• צור קשר

    שם מלא

    טלפון

    אימייל

    הודעה

    אימותcaptcha

  • כתבות נבחרות על ידי גולשים


מדריכים


 

מדריך ל- SSL Certificates  למתחילים

מאת: גבי ונטורה

אבטחה דיגיטלית כמו אבטחה פיזית בבית או בעסק, איננה רק שומרת עליך ונותנת לך תחושת ביטחון,
אלא גם שומרת על מי שמגיע אליך הביתה, לעסק או אל אתר האינטרנט שלך.
חשוב להבין את הסיכונים והאיומים מולם הנך עומד בעולם הדיגיטלי- כספק מידע ושירותים ברשת בין אם אתה הגולש החשוף לפגעי אבטחה שונים הקיימים, ווירוסים ושאר צרות אחרות.

השנים והקידמה לא תמיד מאפשרים לעמוד בקצב, לכן חשוב לשמור על קשר עם ספק פתרונות אבטחה מהימן שיקיף את הצורך שלך כספק מידע אתר אינטרנט או כגולש בצורה רציפה .

מהו SSL Certificate?

תעודת SSL הנו מסמך מחשב דיגיטלי, קובץ , מעין תוכנת מחשב קטנה שיש לה שני תפקידים : אוטנטיקציה (זיהוי)  , ווידוא (ולידציה),  התעודה מכילה מידע אודות האתר והעסק ולמעשה מאמתת את קיומו ושהינו באמת בבעלות חברה זו שהיא מתיימרת להיות. כך שבמידה שמשתמש או גולש באתר זה, ירצה לדעת מי בעליו של האתר ופרטים נוספים המגדרים את מציג האתר, כל שעליו לעשות הוא ללחוץ על סמל אייקון במנעול שבדפדפן על מנת שהתעודה תוצג . סטנדרט לתעודה המאשרת את האישור החזק במיוחד המעיד בצורה הכי חודרנית כי אתר מסויים אכן משוייך בצורה בדוקה ביותר לבעליו הנה תעודה מסוג: EV Extended Validation

קידוד המידע -  תעודת SSL  מאפשרת הפעלת מנגנון קידוד והצפנה כך שהגולש והדפדפן שלו שנפגשים עם תעודה זו וגולש באתר מאובטח ,SSL , יכול לסמוך על כך שציטוט לאתר ולמידע שהוא שולח כגון הזדהות מול הבנק בסיסמה ושליחת פרטים אשיים, אינם אפשריים כמעט אם נושא SSL בנוי טוב ונכון. בדומה לתעודות זהות ודרכונים שבהן היוצר של תעודות אלה נחשב לאמין ביותר (מדינות וממשלים )  גם לתעודות SSL  קיימים מספר מנפיקים שהמפעילים מהימנים וחייבים לעמוד בסטנדרטים גבוהים. לקוחות ובעלי אתרים שמזמינים תעודות מהם, סומכים על המנפיק שהתעודה שתונפק הינה ממקור מוסמך . ספק התעודות נקרא CA- CERTIFICATE AUTHORITY.

כיצד פועל הקידוד SSL?

באותה הדרך בה אתה נועל ופותח את דלת ביתך , גם ב-SSL  קיימים מפתחות שאם הם אינם מתאימים למנעול לא ניתן לפתות אותם ולהכנס אל המידע . כל  'שיחת' SSL מורכבת משני מפתחות :

המפתח הציבורי המשמש להצפנה ( SCRAMBLE )  של הנתונים

המפתח הפרטי המשמש לפתיחת ( UN-SCRUMBLE ) של הנתונים

מפתח:  הוא נוסחה מתמטית ,אלגוריתם, היודע לקודד את המידע על פי סך ביטים מסוים שככל שמספרו גדל כך יהיה הקידוד מורכב וקשה לפריצה ללא מפתח .

פירוט התהליך: כשנוצרת תעודה מוגדרת היטב ועשויה מול CA מוכר ומורשה, דפדפן האינטרנט של הגולשים מייצר קשר עם האתר HANDSHAKE , המידע אודות השרת מתבקש מהדפדפן שמצידו מקבלו. בנקודה הזו, נוצר קשר וקידוד מידע בין הלקוח הגולש לשרת המציג מידע  והקידוד שנוצר אינו ניתן לציטוט באותם הרגעים . יחד עם זאת, קידומת HTTPS מחליפה לצורך המשימה את ה-HTTP . כרגע ניתן ללחוץ על המנעול או סימן אחר בדפדפן העוסק בקידוד כדי לקבל את פרטי השרת , מהיכן הורשה לעבוד מלכתחילה

HTTP

הדרכים להבחין שהתעבורה כרגע היא  מקודדת SSL

בשלב ראשון - כתובת האתר מוחלפת ל- HTTPS  שזה Secure HTTP

שלב שני - יופיע סמל האבטחה מנעול או תיצבע שורת הכתבות בדפדפן באדום או ירוק

שלב שלישי - בלחיצה על סמל המנעול תתקבל כרטיסיות מידע המציינות את המקור של התעודה מי ביצע ומי ניפק ולכמה זמן היא פעילה

במקרים בהם לוחצים על המנעול הסגור בחלק מהתעודות המורחבות EV מופיעה שורת כתובות בדפדפן בצבע ירוק, הרי שזוהי התעודה המורחבת ביותר EXTENDED VALIDATION  שעושה בה שימוש האתר אליו הגעת כמו באיור למעלה . אם משהו במידע באתר המנפק אינו נכון אפילו במקצת, הדפדפן יציג הודעת שגיאה ושורה אדומה .

