• בלוג
  • תעודות SSL – איך הן מגינות על האתר ועל הלקוחות שלך

תעודות SSL – איך הן מגינות על האתר ועל הלקוחות שלך

תעודות SSL – איך הן מגינות על האתר ועל הלקוחות שלך

פורסם ב 11-03-2026

information-security

בין אם כבעלי אתר אינטרנט או כגולשים "מן המניין" ברשת האינטרנט, ייתכן מאוד שנתקלתם במושג SSL (ר"ת Secure Socket Layer). יש לכך סיבה טובה – נכון לימים אלה, האבטחה של אתרי ואפליקציות אינטרנט, לפחות באופן בסיסי, נסמכת עליו (יותר נכון, על התעודות שמאשרות שהאתר/אפליקציה אכן משתמשים בו) כאישור להתקיימותה של תקשורת נתונים מוצפנת. זאת ועוד – שימוש בפרוטוקול, בהמון מקרים, הוא הכרחי לכמעט כל אתר ציבורי.
מבולבלים? רוצים לדעת עוד? אל דאגה, בשביל זה אנחנו כאן.

פרוטוקול SSL (ליתר דיוק, גירסה 3.0 שלו) הוצא משימוש על ידי IETF עוד ביוני 2015, עקב בעיות האבטחה והפגיעויות הרבות שלו, שחשפו אותו להתקפות סייבר שונות, ואפשרו לגורמים עוינים ליירט נתונים שמועברים דרכו ולפצח את ההצפנות הלא-כל-כך-חזקות בהן הוא השתמש. היורש שלו – פרוטוקול TLS (ר"ת Transport Layer Security), שמשתמש באלגוריתמי הצפנה מורכבים יותר ומקצר את תהליך "לחיצת היד" בין הגורמים המתקשרים ביניהם - הוא זה שמשתמשים בו כיום בפועל.
עם זאת, מאחר שהמונחה השתרש, ומאחר שפרוטוקול TLS הוא הלכה למעשה שדרוג ישיר שלו, ממשיכים להשתמש בו "מילולית".

מהי הצפנת SSL?

כפי שכבר הבנתם, פרוטוקול SSL/TLS הוא פרוטוקול להצפנת מידע שמועבר דרך רשת האינטרנט, בתקשורת בין שני גורמים. לרוב, שני הגורמים הללו הם שרת אינטרנט והדפדפן שיוצר איתו קשר, אך הם יכולים להיות גם שני גורמים בתקשורת VoIP, שני לקוחות דוא"ל (לקוח דוא"ל ושרת הדוא"ל שמארח את הנמען), אפליקציה ושרת אינטרנט, ועוד.

כדי להבין איך הפרוטוקול עובד, דמיינו מעין "מנהרה" בין שני גורמים. המנהרה מצפינה כל נתון שעובר דרכה באופן אוטומטי, והנתונים נשארים מוצפנים לאורך כל הדרך בין גורם אחד לגורם השני. כך, גם אם מישהו מצליח "לקדוח חור" בדפנות המנהרה ולשים ידיו על אחד מהנתונים, הוא עדיין לא יכול להשתמש בהם, מפני שהם מוצפנים. בנוסף, הוא לא יכול להחדיר נתונים זדוניים למנהרה, מפני שלנתונים שיוחדרו אין את אמצעי הזיהוי ששני הגורמים הסכימו עליו.

אף על פי שתקשורת מוצפנת חשובה לכל אתר באשר הוא, היא חשובה עשרות מונים לאתרים שאוספים מידע (טפסים, פרטי תשלום וסליקה, אמצעי זיהוי וכדומה). כאשר הפרטים מוצפנים, הסכנה שגורם עוין (ולא חסרים כאלה) ישים עליהם יד היא קטנה באופן משמעותי. מן הסתם, אחד האינטרסים של כל עסק ואתר הוא להגן על לקוחותיו – הן כדי לשמור עליהם, הן כדי שימשיכו להשתמש בשירותיו, והן כדי להגן על המוניטין שלו.

אוקיי, אבל מה הקשר לתעודות?

אנחנו קצת מקדימים כאן, אבל בגלל ששאלתם:
תעודת SSL/TLS היא הדרך של השרת להראות ללקוח:

  • שהוא אכן משתמש בהצפנת נתונים בזמן התקשורת
  • שהוא נמצא בבעלותו של גורם לגיטימי ולא זדוני

התעודה היא למעשה קובץ שמאפשר את תהליך ההצפנה, ומכיל את:

  • זהות בעלי האתר
  • מפתח ההצפנה הציבורי בו ישתמשו השרת והדפדפן
  • זהותו של יוצר התעודה (CA, או Certificate Authority)
ברור שאנחנו משתמשים בהצפנת TLS/SSL באתר שלנו.

התעודה של האתר שלנו

אז HTTPS זה בעצם…
HTTP (פרוטוקול העברת מידע בהיפרטקסט - Hypertext Transfer Protocol) הוא פרוטוקול העברת המידע המרכזי עליו מושתת רשת האינטרנט כולה – במילים אחרות, הפרוטוקול האחראי על קבלת מידע ועל העברת/משלוח מידע.
האות S (קיצור של Secure) שמתווספת אליו והופכת אותו ל-HTTPS, מסמלת כי האתר אליו הוא משוייך הוא בעל תעודת SSL/TLS (כלומר, מקבל ושולח נתונים מוצפנים באמצעות הפרוטוקול, וגורם לגיטימי ווידא את אמינותו).
HTTPS הוא פרוטוקול התקשורת הסטנדרטי לאתרי אינטרנט כיום (על פי דו"ח שקיפות של גוגל, בין 85% ל-99% מהדפים שנפתחים על ידי דפדפן כרום משתמשים ב-HTTPS) – במיוחד כאלה שמקבלים מידע פרטי ו/או חסוי מגולשים.

