איך מעבירים אתר ל-HTTPS: המדריך המלא בעשרה צעדים

אבטחה ברשת האינטרנט היא לא מושג חדש. עד לא מזמן היא התייחסה בעיקר לאתרים המאפשרים רכישה מקוונת של מוצרים, מה שדרש מן האתרים להשתמש בפרוטוקולים מוצפנים על מנת להגן על פרטי כרטיסי האשראי המוזנים למערכת. אולם בתקופה האחרונה יותר ויותר אתרי אינטרנט מסוגים שונים רואים צורך בשימוש בפרוטוקולים של אבטחה, ועל כן גם עמודי מידע, בלוגים ואתרים נוספים עוברים לשימוש ב-HTTPS.

רוב אתרי האינטרנט מתבססים על פרוטוקול HTTP רגיל, המשמש להעביר עמודי HTML הכוללים אובייקטים כגון מלל, תמונות, סרטונים וכדומה. פרוטוקול SSL, להבדיל, הוא מנגנון הנועד לאבטח את התעבורה ולהגן מפני האזנות סתר, זיופים או חבלות במידע העובר בין השרת שעליו נמצא האתר ובין הלקוח.

החיבור בין פרוטוקול HTTP  לבין SSL יוצר את ה-HTTPS. זהו פרוטוקול תקשורת המבצע אימות של שני הצדדים ויוצר ביניהם קשר מאובטח המגן על תעבורת המידע מפני חדירה של גורם שלישי העשוי להיות עוין. זו הסיבה שהשימוש בפרוטוקול HTTPS נפוץ באתרים בהם קיימת העברת כספים או פרטים אישיים של גולשים: אתרי מסחר אלקטרוני, דואר אלקטרוני, בנקאות מקוונת, מחשוב ענן וכדומה. עם זאת, לאור האפשרות כי גם בסוגי אתרים נוספים ניתן יהיה לגלות מידע רגיש ולעשות בו שימוש לרעה (למשל לצרכי פרסום), יותר ויותר אתרים נוספים עוברים להשתמש בו.

ליתרונות האבטחה של שימוש ב-HTTPS יש להוסיף את העובדה ששימוש בפרוטוקול זה מוערך יותר על ידי גוגל. כך, כאשר גולש יקליד בגוגל מחרוזת חיפוש כלשהי, אתרים המשתמשים ב-HTTPS יקבלו עדיפות כשיופיעו בין תוצאות החיפוש – מה שיוביל להגדלת התנועה לאתר.

רישיון SSL מאפשר הקמת קשר מאובטח בין השרת שעליו מאוחסן האתר לבין הדפדפן בו משתמש הגולש, תוך הצפנת המידע העובר ביניהם. חשוב לציין כי בעוד שקיימים סוגים שונים של רישיונות SSL במחירים שונים, העיקרון נותר זהה בכולם, וההבדלים במחירים נובעים מהתוספות הנלוות לרישיון.

רישיון SSL בסיסי הוא SSL של דומיין. ניתן לרכוש אותו באופן מיידי, והוא מבצע אימות באמצעות דואר אלקטרוני בלבד על מנת לוודא את זהות שני הקצוות של הקשר. רישיון מסוג זה מתאים לעסקים קטנים עם תקציב נמוך שאינם זקוקים למערכת סליקה מקוונת באתר.

מעליו ברשימת הרישיונות נמצא רישיון SSL ארגוני, אשר מבצע אימות ברמה גבוהה יותר. למשל, מוודא את זהות בעל החברה. כתוצאה מכך, תהליך הרכישה שלו עשוי להתארך מעט, עד לשניים או שלושה ימי עסקים. בשימוש ברישיון מסוג זה, שם החברה ושם הדומיין יופיעו בשורת המשימות של הדפדפן.

ולבסוף, קיים רישיון SSL מסוג אימות מורחב (Extended Validation), שהוא היקר ביותר ומשך רכישתו הוא הארוך ביותר (עד חמישה ימי עסקים). רישיון זה מבצע אימות מדוקדק יותר של החברה, תוך ירידה לפרטים משפטיים, תפעוליים ופיזיים, ועל כן עשוי להצריך הנפקת טפסים ואישורים מסוימים.

ברגע שרכשתם את רישיון ה-SSL בו אתם מעוניינים, על פי הרשימה שהוצגה לעיל, עליכם לאשר ולהתקין אותו. אם ניקח כדוגמה את רישיון הדומיין הבסיסי, אזי יישלח אליכם מייל אישור אוטומטי שמטרתו לאמת את זהותכם באמצעות כתובת הדואר האלקטרוני. כל שתצטרכו לעשות הוא להקליק עליו – וסיימתם! תוכלו גם להיעזר בחברה בה מאוחסן השרת שלכם על מנת לאמת רישיונות SSL מסוגים אחרים.

