Defaults.Exposed › תיקונים › HTTPS והפניית-חיבור-מאובטח מאולצת

כיצד לתקן HTTPS והפניית-חיבור-מאובטח מאולצת

HTTPS הוא המנעול בשורת הכתובת של הדפדפן — הוא מצפין כל דבר שעובר בין האתר שלך ולקוחותיך כך שלא ניתן לקרוא אותו או לשנות אותו בזמן שידור. ההפניה-המאולצת מוודאת שמבקרים יגיעו לגרסה המוצפנת הזו אוטומטית, גם כשהם מקלידים את כתובתך ללא 'https://'. יחד הם הדבר הבסיסי ביותר שאתר זקוק לו כדי להיחשב בטוח בכלל.

השורה התחתונה לעסק שלכם: ללא HTTPS, כל סיסמה, מספר כרטיס והודעה שלקוח שולח לך חוצה את האינטרנט כטקסט קריא, וChrome, Edge, Safari ו-Firefox כולם מסמנים את האתר שלך 'לא מאובטח' לכל מבקר לפני שקרא מילה. ללא ההפניה, אפילו אתרים עם תעודה משאירים את הביקור הראשון ללא הגנה. שניהם עולים לך באמון, מכירות ודירוג חיפוש — ושניהם חינמיים לתיקון בדקות.

מה זה יכול לעלות לכם

מבקר ראשוני רואה אזהרת 'לא מאובטח' גדולה ברגע שהדף שלך נטען. רוב מניחים שהאתר מזויף, שבור, או לא בטוח ועוזבים למתחרה — ואתה אף פעם לא יודע שהמכירה אבדה.
לקוח מזין פרטי כרטיס שלו או מתחבר דרך חיבור לא מוצפן מבית קפה, מלון, או שדה תעופה. מישהו באותה Wi-Fi קורא אותם בטקסט פשוט, וחיובי הונאה שנובעים מכך מיוחסים לך.
צוות הרכש או האבטחה של לקוח גדול מריץ סריקה מהירה לפני החתימה, רואה שאין HTTPS או שחסרה הפניה-מאולצת, ומחנה את החוזה עד שתוכיח שתוקן.
Google מדרג אותך מתחת למתחרים ששמשים HTTPS, כך שאתה מפסיד בשקט תנועת חיפוש במשך שנים ללא שאי פעם תקשר זאת לפרצה זו.
רגולטור או ספק התשלומים שלך מתייחסים לשליחת נתונים אישיים או כרטיסים לא מוצפנים ככשל שניתן לדיווח, הופך תיקון חינמי של חמש דקות לבעיית ציות.

מדוע זה חשוב. HTTPS הוא הרצפה, לא התקרה, של אבטחת אינטרנט — הוא מה שגורם למנעול להופיע ומה שעוצר כל מה שלקוחות שולחים מלהיקרא או לשנות בדרך. ההפניה-המאולצת סוגרת את הפרצה שתעודה לבד משאירה פתוחה: אנשים כמעט לעולם לא מקלידים 'https://', כך שללא הפניה הבקשה הראשונה שלהם נוסעת ללא הגנה לפני שהגרסה המאובטחת אי פעם נטענת.

מה זה, בשפה פשוטה

HTTPS הוא הגרסה המאובטחת והמוצפנת של האתר שלך — זו שמציגה מנעול בשורת הכתובת. כשמבקר נמצא ב-HTTPS, כל מה שעובר בין הדפדפן שלו לאתר שלך (הדפים שהם רואים, הטפסים שהם ממלאים, הסיסמאות שלהם, פרטי הכרטיס שלהם) מסרבל כך שאף אחד באמצע לא יכול לקרוא אותו או לשנות אותו. הגרסה הפשוטה, HTTP, שולחת את כל זה כטקסט קריא שכל אחד באותה רשת יכול לתפוס.

ישנם שני חלקים להכנת זה נכון, ואנחנו בודקים את שניהם:

האם HTTPS זמין בכלל? האם לאתר שלך יש תעודת אבטחה עובדת כך שהגרסה המאובטחת עם מנעול קיימת? זהו החמור מבין השניים — בלעדיו אין הצפנה כלל.
האם האתר שלך מאלץ מבקרים אליו? כמעט אף אחד לא מקליד “https://” ידנית. אם מישהו מקליד רק את שם הדומיין שלך, הדפדפן שלו מנסה קודם את גרסת ה-HTTP הפשוטה. הפניה-מאולצת קופצת אוטומטית בקשה זו לגרסה המוצפנת. בלעדיה, הרגעים הראשונים של כל ביקור חשופים גם כשיש לך תעודה.

