אם האתר שלכם עדיין משתמש ב-HTTP, אתם עלולים להסתכן בפגיעה באבטחת המשתמשים, ירידה בדירוג במנועי החיפוש, ואזהרות בדפדפנים שמרתיעות מבקרים. מעבר ל-HTTPS לא רק משפר את האבטחה, אלא גם תורם לביצועי האתר ולחוויית המשתמש.
מה כוללת ההדרכה?
- בחירת תעודת SSL/TLS: סוגים, מחירים, והיקף כיסוי.
- התקנה ובדיקה: איך להגדיר את התעודה בשרת ולוודא תקינות.
- עדכון קישורים ומשאבים: מניעת בעיות של תוכן מעורב.
- הגדרת הפניות 301: העברת תנועה מ-HTTP ל-HTTPS.
- עדכון מנועי חיפוש: שימוש ב-Google Search Console ומפות אתר.
- הפעלת HSTS: שיפור אבטחה ומניעת התקפות.
טיפ חשוב: תהליך המעבר דורש תכנון מוקדם, בדיקות מדוקדקות, ומעקב אחר ביצועי האתר.
תהליך מעבר מ-HTTP ל-HTTPS ב-6 שלבים
שלב 1: הכנה למעבר
לפני שאתם מתחילים את תהליך המעבר, חשוב להבין את המטרה של תעודת SSL/TLS. התעודה יוצרת ערוץ מוצפן בין השרת לדפדפן, ומספקת שלוש שכבות הגנה עיקריות: סודיות (שמירה על פרטיות הנתונים), שלמות (וידוא שהמידע לא עבר שינוי במהלך ההעברה), ואימות (הבטחת זהות האתר שאתם גולשים בו).
בחירת תעודת SSL/TLS
ישנם שלושה סוגים עיקריים של תעודות, והבחירה ביניהן תלויה בצרכים שלכם ובמאפייני האתר או העסק שלכם:
- תעודת DV (Domain Validated): מאמתת רק את בעלות הדומיין. מתאימה לעסקים קטנים וניתנת לרכישה בכ-40 ₪ לשנה או בחינם דרך Let's Encrypt.
- תעודת OV (Organization Validated): כוללת אימות של הישות המשפטית. המחיר נע בין 150–380 ₪ לשנה.
- תעודת EV (Extended Validation): דורשת אימות מעמיק יותר של העסק ועולה בין 570–1,140 ₪ לשנה.
מעבר לכך, יש להתייחס גם להיקף הכיסוי של התעודה:
- תעודה רגילה מכסה דומיין אחד (כולל www).
- תעודת Wildcard מאפשרת כיסוי של מספר בלתי מוגבל של תת-דומיינים (כמו blog.example.com).
- תעודת Multi-Domain מכסה דומיינים שונים לחלוטין.
בנוסף, יש לשים לב לאורך המפתחות: מפתחות RSA צריכים להיות בגודל של לפחות 2,048 ביט. שימוש במפתחות קצרים יותר עלול לחשוף את האתר שלכם לסיכונים, בעוד שמפתחות ארוכים יותר (כמו 4,096 ביט) עשויים להשפיע על ביצועי השרת.
בניית רשימת המשימות למעבר
כדי להבטיח תהליך מעבר חלק, יש להכין רשימת משימות מפורטת.
שלב ראשון: זיהוי הדומיינים ותת-הדומיינים שדורשים כיסוי. זהו שלב קריטי שמשפיע על בחירת סוג התעודה.
שלב שני: בדקו עם ספק האחסון שלכם אם הם מציעים תעודות SSL בחינם או התקנה פשוטה בלחיצה אחת. זה יכול לחסוך זמן ולפשט את התהליך.
שלב שלישי: צרו גיבוי מלא של האתר ושל קבצי התצורה של השרת (כמו .htaccess). כך תוכלו לשחזר את האתר במקרה של תקלה.