הפרוטוקול עושה שימוש בשני סוגי הצפנה:

הצפנה סימטרית – שני הגורמים המתקשרים ביניהם משתמשים במפתח הצפנה זהה (וסודי). גורם אחד מצפין את המידע באמצעות המפתח, והגורם שמקבל את המידע מפענח אותו באמצעות המפתח.

הצפנה אסימטרית – הצפנה אסימטרית משתמשת בשני מפתחות הצפנה שונים: מפתח ציבורי שגלוי לכל אחד, ומפתח פרטי שנשאר סודי וחסוי, וידוע רק לגורם המשתמש בו.
השרת מחזיק במפתח הציבורי, ומצפין באמצעותו את המידע שנשלח ללקוח; והלקוח משתמש במפתח הציבורי בו השרת מחזיק, ומצפין באמצעותו את המידע שהוא שולח לשרת. הפיענוח של המידע, לעומת זאת, מתבצע באמצעות המפתחות הפרטיים.

התקשורת המוצפנת מתבצעת בהתאם לאלגוריתם ההצפנה המוסכם על שני הצדדים, ועל פי גירסת TLS בה השרת משתמש (הגירסה העדכנית ביותר כיום היא 1.3). בעוד שהסברים רבים מסתמכים על אלגוריתם RSA (שהיה הנפוץ מכולם) להסבר תהליך ההצפנה, אנחנו נציין שהוא אינו נחשב בטוח במיוחד. לכן, TLS 1.3 עבר להשתמש באלגוריתמים מודרניים יותר, מסוג AEAD, ועליו אנחנו מסתמכים.

איך ההצפנה מתבצעת?

תהליך ההצפנה הוא פשוט, במיוחד מאחר שפרוטוקול TLS קיצר את התהליך באופן מהותי.

לחיצת היד (Handshake)

תהליך ביסוס התקשורת ואמצעי ההצפנה נקרא "לחיצת יד", בגלל האופן בו הוא מתבצע. הלקוח והשרת יוצרים אחד עם השני קשר, מוודאים האחד את אמינותו של השני, ומסכימים על אמצעי ההצפנה והפיענוח בהם ישתמשו כדי להעביר ולקבל נתונים אחד מהשני:

1. "שלום" מצד הלקוח

הלקוח יוזם קשר עם השרת במסר ראשוני שנקרא ClientHello. המסר כולל חלק מאוד חשוב מצידו של הלקוח, שנקרא Client Random - אוסף אקראי של נתונים בגודל של 32 בייטים, שנועד לוודא כי כל מפתח הצפנה הנו ייחודי למאורע התקשורת הנוכחי בין הלקוח לבין השרת. בנוסף, ClientHello מבסס את:

  • גירסת TLS בה שני הגורמים ישתמשו (דפדפנים עדכניים משתמשים ב-TLS 1.3, וכן גם שרתים)
  • הפרמטרים בהם הלקוח והשרת ישתמשו כדי ליצור את מפתחות ההצפנה הפרטיים
  • מהו האלגוריתם באמצעותו יתבצעו חילופי מפתחות ההצפנה

2. השרת מקבל את ה"שלום" של הלקוח

לפני שהשרת משיב ללקוח, הוא משתמש במסר שקיבל (וב-Random משל עצמו, שכבר הוכן מבעוד מועד) כדי ליצור "מפתח מאסטר" (או Master Secret) – המפתח הקריפטוגרפי הראשי אשר מתוכו יווצרו מפתחות ההצפנה לכל מאורע (Session) בין השרת ללקוח.

3. השרת משיב ב"שלום!"

במסר שנקרא ServerHello, השרת משיב ללקוח ב"שלום", שכולל את:

  • תעודת ה-TLS של השרת, שמוכיחה שהוא לגיטימי ושבטוח לתקשר איתו
  • חתימה דיגיטלית מוצפנת, שנועד לאמת את זהותו של השרת
  • ה-Random של השרת (שכאמור, ישמש ליצירת מפתח המאסטר)
  • אלגוריתם ההצפנה הנבחר (לרוב, יהיה זה אותו אלגוריתם שהלקוח "החליט" עליו ב"שלום" ששלח)
  • מסר "סיימתי" (ServerFinished) – כלומר, "הכל מוכן, כולל מפתח המאסטר. אפשר להתחיל לעבוד!"

4. הלקוח משיב ב"סיימתי"

הלקוח, משקיבל את תשובתו של השרת, מאמת את הלגיטימיות של התעודה ושל החתימה הדיגיטלית. לאחר שהפרטים מאומתים, הלקוח משתמש ב-Random שקיבל מהשרת כדי ליצור מפתח מאסטר (Master Secret). לבסוף, הוא "מודיע" לשרת שהוא סיים (ClientFinished), ושניתן ליצור קשר מוצפן.

אבל איך הלקוח יודע שהתעודה והחתימה לגיטימיים?
ובכן, כל "לקוח" – למשל, דפדפן אינטרנט – מכיל מידע על ספקי ורשויות תעודות הצפנה לגיטימיים. עם המידע הזה, שקיים בתוכם באופן מובנה (כולל הפניות לשרתים של גורמי שורש – Root CA), הם מוודאים שהשרתים לא מספקים תעודות הצפנה מזויפות, ושבעלי השרתים אכן נבדקו על ידי הגורמים המוסכמים והמוכרים.
אם שרת חותם על עצמו, הדפדפן יציג אזהרה, שכן, אין לו דרך בדוקה לוודא כי השרת אכן לגיטימי.

