משתמשי האינטרנט שמו לב ודאי, כי כתובות האינטרנט כוללות עוד לפני ה-WWW המפורסם, קידומת נוספת: HTTP. מדובר למעשה בפרוטוקול הנפוץ שעומד מאחורי התעבורה ברשת באינטרנט. עם זאת, זהו איננו הפרוטוקול היחיד לתעבורה ברשת. במקביל לפרוטוקול ה-HTTP, פועל פרוטוקול ה-HTTPS, שהוא פרוטוקול קשוח ומאובטח, שעד כה היה נחלתם של מוסדות פיננסיים, מוסדות ממשלתיים, אירגונים השומרים על פרטים אישיים חסויים וכו'.
לפני מספר שבועות, ב-6 באוגוסט 2014, נפל דבר. הפרוטוקול המאובטח עלה לתודעה ברשת ועורר תגובות רבות, לאחר שגוגל הודיעה באופן רשמי, כי הפרוטוקול ה-HTTPS, יהפוך מעתה לגורם המקנה נקודות דירוג (Ranking). במילים אחרות, אתרים שיעשו שימוש בהצפנה מאובטחת יקבלו קידום בדירוגם בגוגל.
נכון לעכשיו, ציינה עוד גוגל, הפרוטוקול המאובטח יהיה בעל "משקל נמוך". משמעות הדבר היא שגוגל מייחסת לעת עתה, לאינדיקטור הזה פחות חשיבות ביחס לאינדיקטורים האחרים, שעד כה הרכיבו את השיקלול המלא לפיו מדורג האתר.
כדי להדגיש עובדה זו, מציינת ענקית החיפוש והדירוג, כי השפעת המרכיב הזה תחול, בינתיים, על פחות מאחוז אחד בלבד של האתרים. יחד עם זאת, לפי ההודעה, יגדל בעתיד משקלו של הפרוטוקול המאובטח. זאת, מאחר שגוגל, המעוניינת להגביר את בטחון הגולשים ואת השמירה על חיסיון פרטיהם האישיים, מעודדת מעבר מפרוטוקול HTTP ל-HTTPS.
במאמר הנוכחי ננסה לתהות מעט על קנקנו של פרוטוקול זה.
HTTPS - קווים לדמותו
HTTPS הוא בשיטה לאבטחת מידע המועבר באינטרנט, העושה שימוש במספר אמצעים להגנת המידע המועבר. זאת, לעומת האופן הרגיל של העברת המידע בפרוטוקול HTTP, שבו המידע מועבר כפשוטו, דבר המקל על האקרים ליירטו – וגרוע מכך, להשתמש בו כרצונם.
לעומת הפרוטוקול הבלתי מאובטח, המידע הנשלח ב-HTTPS, מוגן מפני האקרים באמצעות שלושה מעגלי אבטחה:
• הצפנה – המידע מוצפן כך שאינו מובן למי שיירט אותו ולכן הוא בלתי "גניב".
• שמירה על שלמות המידע - לא ניתן להשתלט על המידע, לשנות אותו או לעוות אותו, במכוון או בטעות, מבלי שהדבר יתגלה.
• רק מי שאמור לקבל, מקבל. המידע מועבר באופן שבו רק הצד שאמור לקבל אותו יכול לקבלו, מבלי שיעבור דרך "מתווך" (האקר, או כל גורם אחר).
מעגלי הגנה אלה מאפשרים שיגור מידע חסוי, לרבות פרטי כרטיסי אשראי, סיסמאות כניסה וכו', בלי החשש מפני דליפה לגורם שלישי.
הטכנולוגיה המשמשת את פרוטוקול ה- HTTPS להגנה כה הדוקה, היא SSL – ולפיכך, על מנת להשתמש בפרוטוקול המאובטח, יש צורך במרבית המקרים לרכוש רישיון שימוש ב-SSL ולבצע התקנה על השרת שבו מאוחסן האתר.
אתרים שבהם חובה להשתמש ב- HTTPS
אתרים שבהם מבצעים תשלומים. אבטחה ברמת HTTPS נדרשה גם בימים כתיקונם, בכל אתר שכלולה בו מערכת תשלומים (טרנסאקציות), כדוגמת חנויות-מקוונות, אתרי המספקים שירותים שונים בתשלום – לרבות אתרי ממשלה, רשויות מקומיות, תשלומי מיסים, קנסות וכו', משרדי נסיעות ועוד.
אתרים האוספים מידע אישי, לצורך כניסה לאתר (סיסמאות כניסה), חשבונות אימייל וכו'.
לא חובה
אתרים המכילים טקסט ומידע בלבד אינם צריכים באופן גורף פרוטוקול מאובטח אך יחד עם זאת, כדי למנוע כריית מידע ("פישינג") אישי של הגולשים המגיעים לאתר, כדאי במקרים מסויימים להשתמש ב-HTTPS.
הבעיות של אתרים עם הגנה חלקית
אתרים רבים מגינים על חלק מהדפים שלהם, בעיקר אלה שבהם נדרשת כניסה של מנויים. גישה זו של התגוננות, הגם שהיא חלקית היא כמובן טובה מאשר אתר נטול כל אמצעי הצפנה. עם זאת, הבעייתיות קיימת בנקודות הבאות:
ה"עוגיות" והזיהוי של הגולשים אינם מוגנים. כאשר גולשים עוברים מעמודים מאובטחים לעמודי HTTP, נתוני הגולש מועברים באופן גלוי ולכן גם חשופים ליירוט ולשימוש זדוני ע"י מתחזים.
פרטים חסויים עלולים "לנדוד" לאתר מתחזה. עמודי נחיתה שאינם מוגנים בפרוטוקול מוצפן, או שרק טופס השליחה מוגן, משאיר מרחב מחיה נאה לפושעי מחשב העלולים לבצע תרגיל הונאה שבו מופנה הגולש מבלי ידיעתו לאתר מתחזה, שם הוא משאיר את פרטיו, או התשלום.
להתקין או לא להתקין, זו השאלה
אכן, (כמעט כרגיל...) ההודעה של גוגל תפסה את בעלי האתרים וקהיליית מקדמי האתרים, בהפתעה. מיד, כמובן, צצו רואי-השחורות, שחששו שהעדר פרוטוקול מאובטח יצניח את דירוג האתר שבו הם מטפלים מטה-מטה, במורד הדירוג שעליו עמלו כה קשות.
חשוב מאד להתייעץ עם מקצוענים בתחום בניית אתרים, קידומם, אך יחד עם זאת, אפשר לשחרר בינתיים צפירת הרגעה (בינתיים): כאמור גוגל שיחררה את ההודעה הזו תוך הסתייגות ברורה שלעת עתה ערכו של הפרוטוקול הוא ב"משקל קל" בלבד מבחינת הדירוג. כדי לסבר את העין והאוזן, נוסיף רק שלצד הפרוטוקול בעל ה"משקל הקל", יש יותר מ-200 גורמים נוספים שבאמצעותם מדרגת גוגל. אתרי תוכן, מסוגים שונים, יכולים איפוא להרגע בינתיים. אתרים למסחר-מקוון, או חנויות אינטרנטיות, לעומת זאת, כבר מזמן שם – ובכל מקרה כאשר מדובר באתרים כאלה, אין מקום לחשוב פעמיים לפני השימוש בפרוטוקול זה.