אתה רוצה את שניהם. תעודה ללא הפניה היא דלת כניסה נעולה שמבקרים יכולים פשוט ללכת מסביבה.

הימורים עסקיים

זהו האות הבסיסי ביותר לאם אתר בטוח — וחשוב, זהו אות שלקוחות שלך יכולים לראות בעצמם. כל דפדפן מודרני (Chrome, Edge, Safari, Firefox) מסמן אתר ללא HTTPS כ**“לא מאובטח”** ישירות בשורת הכתובת, ומציג אזהרה אם מישהו מנסה להקליד בטופס. המבקרים שלך לא צריכים לדעת מהי תעודה כדי להגיב למילה הזו.

מעבר לאזהרה הגלויה, זה משפיע על שלושה דברים שבעלי עסקים דואגים להם ישירות: אמון (אנשים עוזבים אתרים שנראים לא בטוחים), דירוג חיפוש (Google משתמש ב-HTTPS כאות דירוג שנים ומעדיף אתרים מאובטחים), וחשיפה אמיתית (נתונים שנשלחים ב-HTTP הפשוט ניתנים לקריאה באמת ע”י אחרים באותה רשת).

מה זה יכול לעלות לך

ההקפצה השקטה. לקוח פוטנציאלי לוחץ על תוצאת חיפוש או פרסום, והדף נטען עם תג “לא מאובטח” אפור — או גרוע מכך, אזהרת מסך מלא. הם לא שולחים לך מייל לשאול למה; הם פשוט סוגרים את הכרטיסייה ולוחצים על תוצאה הבאה. שילמת על הביקור הזה ואיבדתו לפני שקראו מילה.
כניסה מיורטת או תשלום. לקוח מתחבר או מסיים עסקה בזמן שב-Wi-Fi משותפת של מלון או בית קפה. כיוון שהחיבור אינו מוצפן, מישהו בסביבה תופס את הסיסמה ומספר הכרטיס שלהם בטקסט פשוט. ההונאה שנובעת מכך מדווחת כהפרצה שלך, ואתה זה שמקבל את השיחות הכועסות והחזרי החיוב.
העסקה שנעצרת. לקוח פוטנציאלי גדול מוכן לחתום, אבל תהליך הרכש שלו כולל בדיקת אבטחה מהירה של האתר שלך. היא חוזרת ומסמנת שאין HTTPS, או שחסרה הפניה-מאולצת. פתאום אתה מסביר פרצת אבטחה בסיסית במקום לסגור — והחוזה ממתין, או עובר בשקט למתחרה שעבר את הבדיקה.
דליפת דירוג ההדרגתית. שני עסקים מציעים את אותו הדבר; אחד משרת HTTPS מאובטח ואחד לא. מנועי חיפוש דוחפים את המאובטח למעלה. לאורך חודשים אתה מפסיד זרם קבוע של תנועה חינמית ולא אי פעם מקשר זאת להגדרה אחת זו.
תוכן מוזרק שמעולם לא כתבת. בחיבור לא מוצפן, כל אחד באמצע — רשת ציבורית גרועה, ראוטר שנפרץ — יכול להכניס חלונות קופצים מזויפים, הצעות הונאה, או תוכנות זדוניות לדפים שלך בזמן שמבקר טוען אותם. לאותו מבקר, זה נראה כאילו האתר שלך עשה זאת.

מה זה בעצם

כשדפדפן מתחבר לאתר דרך HTTPS, שני דברים קורים. ראשית, האתר מציג תעודה — אישור שהונפק ע”י רשות מהימנה שמוכיח שהאתר הוא מי שהוא טוען להיות. שנית, הדפדפן והשרת מסכימים על מפתח הצפנה ומשתמשים בו לסרבל כל מה שהם מחליפים. הבדיקה הראשונה שלנו, HTTPS זמין, פשוט שואלת: האם נוכל לייצר חיבור TLS מאובטח לאתר שלך בפורט הסטנדרטי המאובטח (443) ולקבל בחזרה תעודה חוקית? אם כן, המנעול יכול להופיע וההצפנה פועלת. אם לא, אין גרסה מאובטחת של האתר שלך כלל — וזהו הכשל הכבד ביותר שאנחנו מניקוד.