5. לחיצת היד הושלמה!

משביססו את אמצעי התקשורת המוצפנת ביניהם ו-ווידאו האחד את אמינותו של השני, הלקוח והשרת יכולים לתקשר ביניהם באופן בטוח ומוצפן.

תרשים של תהליך לחיצת היד וביסוס התקשורת המוצפנת בין שרת ללקוח באמצעות פרוטוקול TLS 1.3

לחיצת היד (handshake) של פרוטוקול TLS 1.3 בתרשים

כיצד התקשורת דרך פרוטוקול SSL/TLS מתנהלת בפועל

לאחר שתהליך לחיצת היד הושלם, הלקוח והשרת מתקשרים ביניהם דרך שכבת העברת המידע המאובטחת/מנהרת התקשורת המוצפנת. הנתונים מוצפנים באמצעות האלגוריתם עליו הוחלט, ומפוענחים באמצעות מפתחות הצפנה סימטריים הנקראים Session Keys, שנוצרים על ידי מפתחות ההצפנה האסימטריים שנוצרו בזמן לחיצת היד. המפתחות הללו הנם חד-פעמיים לכל מאורע (Session), והם נמחקים כאשר הוא מסתיים; כך, גם אם גורם זדוני מצליח לחדור מבעד לשכבות ההגנה ולשים ידיו על מפתח, הוא לא יוכל להשתמש בו למאורע הבא.

למה הצפנת SSL היא חובה לכל אתר?

נתונים הם דבר חשוב ופרטי בהמון מקרים – גם אם הם לא כוללים אמצעי זיהוי או תשלום, או כל דבר חסוי או סודי. עצם הפרטיות של הגולשים ושל האתר עצמו הנו גורם שהופך את הנתונים לדבר חשוב, ועקב כך את הצפנתם. כמובן, על כל אתר שכולל תשלום או הזנת פרטים אישיים, החובה כפולה ומכופלת – גורמים עוינים תמיד יפנו את תשומת ליבם לאתרים שמקבלים פרטים רגישים, וללא הצפנת תקשורת נאותה, יהיה להם הרבה יותר פשוט לגנוב מה שהם צריכים.
הפרוטוקול מאפשר ליישם הצפנה חזקה על הנתונים העוברים בתקשורת בין הלקוח לאתר האינטרנט, ובכך, מאפשרים:

  • למנוע גניבת נתונים מכל סוג שהוא, ועל אחת כמה וכמה נתונים פרטיים, או כאלה שניתן להשתמש בהם למטרות שיפגעו בגולש או בבעלי האתר בדרך כלשהי.
  • להגן על הגולשים, על האתר, על השרת ועל בעליו מפני התקפות "אדם באמצע" (MITM), שמאפשרות לגורמים עוינים לגנוב או להרעיל נתונים "בדרך" מהלקוח לשרת, או מהשרת ללקוח.
  • לשמור על פרטיותם של המשתמשים באתר, ועל ידי כך להגן עליהם ועל המוניטין של האתר עצמו.
  • לשמור על אמונם של הגולשים, אשר רבים מהם נמנעים מכניסה שאינם מסומנים כבטוחים בדפדפן באמצעות סמל המנעול: תמונה של קישור

יתרה מזאת, שימוש בהצפנת תקשורת נתונים הוא אחת מדרישות החובה של תקן PCI DSS – תקן שנוצר והוגדר על ידי חמשת חברות האשראי הגדולות בעולם (ויזה, מאסטרקארד, אמריקן אקספרס, דיסקוברי ו-ג’יי.סי.בי.). ללא שימוש בהצפנת תקשורת נתונים (לא בהכרח בפרוטוקול TLS, אך הוא עדיין הסטנדרט המוביל בתחום כיום), לא ניתן יהיה לקבל תשלומים ממרבית האוכלוסיה העולמית.

ההשפעה על SEO ועל דירוג בגוגל

אמנם בטיחותם של המשתמשים ושל האתר הנה די והותר על מנת להשתמש באמצעי הצפנת תקשורת, אך פרוטוקול SSL/TLS תורם באופן נרחב יותר להצלחתו של האתר, שכן, הוא משפיע רבות גם על דירוגו במנועי החיפוש ועל החשיפה שלו.

  • גוגל (ומנועי חיפוש אחרים) מתעדפים אתרי אינטרנט שמתקשרים באמצעות פרוטוקול HTTPS. הסיבה לכך ברורה – מנועי החיפוש עצמם צריכים להגן על המשתמשים בהם. יתרה מזאת, יישום אמצעי אבטחה פשוטים על אתרי אינטרנט הפך מזמן לסטנדרט שלא קשה לעמוד בו. לכן, גוגל ושאר מנועי החיפוש יתנו עדיפות ברורה לאתר מאובטח, וידרגו אותו בהתאם.
  • אחוזי המרה של אתרים שמספקים שירותים שונים משתפרים באופן משמעותי. הדבר נכון במיוחד לאתרי אינטרנט אשר כוללים תשלום או השארת פרטים אישיים כלשהם. בימינו, אבטחת מידע היא תחום שידוע, ברמתו הבסיסית, לכמעט כל משתמש שגולש ברשת האינטרנט, וגולשים ולקוחות לא ימהרו לשים את מבטחם באתר שאינו מתאמץ לאבטח את עצמו אפילו במעט.
  • הודעות מהדפדפן על כך שהאתר איננו מאובטח מופחתות, או נעלמות לגמרי. דפדפני אינטרנט מחפשים את התעודות אשר מצביעות על כך שהאתר לגיטימי ומשתמש בתקשורת מוצפנת. כאשר הם נתקלים בשרת שאינו מתקשר בצורה בטוחה ומוצפנת, הם מתריעים על כך בפני הגולשים (הודעות Not Secure), ולעיתים, חוסמים את הגישה אליו לגמרי. כאשר האתר כן משתמש בהצפנת נתונים, הודעות אלו לא יופיעו, ולא ימנעו מהגולשים להיכנס לאתר.
אתר ללא תעודת הצפנה , יסומן כבלתי בטוח בדפדפני האינטרנט.