באילו מקרים נשתמש בתעודת SSL?

התשובה השליפה, המהירה והקצרה היא שבכל פעם שאתה ו\או ארגונך מעוניינים להוציא ולפרסם דפי אינטרנט לקהל הפתוח והרחב בצורה מאובטחת . למשל:

(1) יצירת קשר מאובטח בין אתרך לבין דפדפן

(2) יצירת אבטחה במיילים בין שרת דוא"ל כדוגמת EXCHANGE  וטלפונים חכמים , או גישה אליו מן
ה-WEB בצורה בה אינך מעוניין לחשוף ולו פרט קטן משלבי ההתקשרות

(3) קשר מאובטח בין שרתים B2B

(4) אבטחת קשר ממכשירים ניידים לשרת שלהם , מספונים וכדומה

סוגי תעודות

קיימים מספר סוגים של תעודות בשוק של היום

(1)   Self-Assigned   - כפי שהשם מרמז, תעודה זו נוצרה לצורכי שימוש אינטרנט אך לא על ידי CA   (CERTIFICATE AUTHORITY) חיצוני ומאושר, אלא על ידי מערכות פנימיות שברשות הארגון כדוגמת IIS עם תוספים מתאימים. שימוש בתעודה מהסוג הזה אינה מתנהגת כמו תעודה המונפקת על ידי CA  מאושר אך עדיין פעילה בגדר הדרישה הפנימית לנהל קידודים אינטרה-נט , ביצוע קידוד קבצים וכדומה .

(2)    Domain Validate Certificate   - זוהי התעודה הפשוטה והנצרכת ביותר, בזכות תעודה כזו נעשית הבדיקה שהמחזיק בה הינו בעל הדומין המקורי בלבד, שזה אומר כתובת האתר אליו נכנסת. לא נעשות בדיקות נוספות לווידוא כי מאחורי דומיין זה באמת עומדת יישות עסקית תאגידית אחרת המתיימרת להיות

(3)   Fully Authenticated SSL Certificate – תעודה זו הנה הצעד הראשון המלא לווידוא שהעסק והאתר אליו נכנסת אמינים ואמתיים הם. לוקח יותר זמן לייצר את התעודות הללו  וזאת בשל העובדה שהארגון המעוניין בהם, צריך לעבור מספר בדיקות אמיתות ואמינות כדי לאשר את קיומו ברמות הנדרשות לו באינטרנט, לרבות בדיקת בעלות של התעודה מול הבעלות של העסק עצמו .

תאימות

למרות הקידמה ובגללה עדיין יימצאו פערי דורות שיש לגשר עליהם , דפדפנים שלא ייתמכו ברמות הקידוד הרווחות היום 128\256 BIT הצפנה יתקלו בבעיה, אלא אם שרת הווב יודע לפעול מול תעודות SSL הכוללות טכנולוגית קידוד בשם SGC  , שזה Server-Gated Cryptography   , טכנולוגיה  שתאפשר  לגשר על הפערים וגם דפדפנים עתיקים יוכלו לעבוד ברמה של 128 \ 256 , זה בזכות ה GATEWAY ,  אחרת במידה וה- SGC אינו פעיל בתעודה ובשרתי הווב , תופיע ירידה  ל 40\56  ביט הצפנה והקידוד יהיה נמוך ,  אך עדיין לא תפגע תקינות המידע והתקשורת לא תופרע . יש לקחת זאת בחשבון בעת תכנון סביבות אלו.

אתרים ודומיינים הזמינים תחת מספר שמות שונים תחת אותו הדומיין, לשם כך אין הכרח לרכוש תעודה לכל מופע כתובות וניתן להשתמש ב- Wild Card Certificate  שמאפשר לחפון בתעודה אחת מספר מופעים של דומיין קיים וליצור אבטחה ראויה . דוגמה : yourdomain.com ; hostname.yourdomain.com  ; ftp.yourdomain.com

Subject Alternative Name – SAN  - בדומה ל-WILDCARD כאן יש גמישות נוספת שבתעודת SSL אחת ישוייכו מספר דומיינים שונים

Code Signing Certificate  - תעודה שנועדה לוודא הורדה בטוחה של תוכנה שלא צוטטה בדרך
ושבטעות לא הצטיידה בווירוס כלשהו בשלב התעבורה הישר אל מחשבך. פשעי הסייבר מאלצים את שלטונות המידע לייצר מנגנוני אבטחה, הגנה וולידציה, זה או אחד מהם .

Extended Validation SSL Certificate EV  - תעודה המאפשרת את האוטנטקציה והאבטחה בסטנדרט התעשייתי הגבוהה הקיים בשוק זה ואת הביטחון הגבוה שהתעודות יכולות להקנות ללקוחות שלה, הגולשים ובעלי השרתים . כשהיוזר גולש לאתר עם EV SSL, שורת הכתובת הופכת ירוקה לוידוא ויזואלי נוח יותר ואדומה למקרה של תקלה או בעיה באמינות . מופיעה גם שורה של מי הבעלים של האתר בחזית הדפדפן , מי הנפיק את התעודה וכדומה .

(ראה תמונה למעלה)  . כל ה"גימיק" הויזואלי הזה הוכח כמוסיף ביטחון ללקוחות e-commerce  ומה שמגביר את הבטחון מגביר את המכירות

בכל שאלה או בעיה אפשר לפנות אלינו בטלפון של המוקד 03-9249436 אנסול פתרונות