפנה תצטרכו להזדהות בפני הספק ולהוכיח את בעלותכם על הדומיין והאתר. שתי הפעולות הפשוטות הללו עשויות להציל לכם את התנועה לאתר וגם לתת לכם יתרון יקר ערך, בעולם ההופך מאובטח יותר ויותר.
זהר סטולר הוא שותף בחברת לינווייט, המתמחה בבניית מערכות קוד פתוח
כתב אורח
אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.
הגב
32 תגובות על "אין לכם https? גוגל עומדת להעניש אתכם"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
הייתי תומך, לולא זה שחתימה דיגיטאלית של ssl עולה עשרות עד מאות דולארים בשנה… ואם זה חברה טובה וווילדכארד זה גם אלפי דולארים… ואם מייצרים חתימה לבד אז הדפדפן חוסם את האתר עם הודעה מגעילה שהחתימה לא בתוקף או ממקור לא ידוע… פשוט תעשייה שלמה מגעילה שמוכרים סחורה ווירטואלית חסרת כל ערך ממשי באלפי דולארים…
יש כבר vendors שנותנים סרטיפיקט חתום בחינם – https://letsencrypt.org/
הי,
אתה יודע איך אפשר לעשות את זה עם Bluehost?
לפי מה שהבנתי חייבים Dedicated ip שזה גם עולה כסף ובעצם לא עשינו פה כלום…?
לא חייבים dedicated IP אם SNI נתמך
https://en.wikipedia.org/wiki/Server_Name_Indication
אתה מתכוון למה שאפשר לעשות עם Cloudflare?
התכוונתי שאם התוכנה תומכת SNI אז זה אפשרי בלי Dedicated IP.
אפשר עם Cloudflare בלי קשר.
כדאי להיות מודע למצבי הSSL שהם מציעים:
https://support.cloudflare.com/hc/en-us/articles/200170416-What-do-the-SSL-options-mean-
ממש קשה לשהשתמש בזה וגם זה אישור ssl לתקופה ממש קצרה
שקר גדול, זה רק לאתרים שמתכננים לשמור סיסמאות/כרטיסי אשראי זה לא הולך לקרות לכל אתר, אתם סתם מנסים להפחיד את כולם.
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
הוא לגמרי צודק!! אין חשש , מדובר באתרים שמאחסנים מידע רגיש, סיסמאות , אשראי, יוזרים וכו’
הי אלמוג, אורי, רוב האתרים בעולם מחזיקים פרטים אישיים מאחר שרובם המכריע מנוהל על ידי מערכת ניהול תוכן כלשהי.
זהר, רוב האתרים בעולם הם ממש לא מחזיקים פרטים אישיים. רוב מכריע במספר האתרים הם אתרי עסקים קטנים בעולם (אתרים שכוללים רק טופס יצירת קשר, בלי שום שמירת מידע על גולש). כך שרוב האתרים בעולם, לא צריכים לבצע את השינוי…
פרטים שהוזנו בטופס יצירת קשר גם עשויים להשמר בdatabase של האתר.
לדוגמה:
http://contactform7.com/save-submitted-messages-with-flamingo/
זה רק בגלל שאתה לא קורא עד הסוף- Our plan to label HTTP sites more clearly and accurately as non-secure will take place in gradual steps, based on increasingly stringent criteria.
ועוד דבר, שים לב למשפט הבא: Eventually, we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS. כלומר- כל דפי ה- http יסומנו במשולש אדום. אז אתה יכול להתעלם, או לא לקרוא עד הסוף את הפוסט שלהם, אבל זו המציאות.
אסור לאתרים לשמור פרטי אשראי. הם צריכים חברת סליקה שעומדת בתקן חברות האשראי
https://he.wikipedia.org/wiki/%D7%AA%D7%A7%D7%9F_PCI_DSS#.D7.90.D7.99_.D7.A2.D7.9E.D7.99.D7.93.D7.94_.D7.91.D7.AA.D7.A7.D7.9F
נשמע לי כמו ידיעה הזויה ואין לי זמן לבדוק את אמיתותה. כך או כך, SSL הוא חסר משמעות כשהמידע בין המשתמש לאתר חסר חשיבות (כמו למשל לקרוא מאמר באתר חדשות, בלוגים וכו’). הדבר השני הוא שSSL לא מבטיח אבטחה בשום אופן. רק מבטיח שהתעבורה בין המשתמש לאתר מוצפנת שזה חשוב אבל לא בהכרח מונע פרצות מסוגים רבים אחרים.