לאחר מכן, בצעו מיפוי של כל המשאבים באתר. בדקו קישורים פנימיים, סקריפטים, תמונות וקבצי CSS שמשתמשים בכתובות מוחלטות (כמו http://example.com/image.jpg) ותכננו להמיר אותם לנתיבים יחסיים (למשל, /image.jpg) כדי למנוע שגיאות מסוג "mixed content". כמו כן, ודאו שכל שירותי צד שלישי (כמו ווידג'טים או CDN) תומכים ב-HTTPS.
לבסוף, הכינו CSR (Certificate Signing Request). זהו קובץ הכולל את המפתח הציבורי ופרטים על הארגון שלכם, ונדרש על ידי רשות האישורים כדי להנפיק את התעודה.
sbb-itb-1ec8384
שלב 2: התקנת ובדיקת תעודת SSL/TLS
אחרי שהכנתם את המערכת והגדרתם את ה-CSR, הגיע הזמן להתקדם לשלב הבא: התקנה ובדיקה של תעודת ה-SSL/TLS.
התקנת תעודת SSL
לאחר שקיבלתם את התעודה מרשות האישורים (CA), יש לדאוג להתקין אותה נכון על השרת. מומלץ לשמור אותה בתיקייה מאובטחת שאינה נגישה ישירות מהאינטרנט, כמו /etc/ssl בלינוקס או מאגר ייעודי ב-Windows IIS. הימנעו מלהעלות את התעודה לתיקיות ציבוריות כגון public_html, כדי למנוע גישה לא מורשית.
כדי לוודא שההגדרות תואמות את השרת שלכם, השתמשו בכלי כמו Mozilla SSL Configuration Generator, שמספק תצורות מדויקות לשרתים נפוצים כמו Apache או Nginx. בנוסף, חשוב לבדוק את תקינות ה-CSR באמצעות הפקודה הבאה:
openssl req -text -in [filename].csr -noout בדיקה זו מסייעת לזהות שגיאות אפשריות ב-CSR, שעלולות לעכב את תהליך ההנפקה וההתקנה.
נקודה חשובה: אם אתם משתמשים בתעודות Wildcard (לדוגמה, *.example.com), זכרו שהן תומכות רק בתת-דומיין ברמה אחת. עבור תת-דומיינים מרובי-רמות, ייתכן שתצטרכו פתרון מותאם.
אחרי התקנה מוצלחת, נעבור לבדוק את הגדרות ה-HTTPS ואת רמת האבטחה.
בדיקת הגדרות HTTPS
לאחר ההתקנה, יש לבדוק את תקינות ההגדרות באמצעות כלים כמו Qualys SSL Server Test (SSL Labs). שרת שהוגדר כראוי אמור לקבל ציון A או A+. הבדיקה הזו מסייעת לזהות בעיות נפוצות, כמו שרשרת תעודות חסרה – מצב שעלול לגרום לשגיאות אמון בדפדפנים – או בעיות של mixed content, שבהן דף HTTPS טוען משאבים (כמו תמונות או סקריפטים) דרך HTTP. מצבים כאלה יכולים לגרום לחסימת המשאבים או להופעת אזהרות אבטחה למשתמשים.
בשלב זה, מומלץ להימנע מהפעלת HSTS (HTTP Strict Transport Security). HSTS עלול לגרום לדחיית חיבורים במקרה של בעיות בתעודה. אם תחליטו להפעיל HSTS בהמשך, התחילו עם ערך max-age נמוך, והעלו אותו בהדרגה לאחר שתוודאו שההגדרות יציבות וללא תקלות.
שלב 3: עדכון הגדרות האתר
אחרי שסיימתם את ההתקנות והבדיקות, הגיע הזמן לעדכן את הגדרות האתר ל-HTTPS. השלב הזה קריטי כדי למנוע אזהרות אבטחה שעלולות להרתיע משתמשים. אם לא תטפלו בקישורים ובמשאבים כמו שצריך, הדפדפנים עשויים להציג אזהרות, וזה עלול לפגוע בחוויית המשתמש וביתרונות המעבר ל-HTTPS.