אתר ללא תעודת TLS

אם לא נתקלתם בהודעה כזו בעבר, אתם יכולים לעשות ניסוי קטן – פתחו את דפדפן האינטרנט, והקלידו (או העתיקו) את הכתובת הבאה: http://httpforever.com. לאחר שתיכנסו לאתר, הביטו בפינה של שורת הכתובת בדפדפן, ותראו שהדפדפן מסמן לכם באופן ברור שהאתר לא מאובטח – Not Secure.
אם תנסו את אותו הדבר על אחד מדפדפני האינטרנט במכשיר הסלולרי שלכם, הדפדפן ימנע מכם את הגישה לאתר לגמרי. ייתכן שהדפדפן יאפשר לכם לבחור להיכנס לאתר בכל זאת, אך אין זה סביר שגולשים מן המניין יעשו זאת – הם לא ירצו לקחת את הסיכון.

סוגי תעודות

ישנם הרבה סוגים שונים של אתרי אינטרנט, וכתוצאה מכך, הרבה סוגים שונים של צורכי אבטחה והצפנה. כדי לענות על הצרכים הרבים הללו, ישנם כמה סוגים של תעודות SSL/TLS. ההבדלים ביניהן מתבטאים בעיקר ברמות האימות, ובעד כמה ספק התעודה היה יסודי בבדיקת הגורם שמקבל את התעודה.
ניתן לחלק את התעודות לשתי קבוצות:

תעודות לפי מתן תוקף

ישנם שלושה סוגים של תעודות לפי מתן תוקף:

DV – מתן תוקף לדומיין (Domain Validation) – תעודה זו היא הבסיסית ביותר, ולמעשה, מרבית התעודות החינמיות הנן מסוג DV. התעודה מאמתת כי ספק התעודה (CA) ווידא שהדומיין נמצא בבעלותו של הגורם שמבקש את התעודה.
היא מתאימה בעיקר לבלוגים, לאתרים קטנים, לאתרים שרוצים לשפר את דירוגם במנועי החיפוש, וכו’.

OV – מתן תוקף לארגון (Organization Validation) – תעודה "ברמת ביניים", אשר מוודאת לא רק את הבעלות על הדומיין, אלא את גם זהותו ואמיתותו של הארגון שמאחוריו (אם כי ברמה בסיסית).
לארגונים ולעסקים רשומים, לגורמים אשר מחזיקים באתרי מסחר אלקטרוניים, ולאתרים שפעולתם כוללת תשלומים או פרטים חשובים של לקוחות, מומלץ להשתמש בתעודה זו.

EV – מתן תוקף מורחב (Extended Validation) – הרמה הגבוהה ביותר של תעודות מתן תוקף (וגם, כצפוי, התעודה היקרה ביותר מהשלושה). תעודות EV מתאימות לארגונים גדולים, לעסקים שפועלים בהיקף רחב, למוסדות כלכליים (בנקים, חברות השקעות ופינטק, וכו’), לאתרי מסחר שרוצים לספק ללקוחותיהם את רמת האמינות הגבוהה ביותר, ולכל גורם אשר עשוי להימצא תחת התקפות סייבר רבות.
כדי לקבל תעודת EV, הארגון והאתר שבבעלותו צריכים לעבור בדיקות רקע מקיפות, הכוללות 16 קריטריונים, שנועדו לוודא את:

  • הבעלות על הדומיין שרשום בתעודה
  • חוקיות הארגון (בעל הדומיין ומבקש התעודה)
  • קיומו בפועל של הארגון, הן מבחינה תפעולית והן מבחינה פיזית
  • אימות טלפוני (כלומר, הטלפון שהעסק רשם בפרטי הקשר בבעלות על הדומיין)

שימוש בתעודת EV יכול להיות הכרחי במקרים מסוימים. למשל, מפתחי קוד ודרייברים למערכות Windows ומפתחים של אפליקציות פיננסיות נדרשים להשתמש בתעודת EV, לעיתים על מנת שניתן יהיה להשתמש במה שפיתחו מלכתחילה, ולעיתים כדי להימנע מהודעות "מפרסם לא ידוע" (Unknown Publisher) שעשויות למנוע מלקוחות להוריד את האפליקציה.

תעודות לפי היקף/כמות דומיינים

כלומר, כמה דומיינים יכולים להשתמש באותה התעודה:

  • Single Domain – תעודה שתקפה לדומיין אחד בלבד. גם כאן, מדובר בתעודה הבסיסית ביותר, ולכן מרבית התעודות מסוג זה הן חינמיות.
    תעודות SD מתאימות למי שמחזיק בדומיין אחד בלבד, או למי שרוצה להשתמש בהן לדומיין אחד בלבד. לרוב, ניתן להשיגן תוך דקות ספורות.
  • Multi Domain או Subject Alternative Names (בקיצור: SAN) – תעודה שניתן להשתמש בה למספר דומיינים (או תת-דומיינים) בו זמנית, או למספר כתובות IP ציבוריות. לעיתים, כתלות במחיר, ניתן להשתמש בתעודת MD למעל ל-250 דומיינים/תת-דומיינים.
    תעודה זו מתאימה למי שמחזיק במספר דומיינים, ורוצה ליהנות מעלות מופחתת ומהיעילות שביכולת להוסיף ולהסיר דומיינים שישתמשו בתעודה.
  • Wildcard – תעודה שמכסה את האבטחה של דומיין אחד ראשי, ומספר בלתי מוגבל של תת-דומיינים תחת אותו דומיין ראשי. למשל, אם הדומיין הראשי הוא example.co.il, התעודה תכסה אותו, ואת כל תת-הדומיינים המשויכים אליו, כמו blog.example.co.il ו-store.example.co.il. התעודה משתמשת בכוכבית (*) כדי לציין את ההגנה על דומיין ראשי ועל כמות תת-דומיינים בלתי מוגבלת. לדוגמה, example.co.il.*.
    תעודת Wildcard מתאימה לבעלי אתרים עם תת-דומיינים תחת הדומיין הראשי, כמו חנויות מקוונות (store.example.co.il ,checkout.example.co.il) או אתרי פלטפורמות פיתוח (dev.example.co.il ,stage.example.co.il).

