מה זה SSL – ולמה הוא חשוב כל כך?
SSL, ראשי תיבות של המונח Secure Socket Layer, הוא סטנדרט מקובל להעברת מידע מאובטח על גבי רשת האינטרנט. פרוטוקולים של SSL מאפשרים לדפדפן בצד המשתמש לבצע תקשורת עם אתרים, תוך הקמת ערוץ תקשורת מוצפן באופן שקוף. אתרים אלו מקבלים תעודת SSL, המבטיח ומאפשר את הקיום של ערוץ כזה – תוך שמירה מקסימלית על בטחון המידע.
מהו פרוטוקול אבטחה SSL?
פרוטוקול אבטחה SSL אחראי למספר פעולות: ראשית, הוא מוודא או מאמת שהשרת אליו המשתמש מחובר, הוא השרת הנכון. אם מדובר ב-SSL ייעודי אשר הונפק במיוחד לדומיין מיועד, לחיצה על אייקון המנעול בדפדפן תפרט את הגורם לו הונפקה התעודה.
בנוסף, SSL יוצר ערוץ תקשורת מאובטח באמצעות הצפנה של כל מידע המועבר בין הדפדפן של הגולש לבין השרת של האתר. במובנים רבים, SSL דומה להגנה על מסמך בסיסמה, כאשר רק מי שמחזיק בסיסמה, יכול לקרוא את התוכן של המסמך.
לבסוף, SSL נועד לוודא כי המידע שנשלח מהמחשב האישי מגיע בשלמותו ליעד, בלי טעויות ושיבושים. אם השרת מאתר טעות במידע אשר משודר אליו, הוא דורש שידור נוסף באופן אוטומטי.
באופן הזה, SSL מבצע ‘מניעה מוקדמת’ של גניבת מידע, שמירה על פרטי הלקוחות, אימות זהויות והגברת תחושת הביטחון בקרב לקוחות אשר בודקים האם ישנה תעודת SSL לאתר מאובטח.
פרוטוקול SSL הוא פרוטוקול אבטחת מידע המבוססת על שיטת מפתח א-סימטרי או מפתח סימטרי. במפתח א-סימטרי, ישנם שני מפתחות (ציבורי ופרטי) המשמשים לזיהוי השרת ולתחילת ההפעלה המוצפנת. המפתח הפרטי ידוע רק לשרת, בעוד שהמפתח הציבורי משותף באמצעות אישור.
במפתחות הפעלה סימטריים, נוצרים מפתחות חד-פעמיים עבור כל חיבור ומשמשים להצפנה\פענוח של נתונים משודרים. המפתחות הסימטריים מוחלפים באופן מאובטח דרך הצפנה א-סימטרית.
SSL תומך במגוון סוגי צפנים סימטריים וא-סימטריים. AES, לדוגמה, כולל מפתחות של 128 סיביות, הוא צופן סימטרי נפוץ. RSA ו-ECC משתמשים לרוב באלגוריתמים א-סימטריים.
מה זה TLS? והאם יש הבדל בין SSL ל- TLS?
TLS, ראשי תיבות של Transport Layer Security, הוא מהווה שדרוג ועדכון לפרוטוקול SSL. למרות זאת, הגרסה הראשונה של TLS הושקה כבר ב-1999 , הרבה לפני פרוטוקול SSL ומכך שרוב תעודות האבטחה הנמצאות בשימוש כיום הן TSL. למרות זאת, דווקא המונח SSL השתרש בתחום, כך שכיום, מרבית המעורבים והמקצוענים מכנים תעודת אבטחה בתור ‘רשיון SSL’, גם כאשר בפועל מדובר בתעודת TLS.
איך מוודאים ומטמיעים תעודת אבטחה SSL באתר?
