Defaults.Exposed › תיקונים › בריאות תעודת TLS

כיצד לתקן בריאות תעודת TLS

תעודת ה-SSL/TLS שלך היא תעודת הזהות הדיגיטלית שמוכיחה למבקר שהוא באמת מדבר עם האתר שלך — ולא עם מתחזה — ומניעה את מנעול הדפדפן. בדיקה זו בוחנת האם התעודה חוקית ומהימנה, לא עומדת לפוג, ובנויה עם הצפנה חזקה ומודרנית.

השורה התחתונה לעסק שלכם: תעודה שבורה או פגת תוקף מחליפה את האתר שלך באזהרת 'החיבור שלך אינו פרטי' בצבע אדום בכל דפדפן. רוב המבקרים עוזבים מיד ולא חוזרים — מכירות אינטרנטיות נעצרות, הרשמות נעצרות, והחיבור שאמור היה להיות פרטי יכול ליירוט בשקט.

מה זה יכול לעלות לכם

התעודה פוגת בשקט סוף שבוע; ביום שני כל מבקר פוגש אזהרת אבטחה בגודל מסך מלא, הקופה והטפסים מתות, ואתה מפסיד מכירות לכל שעה שלוקח להבחין ולחדש.
לקוח שמשלם דרך Wi-Fi של בית קפה או מלון מקבל אזהרה שהתעודה שלך לא תואמת לדומיין — הוא מניח שהאתר שלך מזויף או נפרץ, מוותר על הרכישה, ואומר לאחרים שהוא 'נראה חשוד'.
צוות ה-IT של לקוח גדול מריץ סריקת אבטחה לפני חוזה, רואה תעודה חתומה עצמית או לא מהימנה, ומסמן אותך כסיכון — העסקה נעצרת על משהו שעולה כלום לתקן.
התעודה שלך משתמשת בשיטת חתימה מיושנת או מפתח חלש; דפדפנים מודרניים מתחילים להציג אזהרות, וביקורת אבטחה מדרגת אותך נמוך לצפנה שנמצאת מחוץ לרשימה המומלצת כבר שנים.
אתה מקבל תשלומים בכרטיסים ו ספק התשלומים שלך מבצע ביקורת; מפתח חלש או תעודה פגת תוקף שוברים את כללי אבטחת התשלומים וההקלה אינטרנטית שלך מוקפאת עד שתתוקן.

מדוע זה חשוב. התעודה היא פיסת האבטחה הגלויה ביותר של האתר שלך — כשהיא תקינה היא בלתי נראית, וכשהיא נשברת היא לוקחת את האתר כולו עמה עם אזהרה מפחידה שמסיטה לקוחות ישירות למתחרים. פגיעת תוקף תעודה היא הסיבה מספר אחת להפסקות אתר בלתי צפויות, והיא ניתנת לחלוטין למניעה. קבלת תעודה חוקית היא חינמית, ושמירה על תקינותה היא בעיקר עניין של מתן לה להתחדש אוטומטית.

מה זה, בשפה פשוטה

כשמישהו מבקר באתר שלך, שני דברים חייבים לקרות כדי שירגיש בטוח להקליד סיסמה או מספר כרטיס. ראשית, החיבור חייב להיות מוצפן כדי שזרים לא יוכלו לקרוא אותו. שנית — וזה החלק שאנשים שוכחים — דפדפן המבקר חייב להיות בטוח שהוא באמת עם האתר שלך בצד השני, ולא עם מתחזה שהציב עותק מושלם. הדבר שמבצע את שני התפקידים הוא תעודת ה-TLS שלך (לעתים קרובות נקראת “תעודת SSL”).

תחשוב עליה כתעודת זהות מוגנת נגד זיוף לדומיין שלך. רשות מוכרת מנפיקה אותה, היא חתומה בשם הדומיין שלך ותאריך פגיעה, ונושאת את המפתח הקריפטוגרפי שמסרבל את החיבור. כשהכל תקין, הדפדפן מציג את המנעול והאתר נטען בצורה רגילה. כשמשהו שגוי בתעודת הזהות, הדפדפן עושה את ההפך מלהרגיע את המבקר — הוא מציג אזהרת מסך מלא שאומרת, בעצם, “ייתכן שאתר זה אינו בטוח.”

בדיקה זו בוחנת את בריאות תעודת הזהות על פני ארבעה דברים שכל אחד מהם שובר אותה באופן עצמאי:

האם היא חוקית ומהימנה? — הונפקה ע”י רשות מוכרת, תואמת לדומיין המדויק שלך, לא חתומה עצמית, ולא פגה.
האם היא עומדת לפוג? — כי תעודה שמצטמצמת לוקחת את האתר כולו עמה.
האם היא חתומה בשיטה חזקה? — אלגוריתמי חתימה ישנים יכולים להיות מזויפים.
האם המפתח שלה חזק מספיק? — מפתח חלש יכול, עקרונית, להישבר.

