למה חשוב לעבור ל https?

כל הסיבות למעבר לאתר מאובטח יותר

בוודאי יצא לכם לשמוע על החשיבות של אבטחת אתרים ויכול מאוד להיות שחברת אחסון האתרים שלכם או החברה שבונה לכם את האתר ייעצה לכם לרכוש תעודת אבטחה הידועה גם כתעודת SSL.

התפקיד של תעודת SSL הוא לאבטח אתרים דרך תקן שנקרא HTTPS. כאשר האתר שלכם משתמש בתעודת SSL שנמצאת על השרת, המידע שעובר בינו לבין הגולשים שלכם (לשני הכיוונים) מוצפן, כך ששום גורם שלישי לא יכול לגנוב אותו בזמן ההעברה. קיימים מספר סוגים של תעודות אבטחה על פי רמת הצפנה, גובה הפיצויים אליו החברה מתחייבת וכו'.

אבל האם גם אתר שלא מעביר מידע רגיש צריך את התעודה הזו? התשובה היא בהחלט כן.

אז למה בעצם כל אתר צריך להיות מאובטח?

מנהלי אתרים רבים יוצאים מנקודת הנחה שאם האתר שלהם לא מעביר פרטים רגישים בינו לבין הגולשים, הרי שאין שום טעם להתקין בו תעודת אבטחה, אך תקן HTTPS לא נועד רק על מנת להגן על אתרים, אלא מהווה כיום חלק אינטגרלי מתקנים עתידיים ברשת.
לדוגמה, אתרי אינטרנט שרוצים להיות מוצגים כאפליקציה בטלפונים ניידים ללא תהליך פיתוח ארוך (Progressive Web Apps), חייבים להשתמש בתקן HTTPS על מנת שיוצגו כראוי בדפדפן הסלולרי ויוכלו להפעיל תכונות כגון גישה למצלמה או אפילו מעקב אחרי המיקום של המשתמש.

דבר נוסף: למעט אתרים מאוד ישנים, רוב האתרים כיום נסמכים על מערכת ניהול תוכן דרכה בעל האתר יכול לעדכן את האתר. כאשר האתר לא מאובטח, כמעט כל אספקט במערכת הניהול, ובמיוחד סיסמאות וכתובות דואר אלקטרוני של המנהלים עשויים להיות חשופים למי שמאזין לתקשורת.

שמירה על פרטיות הגולשים

כאשר אנחנו חושבים על מידע רגיש, אנחנו בדרך כלל חושבים בראש ובראשונה על כרטיסי אשראי, כתובות דואר אלקטרוני וסיסמאות, אבל מידע רגיש יכול להיות גם צפייה בפעילות של הגולש ברשת בזמן אמת או לא בזמן אמת על מנת לזהות דפוסי התנהגות וגלישה קבועה בדפים מסוימים בתוך האתר. פעילות שכזו עשויה לשמש למטרות מסוכנות יותר ופחות : החל ממעקב אחרי עובדים ועד לגניבת זהות וריגול עסקי. כמובן שאתר מאובטח לא מגן לחלוטין על הפרטיות של המשתמש ב-100% מכיוון שחלק מהמידע כגון היסטורית הגלישה עדיין נשמרת על הדפדפן, אך כל דבר שתורם לאבטחה הינו חשוב.

תעודת אבטחה מגנה לא רק בפני האקרים

עוד סברה היא שתקן HTTPS נועד להגן רק בפני האקרים, אך בפועל עשויים להיות גם גורמים אחרים שרוצים "להתעסק" עם הקוד של האתר שנשלח לדפדפן של המשתמש. זו יכולה להיות רשת אלחוטית של בתי מלון שמספקת אינטרנט חינם תמורת צפייה בפרסומות, אבל גם מידע רגיש אחרי שספקית האינטרנט של המשתמש אולי תרצה גישה אליו מסיבות כאלו ואחרות. "הזרקה" של קוד לתוך האתר עשויה לפגוע בחוויית הגלישה או אפילו לאפשר שתילה של קוד זדוני בתוך האתר עצמו (Malware).

גוגל מעודדת אתרים מאובטחים

אחת הסיבות לכך שכיום כמעט כל אחד מכיר את החשיבות שבאבטחת אתרים היא גוגל וההודעה שלה כי תתחשב גם ברמת האבטחה של האתר כאשר היא מדרגת אתרים בתוצאות החיפוש. ההכרזה הזו אמנם לא חדשה ולא ברור מהי מידת ההשפעה האמיתית של האבטחה על הדירוגים, אבל כאשר התחרות בין האתרים השונים ברשת על המקומות הראשונים בחיפוש היא כה גדולה, כמעט כל אחד רוצה להשיג יתרון מסוים על מתחריו.

דבר נוסף – הדפדפן כרום מבית גוגל, אשר שולט ביד רמה בשוק הדפדפנים כיום, מציג סימן ברור כאשר האתר מאובטח וסימן אזהרה כאשר המשתמש נמצא בדף השולח פרטים רגישים ואינו מאובטח, כך שגולש שמגיע לאתר לא מאובטח עשוי להימנע מלהשתמש בו.