סוג נוסף הוא UCC – ר"ת Unified Communication Certificate. תעודת UCC היא למעשה סוג של תעודת Wildcard, אך כזאת שמותאמת במיוחד לשרתים שנועדו לתקשורת ולשרתי Microsoft Exchange.

איך מתקינים תעודת SSL

אמנם התעודה היא למעשה קובץ לכל דבר, אך כדי שדפדפני המשתמשים יוכלו לזהות ולקרוא אותה, יש להתקין אותה על השרת. תהליך ההתקנה הוא פשוט באופן יחסי, במיוחד כאשר מדובר בתעודה חינמית, אך לפני כן, יש להנפיק את התעודה.
נזכיר שהתהליך יכול להיות שונה במקצת מספק לספק, כך שלא מדובר בהוראות מדויקות, אלא במידע כללי בלבד. כך הוא מתבצע באופן כללי:

הנפקה:

  1. בחירת תעודה מתאימה – על מבקש התעודה להגדיר את צרכיו, ולהבין איזה סוג תעודה (או תעודות) הוא צריך. שלב זה הוא חיוני ביותר, שכן שימוש בתעודה הלא הנכונה יכול לעלות לבעלי האתר בלקוחות ובדירוג במנועי החיפוש מאידך (אם התעודה ברמה "נמוכה" ממה שצריך האתר), או בתשלום שלא לצורך מגיסא (אם צורכי האתר מסתכמים בתעודה "בסיסית" יותר).
  2. בחירת ספק התעודה (CA, או Certificate Authority) – גם במקרה של ספק התעודה, מבקש התעודה צריך להביא בחשבון את צרכיו ואת צרכי האתר שלו. לא כל הספקים מספקים תעודות חינמיות, ולא כל התעודות (חינמיות או בתשלום) כוללות את אותם המאפיינים (תוקף, זמני אימות הלקוח וכו’). דבר נוסף שצריך להביא בחשבון הוא פאנל ניהול השרת בו משתמשים – ישנם פאנלים שמאפשרים שימוש בתעודות של חברות מסוימות בלבד.
  3. יצירת CSR (בקשת חתימת תעודה - Certificate Signing Request) – הבקשה תכלול את הפרטים שיופיעו בתעודה לכשתתקבל, כמו המפתח הציבורי שישמש לתהליך ההצפנה ופרטים שונים על המבקש כיישות חוקית/עסקית.
    ניתן ליצור CSR דרך כמעט כל פאנל ניהול שרת, או באופן עצמאי על ידי כלים שונים.
  4. אימות ו-ווידוא (על ידי ספק התעודה) – הספק יאמת את הפרטים שסופקו, בהתאם לסוג התעודה. בהכרח, בכל סוג תעודה, תהליך האימות כולל את ווידוא הבעלות על הדומיין המשויך לשרת שאמור לקבל את התעודה (באמצעות בדיקת רשומות DNS, משלוח דוא"ל, או העלאת קובץ לשרת). כמובן, ככל שהתעודה מתקדמת יותר וכוללת יותר פרטים, כך תהליך האימות יתארך.

קבלת והתקנת תעודת SSL

  1. קבלת התעודה – לאחר השלמת תהליך האימות, מבקש התעודה יקבל אותה מה-CA. במרבית המקרים, יתקבלו לא אחת אלא שתי תעודות: התעודה ה"ראשית", שמכילה את פרטי האימות להם הדפדפן זקוק; ותעודת "ביניים" (Intermediate Certificate), שמקשרת בין התעודה ה"ראשית" ל"תעודות שורש" שמותקנות על הדפדפן/מערכת ההפעלה של המשתמש.
    בדרך כלל, התעודות מתקבלות מהספק בדוא"ל, אך ישנם ספקים שמאפשרים להוריד אותן מהאתר שלהם.
כך נראית תעודת SSL/TLS כקובץ טקסט.

תעודת TLS כקובץ טקסט (פורמט PEM)

לא ניכנס לכך באריכות, אבל באופן עקרוני, לאחר שגורם כלשהו עובר את המבדקים הקפדניים והופך ל-CA, המידע שלו מוזן לנתונים של הדפדפנים ושל מערכות ההפעלה השונות, כדי שיוכלו לוודא כי התעודה עצמה ניתנה על ידי גורם לגיטימי. תעודת הביניים למעשה מאמתת את התעודה הראשית שמותקנת על השרת, בשביל תעודת השורש. כך, תהליך האימות מתבצע באמצעות שרשרת אמון, ומפתח ההצפנה הפרטי של תעודת השורש אינו חשוף לאף אחד.