תעודת SSL יכולה לשמש שם דומיין אחד, או לכל המרחב של הדומיין. רישיון לאתר אחד Sub-domain SSL certificate, מיועדת להגן על שם מארח (דומיין) אחד. תעודת SSL Wildcard מקנה אפשרות לאבטח מספר תתי-שמות של דומיינים או סאב-דומיינים, באמצעות אישור יחיד. לתעודה זו ניתן להוסיף סאב-דומיינים בהמשך, בלי צורך להנפיק תעודה חדשה.
בנוסף, קיימות תעודות ‘למספר אתרים’ (SAN SSL), המאפשר להגן על מספר שמות מיתחמי אירוח במקביל.
קיימות מספר דרכים לבצע התקנת SSL: ניתן ליצור קשר עם החברה המאחסנת את האתר או מספקת שירותי ענן לעסקים, ולרכוש דרכה תעודת SSL. ניתן לרכוש עצמאית את תעודת ה-SSL ולהתקין אותה באתר בעזרת איש מקצוע. ניתן גם להתקין את התעודה באופן עצמאי לחלוטין בסיוע פאנל שליטה באחסון האתר. היום קיימים שרתי אחסון רבים המאפשרים התקנה של תעודת SSL בלחיצת כפתור וללא עלות נוספת.
ההמלצה היא לבחור תמיד להשתמש בגרסה העדכנית ביותר של הפרוטוקול, ולשמור על תעודה בתוקף (בתשלום מזערי – וכולל עדכון גרסאות).
האם בטוח לרכוש מוצרים מאתר לא מאובטח?
גלישה מאובטחת עם תעודת SSL הייתה בעבר נחלתם של אתרי המסחר המקוון לטובת הגנה על פרטי כרטיס אשראי, אך כיום ההמלצה היא לעמוד בתקנים לאבטחת מידע בכל האתרים – ולפחות באתרים עסקיים/ארגוניים בהם מבצעת העברת מידע כגון צ’אטים, מידע אישי, פרטים סודיים, נתוני טפסים ועוד – כל אלה נתונים שחשוב לאבטח ולהגן עליהם.
גוגל, למשל, ‘חייבה’ בתחילת הדרך על התקנת SSL רק לאתרים ‘רגישים’ הכוללים שיתוף של פרטים אישיים, אך ככל שהזמן עבר, החברה הטילה סנקציות ו’קנסה’ את כלל האתרים שלא נהנו מתעודת SSL פעילה, באמצעות סימון שלהם כ’אתר לא מאובטח’ והורדתו בדירוג התוצאות.
עבור אתרי מסחר מקצועיים, מומלץ לרכוש מפתח הצפנה ייעודי שהונפק על ידי חברה מובילה ואמינה. תעודת SSL מקצועית מכילה גם אימות וזיהוי של שם החבה, בנוסף לאימות הדומיין של האתר.
כיצד יודעים שאתר מאובטח?
בתור גולשים, קידומת ה-HTTPS מציינת קיומה של תעודת SSL באתר, כאשר המשמעות של ה-S הנוספת היא Secure. ציון נוסף, הוא סימן של מנעול בשורת הכתובת מורה על קיום של תעודת SSL. ניתן לבדוק בלחיצה על אייקון המנעול את אישור התעודה והתוקף שלה.
לסיכום: SSL\TLS הם פרוטוקולים המספקים אבטחה חיונית לתקשורת באינטרנט עבור אתרים מכל סוג, והם חיוניים במיוחד עבור אתרים הכוללים שיתוף של פרטים אישיים מצד המשתמש, כגון אתרי סחר.
אינפורמט, אחת מהחברות הגדולות והוותיקות בתחום פתרונות המחשוב, ה-IT ופתרונות הסייבר בישראל, רואה בשמירה על המידע של לקוחותיה ומשתמשי הקצה שלהם בתור מטרה עליונה. לשם כך, מציעה החברה מגוון רחב של פתרונות אבטח מידע, סייבר וגיבוי נתונים בענן לחברות. נציגי החברה זמינים לכל שאלה באשר לפתרונות האבטחה בארגון שלכם.