אבטחת האתר באמצעות HTTPS

הגנה על האתר ועל המשתמשים שלכם

מהו HTTPS?

HTTPS ‏(Hypertext Transport Protocol Secure) הוא פרוטוקול תקשורת באינטרנט המגן על שלמות וחשאיות הנתונים, העוברים בין המחשב של המשתמש לאתר. משתמשים מצפים לחוויית גלישה מאובטחת ופרטית בזמן שימוש באתר. מומלץ לאמץ את פרוטוקול HTTPS כדי להגן על חיבורי המשתמשים לאתר, ללא קשר לתוכן האתר.

נתונים הנשלחים באמצעות HTTPS מאובטחים על ידי פרוטוקול Transport Layer Security ‏(TLS), המספק שלוש שכבות הגנה עיקריות:

  1. הצפנה - הצפנה של הנתונים המועברים על מנת להגן עליהם מפני ציתות. המשמעות היא שבזמן שהמשתמש גולש באתר, אף אחד אחר לא יכול "להאזין" לשיחות שלו, לעקוב אחר הפעילויות שלו בין דפים שונים או לגנוב את המידע שלו.
  2. שלמות נתונים - לא ניתן לשנות נתונים או לפגום בהם בזמן ההעברה, בין אם באופן מכוון או אחר, בלי להתגלות.
  3. אימות - מוכיח שהמשתמש מתקשר עם האתר הרצוי. תכונה זו מספקת הגנה מפני מתקפות מתווכות (man-in-the-middle) ומגבירה את אמון המשתמש. אמון זה תורם להיבטים עסקיים אחרים.

שיטות מומלצות ליישום HTTPS

שימוש באישורי אבטחה אמינים

כחלק מהפעלת HTTPS עבור האתר, עליך להשיג אישור אבטחה. את האישור מנפקת רשות אישורים (CA), הנוקטת צעדים על מנת לאמת שכתובת האינטרנט באמת שייכת לארגון שלך, ובכך מגנה על הלקוחות שלך מפני התקפות מתווכות (man-in-the-middle). בעת הגדרת האישור, הקפד להשתמש ברמת אבטחה גבוהה על ידי בחירה במפתח 2048 ביט. אם כבר יש לך אישור עם מפתח חלש יותר (1024 ביט), שדרג אותו ל-2048 ביט. בעת הבחירה של אישור האתר, זכור את הנקודות הבאות:

  • קבל את האישור מ-CA מהימן המציע תמיכה טכנית.
  • קבע איזה סוג אישור נחוץ לך
    • אישור יחיד עבור מקור מאובטח יחיד (לדוגמה www.example.com).
    • אישור מרובה-דומיינים עבור מספר מקורות מאובטחים ומוכרים (לדוגמה www.example.com‏, cdn.example.com‏, example.co.uk).
    • אישור פתוח עבור מקור מאובטח עם מספר תתי-דומיינים דינמיים (לדוגמה a.example.com‏, b.example.com).

שימוש בהפניות מחדש מסוג 301 בצד השרת

הפנה את המשתמשים ומנועי חיפוש אל הדף או המקור ב-HTTPS באמצעות הפניות בצד השרת מסוג HTTP ‏301.

יש לוודא ש-Google יכולה לסרוק דפי HTTPS וליצור להם אינדקס

  • אין לחסום את דפי HTTPS באמצעות קבצי robots.txt.
  • אין לכלול מטא תגים noindex בדפי HTTPS.
  • אפשר להשתמש בכלי לבדיקת כתובות URL כדי לראות אם ל-Googlebot יש גישה לדפים שלכם.

תמיכה במנגנון HSTS

אנחנו ממליצים לבעלים של אתרי HTTPS לתמוך ב-HSTS‏ (HTTP Strict Transport Security). מנגנון HSTS מורה לדפדפן לבקש דפי HTTPS באופן אוטומטי, גם אם המשתמש מזין http בסרגל המיקום של הדפדפן. הוא גם מורה ל-Google להציג כתובות אתרים מאובטחות בתוצאות החיפוש. כל הפעולות האלה מצמצמות את הסיכון להצגת תוכן לא מאובטח למשתמשים.

כדי לתמוך ב-HSTS, צריך להשתמש בשרת אינטרנט שתומך במנגנון זה ולהפעיל את הפונקציונליות.