עדכון קישורים פנימיים ומשאבים
חשוב לטפל בבעיות של תוכן מעורב (mixed content)! דפדפנים עשויים לחסום משאבים שמגיעים דרך HTTP או להציג אזהרות למשתמשים.
כדי להימנע מזה, עדכנו את כל הקישורים הפנימיים באתר לנתיבים יחסיים. לדוגמה, החליפו <script src="http://example.com/js/main.js"> ב-<script src="/js/main.js">. כך תבטיחו שהקישורים יפעלו גם ב-HTTP וגם ב-HTTPS בזמן המעבר.
למשאבים חיצוניים כמו ספריות JavaScript מ-CDN או תמונות מתת-דומיינים, השתמשו בכתובות HTTPS או URL יחסיים שמתחילים ב-//. אם ספק חיצוני לא תומך ב-HTTPS, שקלו להוריד את הקובץ ולאחסן אותו בשרת שלכם.
כמו כן, עדכנו את כל קבצי ה-HTML, CSS, JavaScript, הפניות, תגיות <link> והצהרות CSP. אם יש לכם אתר גדול או תוכן שמאוחסן במסד נתונים, שקלו להשתמש בכלים אוטומטיים כדי לעדכן את הקישורים ולמנוע טעויות.
עדכון תגיות Canonical ומפות אתר
אחרי עדכון הקישורים, חשוב להודיע למנועי החיפוש שגרסת ה-HTTPS היא הגרסה הרשמית של האתר. עשו זאת על ידי הוספת תגית canonical ל-<head> של כל עמוד. לדוגמה: <link rel="canonical" href="https://example.com/page"/>. זה עוזר למנוע בעיות של תוכן כפול ומבהיר למנועי החיפוש איזו גרסה לאנדקס.
עדכנו גם את קובץ ה-sitemap.xml כך שכל הכתובות יתחילו ב-https://. אל תשכחו לעדכן את קובץ robots.txt ואת כללי ההפניות. לאחר מכן, העלו את מפת האתר המעודכנת ל-Google Search Console.
"Google uses HTTPS as a positive indicator of search quality." – Google
לסיום, הריצו סריקה מלאה של האתר עם כלי אוטומטי כדי לוודא שלא נשארו שרידים של http:// בקוד. כך תתפסו בעיות לפני שהמשתמשים ייתקלו בהן. אחרי שתסיימו את השלב הזה, תוכלו להתקדם להגדרת הפניות 301 ובדיקת האתר.
שלב 4: הגדרת הפניות 301
אחרי שביצענו עדכוני קישורים ושיפורים בהגדרות האתר בשלב הקודם, עכשיו הגיע הזמן להגדיר הפניות 301. הפניות אלו חיוניות לשמירה על אבטחת האתר ולשיפור ביצועי ה-SEO. הפניות 301 מעבירות את כל התנועה מ-HTTP ל-HTTPS, ומודיעות למנועי החיפוש ולדפדפנים שגרסת ה-HTTPS היא הגרסה הרשמית והקבועה של כל כתובת באתר. בלי הפניות נכונות, משתמשים עלולים להגיע לגרסת HTTP הישנה, מה שעלול לפגוע באבטחת האתר ובמיקומו בתוצאות החיפוש.
הגדרת הפניות ברמת השרת
כדי להבטיח שההפניות יעבדו בצורה יעילה, יש להגדיר אותן ברמת השרת. בין אם האתר שלך מתארח על Apache, Nginx או IIS, חשוב להגדיר כללים שיבטיחו שכל בקשה ל-HTTP תועבר אוטומטית ל-HTTPS. כלי כמו Mozilla SSL Configuration Generator יכול לעזור לך להגדיר את ההפניות המתאימות לשרת שלך.
יש לוודא שההפניה מחזירה קוד 301, שמסייע להעביר את רוב ערך ה-SEO (90%-99% מה-PageRank) לכתובת החדשה. בנוסף, ודא שתעודת ה-SSL של הדומיין הישן תקפה. אם התעודה פגה, ההפניה תיכשל כי הדפדפן מבצע SSL handshake עוד לפני ההפניה, ומשתמשים יתקלו באזהרת אבטחה.
