חיפוש
נקה את החיפוש
סגירת החיפוש
Google Apps
תפריט ראשי
Search Console עזרה
Search Console

אבטחת האתר שלך באמצעות HTTPS

אם כבר יש לך נכס HTTP ואתה רוצה להעביר אותו מפרוטוקול HTTP ל-HTTPS, בצע את ההנחיות שבמאמר העברת אתר עם שינויים בכתובת האתר. המאמר מתאר את פרוטוקול HTTPS ואת השיטות המומלצות לשימוש בו.

מהו פרוטוקול HTTPS וכיצד הוא עובד?

HTTPS ‏(Hypertext Transport Protocol Secure) הוא פרוטוקול תקשורת באינטרנט המגן על שלמות וחשאיות הנתונים של המשתמשים, העוברים בין המחשב של המשתמש לאתר. לדוגמה, כאשר משתמש מזין נתונים בטופס באתר שלך על מנת להירשם לקבלת עדכונים או לרכוש מוצר, פרוטוקול HTTPS מגן על הפרטים האישיים של המשתמש הזה, שמועברים מהמשתמש לאתר. משתמשים מצפים לחוויית גלישה מאובטחת בעת הזנה של נתונים באתר אינטרנט. אנו רוצים לעודד אותך לאמץ את אבטחת HTTPS על מנת להגן על החיבור בין המשתמשים שלך ובין האתר.

נתונים הנשלחים באמצעות HTTPS מאובטחים על ידי פרוטוקול Transport Layer Security ‏(TLS), המספק שלוש שכבות הגנה עיקריות:

  1. הצפנה - הצפנה של הנתונים המועברים על מנת להגן עליהם מפני ציתות. המשמעות היא שבזמן שהמשתמש גולש באתר, אף אחד אחר לא יכול "להאזין" לשיחות שלו, לעקוב אחר הפעילויות שלו בין דפים שונים או לגנוב את המידע שלו.
  2. שלמות נתונים - לא ניתן לשנות נתונים או לפגום בהם בזמן ההעברה, בין אם באופן מכוון או אחר, בלי להתגלות.
  3. אימות - מוכיח שהמשתמש מתקשר עם האתר הרצוי. תכונה זו מספקת הגנה מפני מתקפות מתווכות (man-in-the-middle) ומגבירה את אמון המשתמש. אמון זה תורם להיבטים עסקיים אחרים.

שיטות מומלצות בעת שימוש בפרוטוקול HTTPS

  • השתמש באישורי אבטחה חזקים כחלק מהפעלת HTTPS עבור האתר, עליך לקבל אישור אבטחה. את האישור מנפקת רשות אישורים (CA), הנוקטת צעדים על מנת לאמת שכתובת האינטרנט באמת שייכת לארגון שלך, ובכך מגנה על הלקוחות שלך מפני התקפות מתווכות (man-in-the-middle). בעת הגדרת האישור, הקפד להשתמש ברמת אבטחה גבוהה על ידי בחירה במפתח 2048 ביט. אם כבר יש לך אישור עם מפתח חלש יותר (1024 ביט), שדרג אותו ל-2048 ביט. בעת הבחירה של אישור האתר, זכור את הנקודות הבאות:
    • קבל את האישור מ-CA מהימן המציע תמיכה טכנית.
    • קבע איזה סוג אישור נחוץ לך
      • אישור יחיד עבור מקור מאובטח יחיד (לדוגמה www.example.com).
      • אישור מרובה-דומיינים עבור מספר מקורות מאובטחים ומוכרים (לדוגמה www.example.com‏, cdn.example.com‏, example.co.uk).
      • אישור פתוח עבור מקור מאובטח עם מספר תתי-דומיינים דינמיים (לדוגמה a.example.com‏, b.example.com).
  • הפנה את המשתמשים ומנועי חיפוש אל הדף או המקור ב-HTTPS באמצעות הפניות בצד השרת מסוג HTTP ‏301.
  • השתמש בשרת אינטרנט התומך ב-HTTP Strict Transport Security ‏(HSTS) וודא שהוא פועל. HSTS מורה לדפדפן לבקש אוטומטית דפים באמצעות HTTPS, גם כאשר המשתמש מזין http בסרגל הכתובות של הדפדפן. הוא גם מורה ל-Google להציג כתובות אתרים מאובטחות בתוצאות החיפוש. כל הפעולות האלה מצמצמות את הסיכון להצגת תוכן לא מאובטח למשתמשים.
    חשוב: אם תשתמש ב-HSS, ודא ש-Google יכולה לסרוק את דפי ה-HTTPS וליצור להם אינדקס: אל תחסום דפים אלה על ידי קובצי robots.txt ואל תכלול בהם מטא תגים של noindex, אם ברצונך לסרוק אותם וליצור להם אינדקס. השתמש בכלי אחזר כמו Google כדי לבדוק ש-Googlebot יכול לגשת לדפים.