אף על פי שהשימוש ב-HSTS מגביר את מידת האבטחה, הוא הופך את אסטרטגיית החזרה למצב קודם למורכבת יותר. מומלץ להפעיל את HSTS כך:

  1. הצג את דפי HTTPS ללא HSTS תחילה.
  2. התחל בשליחה של כותרות HSTS עם max-age קצר. עקוב אחר התנועה של המשתמשים ושל לקוחות אחרים וגם אחר ביצוע של תלויים, כגון מודעות.
  3. מגבירים באיטיות את HSTS max-age.
  4. אם HSTS אינו משפיע לרעה על המשתמשים ועל מנועי החיפוש, תוכלו, אם תרצו, לבקש להוסיף את האתר לרשימת הטעינה מראש של HSTS המשמשת את רוב הדפדפנים הגדולים.

מומלץ להשתמש בטעינה מראש של HSTS

כשמפעילים HSTS, אפשר לתמוך בטעינה מראש של HSTS כדי ליהנות מאבטחה מוגברת ומביצועים משופרים. כדי להפעיל טעינה מראש, צריך להיכנס לכתובת hstspreload.org ולפעול לפי הדרישות להגשת בקשה לאתר.

איך להימנע מהשגיאות הנפוצות האלה

לאורך התהליך לאבטחת האתר באמצעות TLS, יש להימנע מהשגיאות הבאות:

בעיה פעולה
אישורים לא תקפים ודא תמיד שהאישור שלך מעודכן.
האישור רשום על שם אתר שגוי ודאו שיש ברשותכם אישור לכל שמות המארחים שהאתר שלכם משרת. לדוגמה, אם האישור שלכם מכסה רק את הכתובת www.example.com, משתמש שינסה לטעון את האתר על ידי הקלדת example.com בלבד (ללא התחילית "www.‎") ייחסם עקב שגיאת אי-התאמה בשם האישור.
אין תמיכה ב-Server Name Indication ‏(SNI) ודא ששרת האינטרנט תומך ב-SNI ושהקהל שלך עושה שימוש בדפדפנים נתמכים, באופן כללי. בעוד ש-SNI נתמך בכל הדפדפנים המודרניים, יהיה לך צורך בכתובת IP ייעודית אם עליך לתמוך בדפדפנים ישנים יותר.
בעיות סריקה אל תחסום את אתר ה-HTTPS שלך מפני סריקה באמצעות robots.txt.
בעיות בהוספה לאינדקס התר למנועי חיפוש להוסיף את הדפים שלך לאינדקס היכן שניתן. הימנע משימוש במטא תג Noindex.
גרסאות פרוטוקול ישנות גרסאות פרוטוקול ישנות הן פגיעות; עליך לוודא שאתה משתמש בגרסאות החדשות והמעודכנות ביותר של ספריות TLS (אבטחת שכבת התעבורה) ומיישם את הגרסאות החדשות ביותר.
עירוב בין רכיבי אבטחה יש להטמיע רק תוכן HTTPS בדפי HTTPS.
תוכן שונה ב-HTTP וב-HTTPS ודא שיש לך תוכן זהה באתר ה-HTTP ובאתר ה-HTTPS.
שגיאות קוד סטטוס HTTP ב-HTTPS ודא שהאתר מחזיר את קוד הסטטוס הנכון של HTTP. לדוגמה: ‎200 OK לדפים נגישים, או 404 או 410 לדפים שאינם קיימים.

טיפים נוספים

לקבלת טיפים נוספים בנוגע לשימוש בדפי HTTPS באתר, עיין בשאלות נפוצות בנושא העברה אל HTTPS.

העברה מ-HTTP אל HTTPS

אם מעבירים את האתר מ-HTTP אל Google, HTTPS מתייחסת לתהליך זה כהעברת אתר עם שינויים בכתובות אתרים. המעבר עשוי להשפיע באופן זמני על נתוני התנועה. למידע נוסף, יש לעיין בדף סקירה כללית של העברת אתר.

הוספה של נכס ה-HTTPS החדש אל Search Console: הטיפול ב-HTTP וב-HTTPS מתבצע ב-Search Console באופן נפרד: הנתונים לא משותפים בין נכסים ב-Search Console.

כדי לפתור בעיות הקשורות להעברה, ניתן לעיין בדף לפתרון בעיות בהעברות של קישורי sitemap.

מידע נוסף

לפרטים נוספים על יישום TLS באתר שלך:

האם המאמר היה מועיל?
איך נוכל לשפר את המאמר?