הבדיקה השנייה, ההפניה-המאולצת, מכסה פרצה שהתעודה לבד משאירה פתוחה. אנשים מקלידים “yourbusiness.com”, לא “https://yourbusiness.com”. הבקשה הבסיסית הזו הולכת לגרסת ה-HTTP הפשוטה תחילה. הפניה היא הוראה בשורה אחת שאומרת “שלח כל מי שמגיע לגרסה הלא מאובטחת ישירות לגרסה המאובטחת”. הבדיקה שלנו שואלת: כשאנחנו מבקשים את כתובת ה-HTTP הפשוטה שלך, האם האתר שלך קופץ אותנו ל-HTTPS?

מה נראה “טוב”: תעודה חוקית ומהימנה כך שהמנעול מופיע על כל דף, וכל בקשת HTTP פשוטה מופנית אוטומטית לגרסת ה-HTTPS (באופן אידיאלי עם הפניה קבועה “301”, שגם מעביר את דירוג החיפוש שלך בצורה נקייה לכתובת המאובטחת).

כיצד לתקן (חינם, ~15 דקות)

מסור חלק זה לאיש ה-IT שלך או לתמיכת ספק האירוח שלך — התיקון חינמי. שני החלקים לא עולים כלום: תעודות מהימנות חינמיות ומחדשות את עצמן, והפעלת ההפניה היא הגדרה יחידה ברוב הפלטפורמות.

יש שני דברים להפעיל. ברוב האירוח המודרני, עשיית הראשון לעתים קרובות הופך את השני למתג בלחיצה אחת.

1. קבל תעודה כך ש-HTTPS יעבוד (המנעול).

Cloudflare: אם האתר שלך מאחורי Cloudflare, SSL מטופל עבורך. הגדר את מצב SSL/TLS ל-”Full” (או “Full (strict)” אם לשרת המקור שלך יש גם תעודה).
בוני אתרים ואירוח מנוהל (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, רוב אירוח Microsoft 365 / Google Workspace): HTTPS מסופק אוטומטית; פשוט ודא שהוא מופעל בהגדרות האתר/הדומיין שלך.
אירוח cPanel: פתח SSL/TLS Status והרץ AutoSSL, שמנפיק תעודת Let’s Encrypt חינמית.
השרת שלך (VPS): התקן Let’s Encrypt עם Certbot — sudo certbot --nginx -d yourdomain.com (או --apache). הוא מביא ומתקין תעודה חינמית ומגדיר חידוש אוטומטי.
כל דבר אחר: צור קשר עם תמיכת ספק האירוח שלך ובקש ממנו “לאפשר תעודת SSL חינמית לדומיין שלי.”

2. אלץ כל מבקר ל-HTTPS (ההפניה).

Cloudflare: SSL/TLS → Edge Certificates → הפעל “Always Use HTTPS.” זו כל העבודה.
בוני אתרים (Squarespace, Wix, Shopify וכו’): חפש מתג “Force HTTPS” או “Secure (HTTPS)” בהגדרות האתר שלך והפעל אותו.
Nginx: הוסף בלוק שרת ביציאה 80 שמחזיר הפניה קבועה — return 301 https://$host$request_uri;.
Apache (.htaccess): אפשר rewriting והפנה כל בקשה שאינה HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
IIS (אירוח Windows): התקן מודול URL Rewrite והוסף כלל הפניה “HTTP to HTTPS”.

לאחר ששניהם פועלים, בדוק: הקלד את כתובתך עם http:// פשוט לפניה ואשר שהדפדפן קופץ לגרסת ה-https:// עם מנעול אוטומטית, ושהמנעול מופיע על הדפים הראשיים שלך.