הידיעה הטובה מראש: קבלת תעודה תקינה היא חינמית, ושמירה על תקינותה היא בעיקר עניין של מתן לה לחדש את עצמה אוטומטית כך שאף אדם לא יצטרך לזכור.

מה זה יכול לעלות לך

הפסקת השבוע. תעודה פוגת בשקט בשלב מאוחר של יום שישי. החידוש שאמור היה לרוץ לא רץ. עד שבת בבוקר כל מבקר — וכל סורק Google — רואה אזהרה אדומה מסך מלא במקום הדף הראשי שלך. החנות שלך סגורה ואתה אפילו לא יודע. התיקון הטכני לוקח דקות; הלקוחות שהחליטו שה”עסק נסגר” לא חוזרים.
ההקלה שנזנחה. לקוח קונה מהטלפון שלו ב-Wi-Fi של מלון. התעודה שלך לא מתאימה בדיוק לדומיין שהוא הקליד. הדפדפן מזהיר שהאתר “עשוי להתחזות” לשלך. לקוח לא טכני קורא זאת כהונאה — הוא סוגר את הכרטיסייה, ואתה לא יודע שהמכירה הייתה קיימת.
החוזה שנעצר. צוות אבטחה של לקוח פוטנציאלי גדול מריץ סריקה שגרתית לפני החתימה. היא חוזרת ומציגה תעודה חתומה עצמית או לא מהימנה על אחד מהתתי-דומיינים שלך. אפילו אם כל השאר בסדר, דגל אדום בודד זה הופך אישור מהיר לקדימה ואחורה שמעכב את העסקה — על בעיה שעולה כלום לתקן.
האזהרה בתנועה איטית. התעודה שלך טכנית חוקית אבל חתומה עם SHA-1, שיטה ישנה שדפדפנים מחוסלים. עדכון דפדפן מאוחר יותר, וחלק מהמבקרים שלך מתחיל לראות אזהרות שאתה לא יכול לשחזר במחשב שלך. כרטיסי תמיכה טופטפים שהאתר “נראה שבור” ואתה לא מצליח לגלות למה.
כשל הציות. אתה מקבל תשלומים בכרטיסים. במהלך ביקורת מחדש, הבדיקות של הספק מסמנות מפתח חלש או תעודה שפגה. כללי אבטחת כרטיסים דורשים הצפנה חזקה וחדשה — כך שהתשלומים המקוונים שלך מושהים עד שתנפיק מחדש, מקפיא הכנסות ברגע הגרוע ביותר.

מה זה בעצם (ארבעת החלקים)

תעודה יכולה להיות לא תקינה בארבע דרכים שונות, ודף זה מכסה את כולן.

1. חוקית ומהימנה

זה הגדול — והחלק היחיד של בריאות תעודה שהוא בדיקה קריטית בעיקרון. תעודה “חוקית ומהימנה” רק כשכל אלה נכון:

היא הונפקה ע”י רשות תעודות מוכרת שדפדפנים כבר סומכים עליה (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon וכדומה).
היא תואמת לדומיין המדויק שהמבקר משתמש בו — כולל תתי-דומיינים.
היא לא חתומה עצמית — כלומר, לא כזו שהנפקת לעצמך.
היא כרגע בתוך חלון התאריך שלה — לא פגה, ולא (מוזר אבל קורה) בעתיד.
שרשרת האמון שלה שלמה — הרשות שחתמה עליה מהימנה בעצמה, עד הסוף.

אם אחד מאלה נכשל, דפדפנים מציגים את דף “החיבור שלך אינו פרטי” המפחיד, ובדיקה זו נכשלת קשה. טוב נראה כך: תעודה מרשות מוכרת, המכסה כל דומיין ותת-דומיין שאתה באמת משתמש בו, בנוחות בתוך התאריכים שלה.

2. לא עומדת לפוג

לכל תעודה יש תאריך סיום קשיח. חינמיות בדרך כלל 90 יום; בתשלום לעתים קרובות שנה. מעבר לתאריך, האמון מתאיידר מיד — אין תקופת חסד. בדיקה זו מודדת כמה ימים נותרו:

אם כבר פגה, או פוגת תוך 7 ימים, זה נחשב קריטי.
אם פוגת תוך 30 יום ולא מנוהלת אוטומטית, זוהי אזהרה לחדש עכשיו.
אם מספק חידוש אוטומטי (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL ודומים) עם לפחות שבוע שנותר, היא עוברת.
הרבה ריצה (90+ ימים, או מנוהלת אוטומטית) הוא מעבר נקי.

