האתר שלכם לא מאובטח? גוגל עלולה להעניש אתכם על כך. במדריך זה נבהיר במילים פשוטות על מה כל המהומה, ניתן הנחיות פרקטיות לגבי השינויים שיש לבצע, נסביר אילו אתרים הם בסיכון לפגיעה ממשית ומה ניתן לעשות בנושא.
גוגל לטובת הגולשים
מאז ומתמיד הייתה גוגל מכוונת מטרה לטובת משתמשי הקצה, במטרה להגן עליהם מוירוסים, תכני Spam ועוד. בהתאם לכך, היא פרסמה לאחרונה, שהחל מינואר 2017 היא תזהה אתרים שאינם מוגדרים כ- HTTPS ושאינם מספיק בטוחים לגולש ותזהיר אותם באופן בולט; ע"י משולש אזהרה אדום והכיתוב "לא מאובטח" לצד כתובת האתר.
פרוטוקול HTTPS, מאפשר העברת מידע מוצפן באופן דו כיווני ובכך יוצר ערוץ מאובטח לגולש ומגן על פרטיותו מפני מעקב אחר פעילותו, שימוש במידע האישי שלו, ציתות לשיחותיו עם גולשים אחרים ועוד. נכון לחודש דצמבר 2016, האזהרות חלות על אתרים המצריכים כניסת משתמשים וססמאות, אך גוגל אינה מתכוונת לפסוח על אף אתר, כך שאם אין באתרכם גישה לרשומים זכיתם בהארכת זמן אך אינכם פטורים מעונשו של זה.
"לא אכפת לי, שתהיה אזהרה…"
החלוקה בין אתרי e-commerce ואתרי משתמשים רשומים לבין אתרי תדמית ואתרים שאינם מצריכים רישום, נראית לרוב מאוד ברורה כשהסוג הראשון של האתרים נמצאים בסיכון גבוה וברוב המקרים יהיו הראשונים להיפגע מהשינוי. משולש האזהרה האדום עשוי לגרום בקרב הגולשים לפחד פסיכולוגי, אשר בסופו של דבר יעדיפו להיכנס ולהירשם לאתרי HTTPS המגנים על פרטיותם.
לסוג השני של האתרים, עומדת האפשרות להמתין עם המעבר ל HTTPS, לעקוב ולצפות בהשפעה של השינוי ובהתאם לכך להחליט. חשוב לציין כי בבלוג הרשמי של גוגל מעידים כי במצב של גלישה בסתר (incognito), סימן האזהרה יופיע לכלל האתרים. כך או כך, קיימת האפשרות שהגולש יתרגל או יתעלם מהשינוי, זאת אי אפשר לנבא והזמן יגיד את שלו.
מה עושים?
הפעולה הראשונה הינה רכישת אישורי אבטחה (SSL). אישור המהווה חלק מרכזי מהפעלת HTTPS עבור האתר. את האישור מנפיקות רשויות אישורים (Certificate authority), שתפקידן להפיק תעודות דיגיטליות רק לאחר שווידאו כי מדובר בחברה אמיתית שניתן לסמוך עליה שתפעל על פי החוק. בין רשויות אלה אין הבדל מהותי מבחינת גוגל, כולן הוסמכו על ידי הדפדפנים השונים והן מבוקרות באופן קבוע על מנת לוודא שהן עוקבות אחר תנאי הנפקת האישורים. דוגמה לחברות כאלה הינן חברת Verisign וחברת Geo trust מהוותיקות והמוכרות בעולם המנפיקות תעודות SSL ומספקות סוגים שונים של תעודות המתאימות לסוגים שונים של אתרים.
אפשרות נוספת ולטעמנו אף קלה ונוחה יותר לרכישת התעודות הינה דרך חברות אחסון אתרים כגון חברת intervision או חברת Webgate המספקות שירות של קנייה והטמעת התעודה באתר שלך. מחירי האישורים משתנים לפי סוג התעודה, החברה המספקת אותה ורמות האימות המשתנות לפי אופי האתר. חשוב מאוד שהתעודה אכן תתאים לרמת האבטחה של האתר שלכם, כך שאתר של בנק לדוגמה, צריך להיות בעל רמת האימות הגבוהה ביותר.
לא אבטחתם את האתר? כך זה יראה
בנוסף, יש לבצע עדכון של תגיות הקנוניקל (Canonical tag) בהתאם לכתובת החדשה עם ה- HTTP, כמו כן, עדכון הקישורים הפנימיים ועדכון המערכות השונות הקשורות לאתרכם (ניוזלטר, חשבוניות, חשבונות גוגל וכו). זכרו להנחות את הגורם הטכנולוגי לשנות גם את כתובתה של מפת האתר החדשה בקובץ robots.txt ובעיקר, לעדכן בשרת על ידי הפניות קבועות מסוג 301 לכתובות https המאובטחות החדשות. במידה שלא תעשו זאת, גולשים יגיעו לעמודי שגיאה (דף לא נמצא) מה שיפגע בדירוג האתר.
זהו, הגעתם לחלק האחרון של התהליך- הבדיקה. על מנת לבדוק שאכן האתר שלכם מאובטח יש לרשום בדפדפן site:שם האתר שלכם. בתוצאות שיופיעו לכם תקבלו אם אכן הכתובות עודכנו ל- HTTPS. בנוסף אם לא קיימת תעודת אבטחה SSL באתר זה יכול להזיק מאוד לתהליך קידום אתר שלכם