מהי תעודת SSL?

מנעול קטן – אבטחה גבוהה!

עולם האינטרנט והדיגיטל הולך ומתרחב עם השנים. בעלי עסקים, קטנים וגדולים כאחד, מבינים כי נוכחות דיגיטלית במרחבי הרשת, תגדיל את נפח העסקים שלהם, והעסק או המותג שלהם יפרחו ככל שהם יקודמו ברשת. בנוסף, עסקים רבים הבינו כי הגולשים בישראל אוהבים לבצע פעולות ובפרט קניות באינטרנט,  ובהתאם מעבירים את פעילותם העסקית יותר ויותר אל עבר מסחר אלקטרוני (e-commerce) מלא.

יחד עם זאת, ברור כי גולשים המעוניינים לרכוש online לא יזינו את פרטי האשראי שלהם לכל אתר – ניסיונות דיוג (phishing) של מידע והונאות באינטרנט גרמו למשנה זהירות מצד הגולשים ועל מנת שבעלי האתרים יוכלו להמשיך ולמכור, הוקמו אתרי אינטרנט המאובטחים באמצעות פרוטוקול SSL (Secure Sockets Layer), המופיעים באינטרנט ככתובות ה-https.

לא כל s נותן security אמיתי

SSL היא שיטת הצפנה ואבטחה לדפי אינטרנט מאובטחים. דפים מאובטחים הם דפים שהתקשורת בינם לבין הדפדפן מוצפנת, ושזהות החברה או האדם המציג את הדפים ניתנת לבירור.

אלמנטים נוספים שירמזו על זהות האתר היא כתובת URL תקינה ורציפה, כזו למשל שאין בה נקודה חשודה בין מילים או שיבוש אותיות (ama.zon.com למשל). כמו כן, קחו רגע להתרשם מהנראות הכללית של האתר. באתרים מזויפים לרוב הגרפיקה וחווית הרכישה תהיה בסיסית ולא טובה. למשל, אלמנטים כמו לוגו האתר לא יהיו באיכות גבוהה ודף האודות או משלוחים והחזרות לא יופיע בשום מקום.

בהרבה אתרים תופיע הכתובת https, בעלי אתרים צריכים לרכוש את פרוטוקול ה-SSL על מנת שכתובת האתר תופיע בתצורה הזו, אך יחד עם זאת, לא כל פרוטוקול SSL הוא אמין ונותן אבטחה מלאה באתר.

אחד הכלים המיידיים לבדיקה של אמינות האתר שבו אתם נמצאים היא תעודת ה-SSL שלו.

מהי תעודת SSL ולמה צריך אותה?

תעודת SSL היא תקן המעיד שהתקשורת בין המחשב שלנו לאתר האינטרנט מוצפנת. מידע מקומי הקשור לתקשורת המוצפנת (למשל מס' כרטיס האשראי) אינו נשמר על המחשב וכך מסופקת הגנה למידע רגיש. כלומר, באתר המחזיק בתעודת SSL, גורם שינסה לפרוץ או לדוג (hacking and phishing) לדוגמה את פרטי האשראי בעת הקנייה – ייכשל.

תעודת SSL ניתנת באמצעות גוף מאושר המנפק תעודות SSL. הגופים המאשרים את התעודות מנפיקים את תעודת ה-SSL בשלוש רמות אבטחה שונות כאשר :

• DV (Domain Validation) – רמה בסיסית הדואגת לאבטחה שמצפינה את התקשורת בין האתר לבין הגולש.
• (OV (Organizational Validation – בנוסף להצפנת התקשורת, תעודה זו מזהה את בעלי האתר. תעודת ברמת אבטחה זו (רמת ביניים), מבטיחה שהאתר עצמו הוא לגיטימי ואינו מנסה לגנוב את הפרטים בשם אתר אחר (phishing).
• EV (Extended Validation) – תעודת SSL ברמה הגבוהה ביותר, המחזקת את ההגנה הקיימת על האתר באמצעות הצפנה ברמה גבוהה יותר וכוללת בתוכה מנגנון גילוי אתרים באמצעות צביעה אוטומטית של שורת ה-URL בדפדפן:
  • צבע אדום – אתר מתחזה – יש להימנע מגלישה באתרים אלו ובפרט לא להעביר מידע פרטי כגון מס' חשבון בנק, ושאר פרטים מזהים.
  • צבע ירוק – אתר אמין – באתר זה אפשר לגלוש בבטחה ובלי דאגה.

החברה המנפיקה את תעודת ה-SSL, היא האחראית על נכונות המידע המופיע באתר. ככל שמפתח ההצפנה ארוך יותר, כך ההצפנה חזקה יותר והמידע מוגן יותר. המפתחות הנפוצים בשוק הם באורך 40bit ו-128bit, כאשר העדיפות בהתאם היא למפתח הצפנה באורך 128bit.

ככלל, לגולשים באינטרנט יש אמון רב יותר בדפים מאובטחים, ולא רק באתרים המספקים מידע אישי או אתרי סחר אלקטרוני. בדף מאובטח, הגולש יודע שהחברה שהנפיקה את מפתח ה-SSL בדקה ואמתה את פרטי בעלי האתר.

חשוב לדעת כי חברות כרטיסי האשראי מחויבות שטפסים בהם מועברים הזמנות באמצעות מספרי כרטיסי אשראי, יהיו מאובטחים בטכנולוגית SSL. לכן, אתרי e-commerce חייבים להנפיק תעודת SSL ברמת OV לפחות.

קראו עוד על חמשת אמצעי הגנה דיגיטליים שכל ארגון חייב לאמץ