  1. התקנת התעודה – התקנת התעודה כוללת שני שלבים:
  • מיקום קבצי התעודה בתיקיה המתאימה לכך בשרת
  • שינוי קובץ ההגדרה של השרת כך שלקוחות יופנו לתעודות כאשר הם יוצרים קשר עם השרת

    ניתן להתקין את התעודה באמצעות כל פאנל ניהול שרת שתומך בכך, או באופן ידני (העתקת הקבצים לתיקיה הנכונה ועריכה ידנית של קובץ ההגדרות של השרת).

אל תדאגו – Jetserver מספקת לכם שרתים עם פאנל ניהול cPanel, באמצעותו אתם יכולים ליצור בקשות CSR ולהתקין תעודות SSL/TLS בקלות ובמהירות, ותמיכה מלאה לאורך כל הדרך – בין אם אתם משתמשים בפאנל הניהול, ובין אם אתם רוצים לבצע את התהליך כולו באופן ידני.

למה לבחור ב-Jetserver?

כפי שאתם רואים, אנחנו לוקחים את אבטחת השרתים שלכם ברצינות – לא סתם הרחבנו בנושא תעודות SSL/TLS. האבטחה וההצלחה שלכם נמצאים בראש מעייננו, וחשוב לנו שתדעו למה אתם צריכים להשתמש בהצפנת תקשורת, ואיך הכל עובד.

איך אנחנו עושים את זה?

  • כל שירותי אחסון האתרים שלנו כוללים תעודות SSL חינמיות. אם יש לכם צורך בכך, אתם יכולים גם לרכוש תעודות מסחריות דרכנו.
  • אנחנו מספקים תמיכה טכנית מקצועית, שיכולה לסייע לכם בתהליך ההגדרה, הרכישה וההתקנה של התעודות.
  • השרתים שלנו כוללים את cPanel כפאנל ניהול שרתים, כלומר, סביר שלא תצטרכו את העזרה שלנו – תוכלו להתקין את התעודות במהירות ובקלות.
  • השירותים שלנו מותאמים לעסקים קטנים, בינוניים וגדולים כאחד, גם כשמדובר בתעודות אבטחה.
  • אמינות וזמינות הן בין העקרונות המשמעותיים ביותר מבחינתנו – השרתים שלנו זמינים 99.9% מתוך השנה לכל הפחות.

לסיכום

נתונים נמצאים במצב הפגיע ביותר שלהם כאשר הם בתנועה – זהו עיקרון עליו התקפות סייבר רבות נשענות. מסיבה זו, כל אתר אינטרנט שמיועד לשימוש ציבורי צריך להשתמש בתעודת SSL/TLS, והדבר נכון במיוחד לגבי אתרים שמקבלים פרטים חשובים של משתמשים או לקוחות.
הודות להצפנת הנתונים במעבר, קשה לגורמים הזדוניים (הרבים) לשים עליהם יד; ואם, במקרה, הם כן הצליחו, הם יתקשו אף יותר להשתמש בנתונים ללא מפתח ההצפנה הפרטי, שמוצפן אף הוא.

אך ההצפנה אינה חשובה רק כדי להגן על הנתונים של הגולשים ושל בעלי האתר. תעודות SSL מסייעות בשימור אמונם של הגולשים, המוניטין של האתר, ואף על דירוגו במנועי החיפוש השונים.
הצפנת SSL/TLS היא כבר מזמן איננה מותרות, אלא סטנדרט שמרבית האתרים בעולם כולו עומדים בו, ואף נדרשים לעמוד בו.

בדקו איזה סוג של תעודת SSL מתאים לאתר שלכם עם Jetserver – אנחנו זמינים 24/7 כדי לעזור לכם עם תהליך הרכישה וההתקנה, ולכל דבר נוסף. אתם מוזמנים ליצור איתנו קשר.

שאלות נפוצות של Jetserver – כל מה שצריך לדעת

SSL (ר"ת Secure Socket Layer) הוא פרוטוקול להצפנת נתונים כאשר הם במעבר בין שני גורמים ברשת האינטרנט (דפדפן ושרת, למשל). פרוטוקול SSL יוצר "מנהרה" מאובטחת בין שני הגורמים באמצעות תהליך הנקרא "לחיצת יד", כאשר כל הנתונים אשר עוברים במנהרה מוצפנים וקריאים רק ל"נמען" (השרת או הלקוח). כך, לגורמים זדוניים, קריאת הנתונים או השתלת נתונים זדוניים הופכת לכמעט בלתי אפשרית.

תעודת SSL היא קובץ שמותקן על שרת אינטנרט כחלק מפרוטוקול SSL, ומאפשר ללקוחות (כמו דפדפני אינטרנט) שיוצרים קשר עם השרת לאמת כי הוא אמין, שייך לגורם לגיטימי ולדומיין הרשום עליו, וכי ניתן ליצור איתו תקשורת נתונים מוצפנת.
תעודות SSL מכילות את פרטי בעלי השרת והדומיין, את פרטי ספק התעודה (CA), את מפתח ההצפנה הציבורי של השרת במסגרת פרוטוקול SSL, ואת תאריך התפוגה של התעודה.

HTTPS הוא למעשה פרוטקול HTTP בגירסה הבטוחה שלו (האות S מייצגת את המילה Secure, כלומר: Hypertext Transfer Protoco Secure). משמע, פרוטוקול להעברת וקבלת מידע דרך רשת האינטרנט, תוך שימוש בהצפנת SSL/TLS.

פרוטוקול TLS (ר"ת Transport Layer Security) הוא הגירסה המשודרגת של פרוטוקול SSL, שהוצא משימוש על ידי IETF בשנת 2015 עקב היותו בעל פגיעויות אבטחה רבות מדי. פרוטוקול TLS משתמש באמצעי הצפנה בטוחים יותר, ומקצר את תהליך "לחיצת היד" המבסס את התקשורת המוצפנת בין הלקוח לשרת, והוא זה שמשתמשים בו בפועל כיום. עם זאת, המונח "SSL" הושרש, ונמצא בשימוש (מילולי) גם כאשר בפועל ההצפנה מתבצעת באמצעות פרוטוקול TLS.
כדי למנוע בלבול, בהמון מקרים, משתמשים במונח SSL/TLS.