טוב נראה כך: תעודה מנוהלת אוטומטית שמחדשת את עצמה ללא שמישהו יגע בה.

3. אלגוריתם חתימה חזק

כל תעודה “חתומה” באמצעות אלגוריתם קריפטוגרפי שמאפשר לדפדפנים לגלות חריגות. אלגוריתמים ישנים — MD5 ו-SHA-1 — הוכח שניתן לזייפם. בדיקה זו עוברת כשהתעודה משתמשת בחתימה חזקה ומודרנית: SHA-256 ומעלה (SHA-384, SHA-512), ECDSA מודרני, או Ed25519/Ed448. MD5 ו-SHA-1 נכשלים. טוב נראה כך: SHA-256 ומעלה — שהוא ברירת המחדל בכל תעודה חינמית ומודרנית.

4. מפתח חזק

התעודה נושאת מפתח קריפטוגרפי שמבצע את הסרבול האמיתי. אם המפתח קצר מדי, כוח המחשוב המודרני יכול — עם מספיק משאבים — לשבור אותו. המינימומים המקובלים הם RSA 2048 סיביות או EC (אליפטי) 256 סיביות. בדיקה זו עוברת בגדלים אלה ומעלה ונכשלת מתחתיהם. טוב נראה כך: RSA 2048 סיביות (או 4096 סיביות), או מפתח EC 256 סיביות כמו P-256 — שוב, ברירת המחדל בתעודות חינמיות מודרניות.

כיצד לתקן (חינם, ~15 דקות)

מסור חלק זה למי שמנהל את האתר שלך — התיקון חינמי. תעודה חוקית, חזקה ומתחדשת אוטומטית לא עולה כלום דרך Let’s Encrypt או כל מארח מודרני. אם אין לך איש IT, הערות הפלטפורמה למטה יגיעו לרוב הבעלים שם.

שלב 1 — קבל (או החלף) את התעודה בחינמית ומהימנה. שלב יחיד זה מתקן תקפות, חתימה, וחוזק מפתח בבת אחת, כי תעודות חינמיות מודרניות משתמשות ב-SHA-256 ומפתחות חזקים כברירת מחדל.

Cloudflare: ב-SSL/TLS → Overview, הגדר את המצב ל-Full (Strict). Cloudflare מנפיק ומחדש תעודת edge מהימנה עבורך; ודא שלשרת המקור שלך יש גם תעודה חוקית כך ש-”Strict” יעבוד.
Google Workspace / Microsoft 365 hosting או כל מארח cPanel: חפש SSL/TLS Status והרץ AutoSSL. הוא מספק ומחדש תעודות חינמיות אוטומטית.
בוני אתרים (Squarespace, Wix, Shopify, מארחי WordPress מודרניים): SSL בדרך כלל פועל כברירת מחדל — אשר שהוא מופעל בהגדרות הדומיין/האבטחה שלך.
שרת Linux שלך (Nginx/Apache): התקן Let’s Encrypt עם Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (או --apache). ל-EC: --key-type ecdsa. ציין כל שם מארח שאתה מגיש עם -d.

שלב 2 — הפוך חידוש לאוטומטי כדי שלא תפוג לעולם.

בשרת Let’s Encrypt, אשר שטיימר החידוש פעיל ובדוק אותו: sudo certbot renew --dry-run. Certbot בדרך כלל מתקין טיימר אוטומטי; אם לא, הוסף cron יומי: 0 3 * * * certbot renew --quiet.
ב-Cloudflare, cPanel AutoSSL ובמארחים/בוני אתרים מנוהלים, החידוש מטופל עבורך.

שלב 3 — ודא שהיא מכסה את השמות הנכונים. הסיבה הנפוצה ביותר ל-”חוקית אבל עם אזהרה” היא חוסר התאמת שמות. התעודה חייבת לכסות כל שם מארח שלקוחות משתמשים בו בפועל — הדומיין הבסיסי, www, וכל תתי-דומיינים כמו shop. או app.. כלול כל אחד (*.yourbiz.com מכסה כל תתי-דומיינים בבת אחת).

שלב 4 — אם רק חוזק חתימה או מפתח מסומן, פשוט הנפק מחדש. צור תעודה חדשה (שלב 1) והחדשה תשתמש ב-SHA-256 ומפתח חזק אוטומטית.

שלב 5 — אמת, ואז בדוק מחדש כאן. אשר את התאריכים, המנפיק והמפתח עם פקודה מהירה, ואז הרץ שוב בדיקה זו.