תמיד טוב לבצע גיבוי של האתר מעת לעת ליתר ביטחון, ועל אחת כמה וכמה כאשר מבצעים בו שינויים מקיפים. המעבר מ-HTTP ל-HTTPS הוא צעד משמעותי שאמנם אינו אמור ליצור בעיות מיוחדות כל עוד תעקבו אחר המדריך שלהלן, אולם לכל מקרה מומלץ לבצע גיבוי של האתר הקיים לפני שממשיכים הלאה. לשם כך צרו קשר עם החברה בה מאוחסן האתר שלכם והתייעצו בה.

לפני שמעבירים את האתר מ-HTTP ל-HTTPS יש לעדכן את כל הקישורים הפנימיים שבאתר. קיימות דרכים לעשות זאת באופן אוטומטי, למשל בוורדפרס ובמערכות דומות, אולם אם האתר שלכם מספיק קטן – כדאי לבצע זאת באופן ידני ולעבור קישור אחר קישור על מנת לשנותו. מומלץ להסתמך על מראה עיניים ולא להסתמך באופן בלעדי על תוכנות אוטומטיות, משום שקישורים בודדים שמשום מה לא ישתנו מעצמם עשויים להוביל להודעות שגיאה (404 Error), מה שעלול להזיק למאמצי קידום האתר בגוגל.

צעד זה נוגע בעיקר לאתרים גדולים ומורכבים העושים שימוש בטכנולוגיות נוספות מאחורי הקלעים, כגון ג’אווה סקריפט או AJAX: בקשו מן המפתחים או המתכנתים לעדכן את הקוד כך שכל הקישורים הקיימים או החדשים עוברים לשימוש ב-HTTPS.

לא תמיד יש לכם שליטה על כלל הקישורים המובילים לאתר שלכם מאתרים חיצוניים אחרים, אולם התמקדו באלה שכן יש לכם אפשרות לעדכן – ושנו אותם ל-HTTPS. הכוונה בעיקר לקישורים מאתרי מאמרים שיש באפשרותכם לערוך, בלוגים שאתם מתפעלים, קישורים שמתפרסמים ברשתות חברתיות כגון פייסבוק וכן הלאה. אין צורך לעבור קישור-קישור ולשנות את כולם, אלא מספיק להתמקד בעיקריים שבהם.

הפניה קבועה, או הפניה 301 – כמו שפירטנו במאמר – מהי הפניית 301 ולמה כדאי להשתמש בה?, מאפשרת לאתר להודיע לגולשים ולמנועי החיפוש המגיעים אליו כי עמוד מסוים, ספריה או כל האתר עברו לכתובת חדשה. ההפניה הזו מתבצעת אצל המשתמשים באופן אוטומטי (הכתובת בדפדפן שלהם תתעדכן מעצמה), ואינה פוגעת בדירוג האתר במנועי החיפוש. על מנת ליצור את ההפניה הזו תצטרכו לעדכן מספר קבצים באתר, אולם תוכלו להסתייע במדריכים או באיש מקצוע.

אתרים רבים נוהגים להשתמש במערכות משלימות, כגון מערכות לשליחת ניוזלטרים או חשבוניות, תוכנות ליצירת עמודי נחיתה וכדומה. רצוי להכין מבעוד מועד רשימה של כל המערכות המשלימות הללו ולעדכן גם את הקישורים שבהם. נכון, בשלב הזה כבר אמורה להיות קיימת הפניה 301 שתעביר באופן אוטומטי את הגולשים למיקום החדש, אולם עדיין נראה מקצועי יותר להפנות אותם ישירות ולא באמצעות ההפניה.

אם אתם משתמשים במערכות CDN, השומרות עותקים של האתר על מספר שרתים שונים על מנת שגולשים ממקומות שונים בעולם יוכלו לטעון אותו מן השרת הקרוב אליהם ובכך להאיץ את קצב טעינת האתר – יש לעדכן גם אותם.

אם הנכם משתמשים בפרסום ממומן בגוגל, בפייסבוק או בכל מקום אחר, ודאו שהן מפנות מעתה ואילך אל אתר ה-HTTPS. אל תסמכו לשם כך על הפניה 301, שכן אם היא תחמיץ מספר קישורים, הדבר עלול לגרום לכם נזק.

לסיום, עדכנו את חשבונות הגוגל שלכם: בגוגל אנליטיקס פשוט שנו את כתובת ברירת המחדל ל-HTTPS. ב-Google Search Console תצטרכו להוסיף את האתר מחדש כשהוא ב-HTTPS.