מניעת גניבת נתונים מהגולשים אשר נכנסים לאתר, במיוחד כאשר מדובר בפרטים אישיים או בפרטי תשלום.

הגנה מפני התקפות אדם באמצע (MITM) הן על הגולשים והן על האתר, שללא הגנה נאותה, עשויים ליפול קורבן להזרקת קוד זדוני, לגניבת נתונים ולחבלה בנתונים.

שימור המוניטין של האתר, הודות ליישום אמצעי אבטחה חזקים. אתר אשר גולשיו נפגעו עקב חוסר שימוש בהצפנה יאבד רבות מהמוניטין שלו ויפסיד גולשים ו/או לקוחות רבים.

למנוע "התרחקות" של הגולשים מהאתר, שיכולה להיגרם עקב אי הופעת סמל המנעול, אשר מחווה על כך שהאתר מאובטח ובטוח לשימוש.

השימוש בתעודת SSL/TLS מסייע לאתר לקבל דירוג גבוה יותר במנועי החיפוש ולמשוך יותר מבקרים ולקוחות.

• תיעדוף על ידי מנועי החיפוש – מנועי החיפוש השונים מזהים כי לאתר יש תעודת SSL/TLS, ומדרגים אותו בהתאם, כאשר אתרים ללא התעודה וללא הצפנת נתונים נאותה יקבלו דירוג נמוך יותר מאתרים שמשתמשים בהצפנה.

• אחוזי המרה גבוהים יותר – שכן, גולשים ומבקשי שירות רבים נמנעים ממתן פרטים לאתרים אשר אינם מאובטחים ולאתרים אשר סמל המנעול לא נמצא ליד הכתובת שלהם בדפדפן.

• אין הודעות "Not Secure" - כאשר האתר איננו כולל תעודת SSL/TLS, הדפדפן מתריע בפני הגולשים שהוא איננו בטוח, ולעיתים אף חוסם את הגישה אליו לגמרי. כדי להימנע מכך, על בעלי האתר להתקין תעודת SSL/TLS על השרת שלהם ולהשתמש בתקשורת נתונים מוצפנת.

פרוטקול SSL/TLS משתמש גם בהצפנה סימטרית וגם בהצפנה אסימטרית כחלק מתהליך התקשורת המוצפנת.

הצפנה סימטרית – כדי להצפין את המידע המועבר מהלקוח לשרת ומהשרת ללקוח (לאחר ביסוס התקשורת בתהליך "לחיצת היד"). ליתר דיוק, ההצפנה הסימטרית מתבצעת באמצעות מפתחות "מאורע" (Session Keys) – מפתחות הצפנה חד-פעמיים שנוצרים לכל סשן לאחר תהליך לחיצת היד.

הצפנה אסימטרית – כחלק מתהליך "לחיצת היד", אשר מבסס את התקשורת המוצפנת בין הלקוח לשרת, וכולל את יצירת המפתחות הסימטריים החד-פעמיים.

לחיצת היד (Handshake) היא התהליך אשר באמצעותו הלקוח והשרת מבססים את התקשורת המוצפנת ביניהם ואת תנאיה. התהליך כולל את הקביעה באמצעות איזה אלגוריתם תתבצע ההצפנה, את ווידוא הלגיטימיות של השרת על ידי הלקוח באמצעות תעודת ה-SSL/TLS, ואת יצרתם של מפתחות ההצפנה שישמשו את הלקוח ואת השרת כדי להצפין וכדי לפענח את הנתונים המועברים ביניהם.

למרות שתהליך לחיצת היד התקצר משמעותית מאז המעבר לשימוש בפרוטוקול TLS 1.3, הבסיס שלו נשאר דומה. כך הוא מתבצע (באופן מאוד כללי):

  1. 1. הלקוח שולח "שלום" (ClientHello) – הלקוח יוצר קשר עם הדומיין המקושר לשרת, ומבקש לבסס את תהליך ההצפנה על פי גירסת פרוטוקול TLS ואלגוריתמי ההצפנה בהם הוא תומך. נוסף על כך, הוא מבקש מהשרת להציג את תעודת ה-SSL/TLS שלו, ושישתף אותו במפתח ההצפנה הציבורי שלו.
  2. 2. השרת משיב ב"שלום" (ServerHello) – ו"מסכים" עם הלקוח על אלגוריתם הצפנה. הוא מציג בפניו את תעודת ה-SSL/TLS שלו ומשתף איתו את המפתח הציבורי בו הוא משתמש. המסר גם כולל הודעת "סיימתי" מהשרת (ServerFinished).
  3. 3. הלקוח משלים את התהליך – על ידי ווידוא אמיתות תעודת ה-SSL/TLS של השרת, ועל ידי יצירת מפתחות הצפנה. לבסוף, הלקוח "מיידע" את השרת שהוא סיים (ClentFinished).
  4. 4. תקשורת מוצפנת! – הלקוח והשרת מחזיקים במפתחות ההצפנה הדרושים כדי להצפין ולפענח את הנתונים המועברים ביניהם. כעת ניתן לקשר באופן מאובטח ומוצפן.

הנתונים מוצפנים באמצעות האלגוריתם עליו החליטו הלקוח והשרת. הם מפוענחים באמצעות מפתחות הצפנה סימטריים הנקראים Session Keys, שנוצרים על ידי מפתחות ההצפנה האסימטריים שנוצרו בזמן לחיצת היד.