טעויות נפוצות

התייחסות ל-”התקנו SSL פעם אחת” כסיום. תעודות פוגות בשעון. ללא חידוש אוטומטי, השאלה אינה אם תפוג אלא מתי.
כיסוי www אבל לא הדומיין הבסיסי (או להפך). שניהם חייבים להיות בתעודה, אחרת אחד מהם זורק אזהרת חוסר התאמה לשמות.
השארת תעודה חתומה עצמית על תת-דומיין “בדיקה” שהוא למעשה ציבורי. היא מצפינה, כך שמרגישה מאובטחת — אבל דפדפנים (וסורקי אבטחה) מתייחסים אליה כלא מהימנה.
הנחה שבתשלום אומר יותר בטוח. תעודת Let’s Encrypt חינמית מהימנה ומוצפנת בדיוק כמו יקרה. תשלום יותר לא מייצר מנעול חזק יותר.
חידוש התעודה אבל שכחת לטעון מחדש את השרת. תעודה חדשה שיושבת על הדיסק לא עושה כלום עד שהשרת נטען מחדש לאסוף אותה.
חידוש אוטומטי שנכשל בשקט. עבודת חידוש יכולה להישבר (קובץ שנעבר, שינוי DNS, יציאה חסומה) ולהמשיך “להצליח” בשקט. ניטור תאריך הפגיעה — לא רק עבודת החידוש — הוא מה שבאמת תופס זאת לפני שמכה.

שאלות נפוצות

אני לא טכני — האם אני יכול לסדר את זה בעצמי?

אתה לא צריך להבין את ההצפנה. תעודה חוקית היא חינמית (דרך Let's Encrypt ורוב המארחים המודרניים), ובאירוח מנוהל היא בדרך כלל אוטומטית. מסור את חלק 'כיצד לתקן' למטה למי שמנהל את האתר שלך — עבור רוב העסקים זו עבודה מהירה וחינמית, לא רכישה.

האתר שלי מציג מנעול — האם זה אומר שהתעודה שלי בסדר?

המנעול רק אומר שחיבור מאובטח קיים כרגע. הוא לא אומר לך שהתעודה עומדת לפוג, שהיא בנויה על מפתח חזק, או שהיא עדיין תהיה מהימנה בדפדפן של מחר. בדיקה זו מסתכלת מעבר למנעול על ארבעת הדברים שמשאירים אותו דלוק: האם התעודה חוקית ומהימנה, האם היא עומדת לפוג בקרוב, האם היא חתומה באלגוריתם חזק, והאם המפתח שלה חזק מספיק.

האם אני צריך לשלם עבור תעודת SSL?

לא. תעודות חינמיות מ-Let's Encrypt (ומובנות ב-Cloudflare, cPanel AutoSSL, ורוב האירוח המודרני) מהימנות לכל דפדפן ומאובטחות בדיוק כמו הבתשלום. תעודות בתשלום קונות בעיקר חוזי תמיכה, אחריות, או תגי אימות מורחב — אף אחד מהם לא משפיע על האם האתר שלך מוצפן או מהימן.

כיצד תעודה יכולה 'לפוג' — ולמה זה מוריד את האתר שלי?

לכל תעודה יש תאריך סיום קבוע (לעתים קרובות 90 יום לחינמיות). מעבר לתאריך זה דפדפנים מסרבים לאמון בה ומציגים אזהרת עמוד מלא במקום האתר שלך. זה לא ירידה הדרגתית — היא עובדת בצורה מושלמת עד המועד האחרון, ואז נשברת לחלוטין. לכן חידוש אוטומטי כל כך חשוב: הוא מסיר את האדם שאחרת ישכח.

מהי תעודה 'חתומה עצמית' ולמה היא נכשלת?

תעודה חתומה עצמית היא תעודה שהנפקת לעצמך ולא קיבלת מרשות מוכרת. היא מצפינה את החיבור, אבל אין שום גוף שמעיד שאתה מי שאתה — כך שדפדפנים מתייחסים אליה כלא מהימנה ומזהירים מבקרים, בדיוק כמו שהם יתייחסו לתעודה מזויפת של תוקף. לאתר ציבורי אתה תמיד רוצה אחת מרשות מהימנה, שהיא חינמית.

מה 'מפתח חלש' ו'אלגוריתם חתימה חלש' אומרים בעצם לעסק שלי?

שניהם הם דרכים שבהן תעודה יכולה להיות טכנית תקפה היום אבל שבירה קריפטוגרפית. מפתח חלש (פחות מ-RSA 2048 סיביות או EC 256 סיביות) יכול עקרונית להישבר, ומאפשר לתוקף להתחזות לאתר שלך. חתימה חלשה (SHA-1 או MD5) יכולה להיות מזויפת ליצור תעודה מזויפת משכנעת. תעודות חינמיות מודרניות משתמשות במפתחות וחתימות חזקות כברירת מחדל, כך שהתיקון הוא כמעט תמיד פשוט הנפקה מחדש — ללא עלות.