Defaults.Exposed › דוחות
TLS חלש ומיושן: האם האתר שלכם עדיין מגיש הצפנה ישנה? (2026)
פורסם 2026-07-01
הנתונים נכון ל-2026-06-29 · מתודולוגיה גרסה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים מדורגים; נתוני גרסת ה-TLS הם חלקם של הדומיינים הנגישים דרך HTTPS. TLS הוא הפרוטוקול שמאחורי מנעול המפתח; “חלש” פירושו גרסאות ישנות או צפנים שדפדפנים ומבקרים כבר אינם סומכים עליהם. ראו כיצד אנו מדרגים.
הרשת עברה במידה רבה הלאה מהצפנה ישנה — אבל מנעול חזק אינו מובטח, והחוליה החלשה כיום היא לעיתים קרובות יותר התעודה מאשר הפרוטוקול. מבין האתרים הנגישים דרך HTTPS, 90.51% כבר מנהלים משא ומתן על TLS 1.3 מודרני, והרוב הגדול של השאר משתמשים ב-TLS 1.2. כך שגרסאות פרוטוקול חלשות הן היוצא מן הכלל, לא הכלל. המקום שבו “TLS חלש” עדיין נושך הוא עדין יותר: שרתים שבשקט עדיין מקבלים גרסאות ישנות, צפנים חלשים, ו — בשכיחות הגבוהה ביותר — תעודות שפשוט פגומות. הנה כיצד לדעת אם אתם היוצא מן הכלל.
מה משמעות “TLS חלש” ב-2026
- גרסאות פרוטוקול מיושנות. TLS 1.0 ו-1.1 הוצאו משימוש ב-2021. כגרסה מנוהלת במשא ומתן הן נדירות כיום — אבל שרת יכול לקבוע כברירת מחדל TLS 1.3 ובכל זאת עדיין לקבל הורדת גרסה ל-1.0 אם מתבקש, וזה מה שהביקורות מסמנות.
- חבילות צפנים חלשות. אלגוריתמים ישנים (RC4, 3DES, צפני ייצוא) והיעדר סודיות קדימה מחלישים חיבור אפילו בגרסה מודרנית.
- תעודה פגומה. זו התופעה הנפוצה: חוזק ההצפנה ותקינות התעודה הם דברים נפרדים, ולחיצת יד תקינה של TLS 1.3 עם תעודה לא תקינה עדיין מציגה למבקרים אזהרה. 8.21% מהדומיינים המציגים תעודה מגישים תעודה לא תקינה — ראו התעודה שלי פגה.
היכן הרשת עומדת בפועל
גרסת ה-TLS הטובה ביותר שנוהל עליה משא ומתן, חלקם של הדומיינים הנגישים דרך HTTPS, נכון ל-2026-06-29:
| גרסת TLS הטובה ביותר | חלק |
|---|---|
| TLS 1.3 (הנוכחית) | 90.51% |
| TLS 1.2 (רף קביל) | 5.38% |
| TLS 1.1 / 1.0 (הוצאו משימוש) | 0.00% |
מבחינת הפרוטוקול התמונה בריאה. הפער כעת נמצא במקום אחר: 8.21% מהתעודות אינן תקינות, ורק 78.02% מכלל הדומיינים מגישים HTTPS בכלל — כך שחמישית מהרשת עדיין אינה מוצפנת מלכתחילה.
מדוע זה עדיין חשוב אף שרוב האתרים תקינים
- סעיפי ציות. PCI-DSS, שאלונים רבים של אבטחה ובסיסי ממשל דורשים TLS 1.2 ומעלה וגם שגרסאות ישנות וצפנים חלשים יהיו מושבתים באופן פעיל — לא רק שאינם בשימוש כברירת מחדל. ראו מה שאלונים בודקים.
- חשיפה להורדת גרסה. אם שרת עדיין מקבל גרסה ישנה, תוקף יכול לנסות לכפות חיבור חלש יותר ממה ששני הצדדים רצו.
- סיכון שקט. TLS חלש-אך-קיים וצפן ישן שעדיין מתקבל נדירות מפעילים אזהרת דפדפן, כך שהם שורדים עד שמישהו בודק באופן פעיל.
כיצד לוודא שה-TLS שלכם חזק
- קבעו את הגרסה המינימלית ל-TLS 1.2 והפעילו TLS 1.3 בשרת או ב-CDN — וּודאו שגרסאות ישנות נדחות, ולא רק אינן בשימוש. ראו תיקון TLS.
- מודרנו את הצפנים — העדיפו חבילות עם סודיות קדימה; הסירו את RC4, 3DES וצפני דרגת ייצוא.
- שמרו על תוקף התעודה — התקלה הנפוצה יותר. ראו תיקון שגיאות תעודה.
- אכפו HTTPS והוסיפו HSTS כך שהורדות ל-HTTP רגיל יידחו.
- בדקו מחדש מבחוץ — TLS חלש בלתי נראה בדפדפן, לכן אַמתו באמצעות בדיקה חיצונית.
שאלות נפוצות
האם ה-TLS שלי מיושן? כנראה שלא מבחינת הגרסה — 90.51% מאתרי ה-HTTPS משתמשים ב-TLS 1.3. החולשה הסבירה יותר היא בעיית תעודה (8.21% מהתעודות אינן תקינות) או שרת שעדיין מקבל גרסאות ישנות מאחורי ברירת מחדל מודרנית.
האם TLS 1.2 עדיין בסדר? כן — TLS 1.2 הוא רף קביל ו-TLS 1.3 מועדף. הדאגה היא מכל דבר מתחת ל-1.2 שעדיין מתקבל.
האם השבתת TLS ישן תשבור מבקרים ישנים? מעט מאוד לקוחות מודרניים זקוקים ל-TLS 1.0/1.1; עלות התאימות כיום מזערית מול התועלת שבציות ובאבטחה.
האם TLS חלש מציג אזהרת דפדפן? פרוטוקול או צפן חלש בדרך כלל לא — הם צפים בביקורות ובסריקות. תעודה פגומה, לעומת זאת, אכן מזהירה את המבקרים ישירות.
האם התיקון חינם? כן — זהו שינוי תצורה בשרת או ב-CDN, לא רכישה.
בדקו את תצורת ה-TLS שלכם בחינם
ראו את גרסאות ה-TLS שלכם, חוזק הצפנים ומצב התעודה — באופן פרטי ולבעלים בלבד.
בדקו את הדומיין שלכם ← · תיקון TLS ← · מדוע האתר שלי אומר “לא מאובטח”? ← · כיצד אנו מדרגים ← · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.