כשם שישנם לקוחות שונים, אתרים בעלי מטרות שונות, וצרכי אבטחה שונים, כך ישנם סוגים שונים של תעודות SSL/TLS. ניתן למיין אותן בשתי דרכים: לפי מתן תוקף (Validation) ולפי כמות הדומיינים שהן מכסות.

• DV (ר"ת Domain Validation) – מתן תוקף לדומיין: תעודת SSL/TLS הבסיסית ביותר, שמאמתת את הבעלות על הדומיין בלבד.

• OV (ר"ת Organization Validation) – מתן תוקף לארגון: תעודה שמאמתת את הבעלות על הדומיין ואת זהות ואמיתות הארגון לו הדומיין שייך (ברמה בסיסית).

• EV (ר"ת Extended Validation) – מתן תוקף מורחב: תעודה אשר כוללת אימות ו-ווידוא יסודי של הבעלות על הדומיין ושל הארגון לו הדומיין שייך. הווידוא כולל כולל בדיקות רקע מקיפות עם 16 קריטריונים שונים, שמכסים את הבעלות על הדומיין, חוקיות הארגון, קיומו של הארגון בפועל (תפעולית ופיזית), אימות טלפוני, ועוד.

• Single Domain (או SD) – תעודה SSL/TLS התקפה לדומיין אחד בלבד.

• Multi-Domain (או MD) – נקראת גם SAN (ר"ת Subject Alternative Domain). תעודה בה ניתן להשתמש למספר דומיינים, תת-דומיינים או כתובות IP ציבוריות – בו זמנית.

• Wildcard – תעודה המכסה דומיין אחד ראשי, ואת כל תת-הדומיינים שמתחתיו. לדוגמה, אם הדומיין הראשי הוא example.co.il.*, התעודה תכסה אותו ואת כל תת-הדומיינים המשוייכים אליו, כמו store.example.co.il ו-checkout.example.co.il.

• UCC - ר"ת Unified Communication Certificate. זהו סוג של תעודת Wildcard, המותאמת לשרתי תקשורת ולשרתי Microsoft Exchange.

התקנת תעודת SSL/TLS היא תהליך פשוט באופן יחסי. כך הוא מתבצע:

  1. 1. בחירת התעודה המתאימה – לפי צרכי המשתמש בתעודה ולפי רמות האבטחה להן האתר (והגולשים) זקוק.
  2. 2. בחירת ספק התעודה (CA) – גם בחירה זו צריכה להתחשב בצרכי המשתמש בתעודה וברמות האבטחה הנחוצות. בנוסף, יש להתחשב במגבלות שונות, כמו מחיר או האפשרויות בפאנל ניהול השרת (אם משתמשים בפאנל ניהול שרת).
  3. 3. יצירת CSR – ר"ת Certificate Signing Request (בקשת חתימת תעודה). הבקשה תכלול את הפרטים הנחוצים בהתאם לסוג התעודה. ניתן לבצע את הבקשה דרך מרבית פאנלי ניהול השרת הנפוצים כיום (cPanel ,Plesk ,WHM וכו’), או באופן "ידני" באמצעות כלים שונים (כמו OpenSSH).
  4. 4. אימות ו-ווידוא הפרטים על ידי ספק התעודה – תהליך שיכול לקחת בין כמה דקות לכמה ימים, ותלוי בעיקר בסוג התעודה ובדרישותיה.
  5. 5. קבלת התעודה – לאחר האימות על ידי הספק, ניתן יהיה להוריד את התעודה מאתרו של הספק, או לקבל אותה בדוא"ל.
  6. 6. התקנת התעודה – ההתקנה מתבצעת על ידי מיקום קבצי התעודה בתיקיה המיועדת לכך והוספת התעודה לקובץ ההגדרות של השרת. ניתן להתקין את התעודה באופן ידני או באמצעות פאנל ניהול השרת.

כן, כן, וכן.

אנחנו מספקים שירותי גיבוי שונים לכל השרתים שלנו. השירותים כוללים גיבויים אוטומטיים וידניים, אחסון על שרתים מרוחקים, שימוש בתוכנת JetBackup, ושירותי התאוששות מאסון.

אנחנו גם מאפשרים שימוש ברשתות CDN באמצעות השותפים שלנו – Cloudflate ו-Sucuri.

כל חבילות אחסון האתרים שלנו כוללות תעודת SSL חינמית, ומאפשרות רכישת תעודת SSL לא חינמית (בתשלום נוסף).

חברת Jetserver מחויבת לאבטחת השרתים של לקוחותיה, ושמה את הצלחתם בראש מעייניה. מסיבה זו:

• כל שירותי האחסון שלנו כוללים תעודות SSL/TLS חינמיות, וניתן לרכוש דרכנו גם תעודות מסחריות.
• אנחנו מספקים ללקוחותינו תמיכה טכנית מקצועית וזמינה 24/7, לסיוע בתהליכי הרכישה, ההגדרה וההתקנה של התעודות.
• כל שרתי האחסון שלנו משתמשים ב-cPanel כפאנל ניהול, דרכו תוכלו להתקין תעודות של מרבית ה-CA הנפוצים בקלות ובמהירות.
• השירותים שלנו מותאמים לעסקים וללקוחות מכל הסוגים והגדלים, ועקב כך, לכל צורכי האבטחה – גם כשמדובר בתעודות SSL/TLS ובהצפנת נתונים.

השותפים שלנו

  • js-partners-02
  • js-partners-03
  • nginx-js-partners-04
  • js-partners-06
  • mariadb-icon
  • docker-icon
  • nodejs
Skip to content