גוגל, או יותר נכון אנשי גוגל המנווטים את פרויקט כרומיום הנמצאת בבסיס כרום, דפדפן הרשת הפופולרי ביותר כבר שמו עין על אתרים שאינם מאובטחים. מה הכוונה בלא מאובטחים? רואים את ה-https הירוק ליד כתובת אינטרנט ישראל? זה אומר שכל תקשורת בינכם לבין האתר היא תקשורת מאובטחת. תקשורת שלא ניתן להאזין לה. אני יודע שכשחושבים על ‘האזנה’ מדמיינים סוכני CIA שפורצים למרכזיית תקשורת, אך האזנה יכולה להיות פשוטה בהרבה: למשל בעל בית קפה שדרך ה-wi-fi שלו אתם גולשים יכול להאזין לתקשורת שלכם או וירוס קטן שיושב על הראוטר שלכם.
כבר בעבר גוגל הודיעו שהם יתעדפו בתוצאות מנועי החיפוש אתרים שמשתמשים ב-https. גם מהצד שלהם אנשי כרום החלו לדחוף את עניין השימוש בפרוטוקול מאובטח. ראשית כל אתר המשתמש בשדה סיסמה יזכה לחיווי נאה של Not secured אם הוא נמצא בדף לא מאובטח. הכנסו עם כרום לחנות כלשהי שאינה מאובטחת ב-https ומכילה כניסת לקוחות. ישר תוכלו לראות את החיווי הזה בשורת הכתובות:
לא מזמן גוגל הודיעו שהחל מאוקטובר, החיווי הזה יכל בכל אתר שיכיל כל שדה input שהוא. כלומר גם למשל בטוקבקים באתר ynet שאינו מאובטח. ברגע שמשתמש יתחיל להקליד את הטוקבק שלו לכתבה, הוא יקבל חיווי מיידי שהאתר אינו מאובטח.
כמובן שכל כלי התקשורת גם יסבלו מזה חוץ מהאתר הארץ ו-וואלה שבולטים באיכות הטכנולוגית שלהם מעל שאר הרפש הישראלי ושניהם מאובטחים בפרוטוקול https.
אם נכנסים לאתר במוד אינקוגניטו, יופיע חיווי באתר בלי שום קשר להקלדה של הגולש. גוגל עושים את זה כיוון שהם מניחים, עם מידה לא מבוטלת של צדק, שמי שגולש במוד אינקוגניטו מקפיד יותר על פרטיות. בפוסט בלוג גוגל הבהירו שזה גם העתיד עבור הדפדפן הרגיל.
יש לכך השלכות לא מבוטלות על השוק הישראלי כיוון שברוב העמודים, קטנים או גדולים, יש שדות קלט ובמיוחד באתרים קטנים כמו עמודי נחיתה. לקוחות לא יאהבו לראות שבראש עמוד הנחיתה המושקע שסיפקתם להם יהיה not secured.
אז מה עושים? מבינים שאין מנוס מלבד לעבור ל-https. ניתן ואף רצוי לעבור ל Let’s Encrypt שהוא שירות מבוסס קוד פתוח וחינמי לחלוטין המאפשר SSL על השרת שלכם. יש לא מעט ספקי אחסון (כמו siteground למשל) שתומכים בו Out of the box. כך זה נראה ב-cpanel של האתר הזה למשל:
זה מאפשר ליצור תוך שניות תעודת אבטחה. כמובן שנדרשת הבנה מינימלית בהצפנה. אבל אני מאמין שזה ידע אלמנטרי שיש לכל בונה אתרים.
אם אתם מזמינים שירות מבונה אתר, הקפידו על כך שהאתר חייב להיות ב-SSL. אם בונה האתר טוען שזה ‘מסובך’ או ‘יקר’ – החליפו אותו כיוון שזה לא מסובך, לא יקר ובוודאי שלא מאט את האתר (ואף יכול להאיץ אותו).
ראוי לציין שפיירפוקס היה שם קודם וכבר מבצע התראה בפני הגולשים על שימוש בפרוטוקול לא מאובטח. זה העתיד של הרשת חברים.
מעניין מאוד,
תוכל לכתוב פוסט שמלמד להעביר אתר לhttps באחסון שלא נותן פתרון חינמי שכזה?
באמת שזה נתפס כמפחיד ומורכב ודורש עלויות נוספות.
מאמר מושלם תודה על המידע המפורט
מאמר מצויין כתמיד.
כמובן שיש לזכור שיש למעבר ל https גם משמעויות ברמת קישורים, וצריך לעשות את המעבר הזה בצורה נכונה כדי שדיוורים, קישורים ושאר לינקוקים יעבדו כראוי.
באתר של עידן בן אור יש מדריך קצר ולעניין להעברה נכונה לאתר מאובטח:
https://www.idanbenor.co.il/blog/moving-site-to-https/
מאמר מעולה, תודה!
כתבתי קצת יותר בפירוט על אפשרויות התקנה בבלוג שלי.
אולי יהיה לעזר לחלק מהגולשים:
https://wpdev.co.il/install-free-ssl-certificate-with-upress-cpanel-vps/