נקודות כשל נפוצות בעת שימוש ב-HTTPS/TLS

לאורך התהליך לאבטחת האתר באמצעות TLS, הימנע מהשגיאות הבאות:

בעיה פעולה
אישורים לא תקפים ודא תמיד שהאישור שלך מעודכן.
האישור רשום על שם אתר שגוי בדוק שרשמת את האישור על שם המארח הנכון. לדוגמה, אם תרשום את האישור עבור www.example.com והאתר לך מוגדר להשתמש ב-example.com, תיצור שגיאת אי-התאמה בשם האישור.
אין תמיכה עבור Server Name Indication ‏(SNI) ודא ששרת האינטרנט תומך ב-SNI ושהקהל שלך עושה שימוש בדפדפנים נתמכים, באופן כללי. בעוד ש-SNI נתמך בכל הדפדפנים המודרניים, יהיה לך צורך בכתובת IP ייעודית אם עליך לתמוך בדפדפנים ישנים יותר.
בעיות סריקה אל תחסום את אתר ה-HTTPS שלך מפני סריקה באמצעות robots.txt.
בעיות בהוספה לאינדקס התר למנועי חיפוש להוסיף את הדפים שלך לאינדקס היכן שניתן. הימנע משימוש במטא תג Noindex.
גרסאות פרוטוקול ישנות גרסאות OpenSSL ישנות הן פגיעות. ודא שיש לך את הגרסאות העדכניות והחדשות ביותר של ספריות TLS.
עירוב בין רכיבי אבטחה הטמע רק תוכן HTTPS בדפי HTTPS.
תוכן שונה ב-HTTP וב-HTTPS ודא שיש לך תוכן זהה באתר ה-HTTP ובאתר ה-HTTPS.
שגיאות קוד סטטוס HTTP ב-HTTPS ודא שהאתר מחזיר את קוד הסטטוס הנכון של HTTP. לדוגמה: ‎200 OK לדפים נגישים, או 404 או 410 לדפים שאינם קיימים.

העברה מ-HTTP אל HTTPS

אם אתה מעביר את האתר שלך מ-HTTP אל HTTPS,‏ Google מתייחסת לכך כהעברת אתר עם שינוי של כתובת אתר. ההעברה עשויה להשפיע באופן זמני על חלק מנתוני התנועה באתר, כפי שמתואר כאן:

  • במהלך ההעברה, תיתכן תנודה זמנית בדירוג האתר. בעת ביצוע שינויים משמעותיים באתר, ייתכנו תנודות בדירוג במהלך הסריקה מחדש ויצירת האינדקס מחדש ש-Google מבצעת. ככלל, הזמן הדרוש להעברת רוב הדפים באתר בגודל בינוני באינדקס שלנו הוא מספר שבועות. לאתרים גדולים יותר, זמן ההעברה עשוי להיות ארוך יותר. המהירות שבה Googlebot והמערכות שלנו מזהים כתובות אתרים שהועברו ומעבדים אותן, תלויה בעיקר במספר כתובות האתרים ובמהירות השרת. שליחת sitemap עשויה להאיץ את תהליך הזיהוי, ואפשר להעביר את האתר בחלקים.
  • היזהר מטעויות נפוצות של HTTPS/‏TLS (אבטחת שכבת התעבורה), שעלולות להשפיע על הדירוג. עיין בקטע טעויות נפוצות בדף הזה כדי לראות מהן הטעויות הנפוצות ביותר שבהן אנו נתקלים בעת העברת אתרים מ-HTTP אל HTTPS.
  • אתרי HTTPS מקבלים קידום קל בדירוג, אבל אל תצפה לשינוי משמעותי. Google משתמשת ב-HTTPS כסימן חיובי לצורך דירוג. זהו סימן אחד מבין רבים נוספים, וכרגע המשקל שלו נמוך מהמשקל של תוכן אתר באיכות גבוהה. אל תצפה ליתרון משמעותי באופטימיזציה עבור מנועי חיפוש, בטווח הקצר, בעקבות העברה ל-HTTPS. בטווח הארוך, Google עשויה להעלות את המשקל שיש לקידום HTTPS.
  • עיין בפוסט שלנו ב-+G, המכיל שאלות נפוצות בנוגע להעברות אל HTTPS. פרסמנו פוסט ב-+G המכיל כמה שאלות ותשובות לשאלות טכניות מסוימות לגבי העברה אל HTTPS. תוכל לשאול שם שאלות, אבל תחילה עיין בתגובות הקיימות, כיוון שייתכן שיש כבר תשובה לשאלתך.
  • אם תיתקל בבעיות, Google Webmaster Central הוא משאב נהדר. אפשר למצוא שפע של עצות מועילות במנהלי האתרים של Google ותשובות למקרים מסוימים בפורומים של משתמשים. אם לא תמצא תשובה, תוכל לשאול בזמן אמת את אחד האנליסטים של Webmaster Trends בשעות הפעילות של Webmaster Central.

למידע נוסף

לפרטים נוספים על יישום TLS באתר שלך:

האם המאמר היה מועיל?