טעויות נפוצות

תעודה מותקנת, אבל אין הפניה. הפרצה הנפוצה ביותר. אתה רואה את המנעול כשאתה מבקר באתר שלך (כי הדפדפן שלך זכר HTTPS), כך שאתה מניח שסיימת — אבל מבקרים חדשים שמקלידים את הדומיין הבסיסי עדיין נוחתים ב-HTTP תחילה. תמיד בדוק את גרסת ה-http:// הפשוטה במפורש.
תוכן מעורב. הדף שלך נטען ב-HTTPS אבל מביא תמונה, סקריפט, או גופן מכתובת http:// ישנה. דפדפנים או חוסמים אותה או מורידים את המנעול לאזהרה. עדכן את ההפניות האלה ל-https:// (או לקישורים יחסיים). לרוב הפלטפורמות יש דוח “תוכן מעורב” שמאתר אותם.
הפניה זמנית (302) במקום קבועה (301). 302 עובדת למבקרים אבל אומרת למנועי חיפוש שהמעבר זמני, כך שערך הדירוג לא עובר בצורה נקייה לכתובת המאובטחת שלך. השתמש ב-301 קבוע.
הפניה רק לדומיין הבסיסי ולא “www” (או להפך). ודא שגם yourdomain.com וגם www.yourdomain.com מסתיימים ב-HTTPS, אחרת אחד מהמסלולים עדיין חשוף.
מתן לתעודה לפוג. תעודה שפגה זורקת שגיאת דפדפן מסך מלא שעוצרת מבקרים. תעודות Let’s Encrypt חינמיות מחדשות את עצמן; אם קנית אחת ידנית, הגדר תזכורת לוח שנה הרבה לפני פגיעתה.

שאלות נפוצות

אני לא טכני — האם אני יכול לטפל בזה בעצמי?

אתה לא צריך להבין אף אחד מהפרטים. שני החלקים מופעלים ע"י מי שמנהל את האתר שלך, וברוב הפלטפורמות המודרניות זו תעודה חינמית ומתג יחיד — לעתים קרובות ממש תיבת סימון שנקראת 'השתמש תמיד ב-HTTPS'. מסור את חלק 'כיצד לתקן' לאיש האינטרנט שלך; התיקון לא עולה כלום ובדרך כלל לוקח דקות.

אני כבר רואה מנעול באתר שלי — האם סיימתי?

אולי לא. המנעול אומר שגרסת ה-HTTPS המאובטחת שלך קיימת, אבל הוא לא מבטיח שמבקרים נשלחים אליה. אם מישהו מקליד את כתובתך ללא 'https://' והאתר שלך לא מפנה אותם, החיבור הראשון שלהם עדיין לא מוצפן. בדיקת המנעול ובדיקת ההפניה הן שני דברים נפרדים — אתה רוצה את שניהם.

האם תעודה לא יקרה או קשה לחידוש?

לא. תעודות חינמיות מ-Let's Encrypt מהימנות לכל דפדפן גדול ומחדשות את עצמן אוטומטית, כך שאין מה לזכור ואין מה לשלם. תעודות בתשלום קיימות אבל לא מציעות אבטחה נוספת לאתר עסקי טיפוסי — ההצפנה זהה.

אנחנו לא מקבלים תשלומים או כניסות באתר שלנו — האם זה עדיין חשוב?

כן. דפדפנים מסמנים כל אתר שאינו HTTPS כ'לא מאובטח' ללא קשר למה שהוא עושה, כך שאפילו אתר פרוספקטוס מפסיד אמון ודירוג חיפוש. HTTPS גם מונע מכל אחד באמצע להזריק תוכן מזויף, חלונות קופצים של הונאה, או תוכנות זדוניות לדפים שלך בזמן שמבקרים טוענים אותם.

האם הפעלת ההפניה-המאולצת יכולה לשבור את האתר שלי?

זה בטוח כל עוד הגרסה המאובטחת שלך כבר עובדת — שאם יש לך תעודה חוקית, היא עושה. הגישה הסטנדרטית היא לאשר שהאתר שלך נטען נכון ב-https:// תחילה, ואז להפעיל את ההפניה. הדבר היחיד לשים לב אליו הוא תוכן מעורב (ראה טעויות נפוצות למטה), שקל לאתר ולתקן.

מה ההבדל בין זה ל-HSTS?

דף זה עוסק בקיום HTTPS בכלל ובשליחת מבקרים אליו. HSTS הוא צעד נוסף שאומר לדפדפנים לזכור שהאתר שלך הוא HTTPS בלבד ולסרב לחיבור ללא אבטחה לנצח — הוא מקשיח את מה שהגדרת כאן. הגדר HTTPS וההפניה נכון תחילה; HSTS בונה על גבי.