אני מציע לך לבדוק את אמיתותה. זה לוקח שניה – הידיעה המקורית פורסמה בבלוג של גוגל…
שים לב שגם כשאתה קורא חדשות – האתר מוריד אליך עשרות קוקיז, ששואבות עליך מידע מכל הסוגים והמינים. הגם שהמידע הזה ימשיך לעבור ברשת, שימוש ב-SSL יקטין את החשיפה ואת גניבת המידע על ידי גורמים אחרים.
תלוי. אם מתבצע Man in the middle בין הקליינט לסרבר אפשר ללכוד את כל התעבורה הלא מוצפנת. כך אפשר לדעת בדיוק מה הקליינט עושה, מה מעניין אותו ולנסות להפיק מהתעבורה מקסימום מידע.
שטויות, יש נכונות לכך שגוגל תיתן קצת יותר ניקוד חיובי כאשר האתר יהיה בHTTPS (וזה מידע נכון מגוגל מ2014 ומאז לא יצא עדכון בנושא), אבל גוגל לא תפגע בדירוג אתרים עם HTTP. בקיצור שטויות.
הי דן, בשום מקום לא צויינה פגיעה בדירוג… דובר על חיווי אדום ומרתיע בשורת הכתובת של הדפדפן, שיש בו די על מנת להרחיק גולשים מהאתר – וזה עונש כלשעצמו.
מעניין שהכתבה מדברת על זה שכל אתר חייב להיות בפרוטוקול HTTPS, מה שאין לאתר הזה.
אתר GEEKTIME כן מוצפן בעזרת פרוטוקול HTTPS
וגם אם לא היה אין כל קשר.
פשוט תשתמשו ב cloudflare.com
תקבלו ssl בחינם ובלי לכתוב אפילו שורת קוד אחת!
פשוט מפנים את ה dns לשרתים שלהם…
רק צריך לדעת את זה:
https://info.ssl.com/the-real-cost-of-a-cloudflare-free-ssl-certificate
דבר נוסף, אתרי WordPress שהם כמות נכבדת מהאתרים היום ידרשו התאמה לעבודה בhttps במקום http.
מאמר מעניין אבל את הפינה של גוגל זה יסגור בכל מקרה.
כמעט, אתרי WordPress וכו’ ידרשו גם התאמה לעבודה עם https
גוגל מונופול קלאסי. אין שום סיבה טכנולוגיתאבטחתית להצפין גישת אינטרנט לאתרים שבהם אין לנו LOGIN או לחילופין לא עוברים פרטים חשובים (כמו בלוגים, חדשות, אתרי מתכונים, ספרות טכנית וכו’). SSL הוא לא פעולה זולה מצד השרת, במיוחד בעידן שבו חצי מהמכונות הן וירטואליות (וכך איטיות בלפחות30-40% ממכונות ברזל)
זה נראה כאילו גוגל מחשיבה את עצמה בתור ‘שליטת האינטרנט’.
חברת uPress המספקת אחסון מנוהל לאתרי וורדפרס – מספקת תעודות SSL לכלל לקוחותיה ללא עלות, כבר מעל 9 חודשים.
https://www.upress.co.il/blog/post/upress-ssl
האם זה יקרה רק בדפדפן של גוגל כרום? או שגוגל תזהיר אותך בכל דפדפן (במקרה ותיכנס ע”י תוצאות החיפוש שלהם. כי הם לא שולטים בדפדפנים אחרים).
לכל מי שמעוניין ניתן לקבל אצלנו תעודת SSL בחינם בעת רכישת חבילת אחסון, או ניתן לרכוש אותה בנפרד וללא הצטרפות אלינו.
http://www.host-fast.co.il