לאחר שההפניות מוגדרות, חשוב לעבור לשלב הבא ולוודא שהן פועלות בצורה חלקה, ללא בעיות נפוצות.
מניעת בעיות נפוצות בהפניות
כדי לשפר את ביצועי האתר, חשוב למנוע שרשראות הפניה מיותרות. לדוגמה, במקום הפניה מרובת שלבים כמו HTTP -> HTTPS WWW -> HTTPS ללא WWW, העדיפו הפניה ישירה לכתובת הסופית. ניתן להשתמש בכלים כמו httpstatus.io או DevTools כדי לבדוק שההפניה מחזירה קוד 301 ואחריו 200 OK, וכדי לוודא שכל כתובת ממופה לכתובת המקבילה שלה.
כדאי לדעת ש-Google עוקבת אחרי עד 5 קפיצות הפניה, אבל מומלץ להסתפק בקפיצה אחת בלבד כדי למנוע עיכובים בטעינה ולשפר את חוויית המשתמש.
בעיה נוספת שעלולה להופיע היא לולאות הפניה. לדוגמה, אם תגיות canonical מפנות לגרסת HTTP בזמן שהשרת מפנה ל-HTTPS, זה עלול לגרום לבעיות. ודאו שההפניות ממפות כתובות ספציפיות לכתובות המקבילות שלהן, ולא מפנות את כל התנועה לדף הבית. הפניה כזו פוגעת בחוויית המשתמש ובערך ה-SEO של האתר.
שלב 5: עדכון מנועי חיפוש והפעלת HSTS
אחרי שהגדרתם הפניות 301 בשלב הקודם, הגיע הזמן לוודא שמנועי החיפוש מזהים את המעבר ל-HTTPS ומתחילים לאנדקס את גרסת האתר המאובטחת. Google מתייחסת ל-HTTPS כסמן חיובי לאיכות ומעניקה לו השפעה על דירוג החיפוש. כך ששלב זה הוא קריטי לשמירה על המיקום של האתר בתוצאות החיפוש ולהבטחת גישה לגרסת HTTPS בלבד.
הוספת אתר ה-HTTPS ל-Google Search Console
גשו ל-Google Search Console והוסיפו את גרסת ה-HTTPS של האתר כנכס חדש. לאחר מכן, העלו את מפת האתר (sitemap) המעודכנת, הכוללת רק כתובות HTTPS. זה יאפשר ל-Google לאנדקס את הדפים בגרסה המאובטחת ולנתח את המבנה החדש של האתר. לאחר שמנועי החיפוש זיהו את האתר, ניתן להתקדם לחיזוק האבטחה עם HSTS.
הפעלת HTTP Strict Transport Security (HSTS)
כדי להבטיח שהאתר יישאר מוגן, יש להפעיל את HSTS. מנגנון זה מורה לדפדפנים להתחבר תמיד דרך HTTPS, גם אם המשתמש ניגש לקישור שמתחיל ב-http://. כך נמנעות התקפות כמו "SSL Stripping", שבהן תוקפים מנסים להפחית את רמת ההצפנה. בנוסף, HSTS משפר את הביצועים בכך שהוא מאפשר לדפדפן להתחבר ישירות לגרסת HTTPS ללא צורך בהפניות מיותרות.
לפני הפעלת HSTS, ודאו שתצורת ה-TLS שלכם יציבה. אם תעודת ה-SSL תפוג או תיתקל בבעיה, HSTS ימנע גישה לאתר, מה שמבטיח רמת אבטחה גבוהה אך דורש תחזוקה מתמדת. מומלץ להתחיל עם ערך max-age נמוך (כמו 86,400 שניות – יום אחד) ולהגדיל אותו בהדרגה ככל שהמערכת מתפקדת כראוי.
כדי להפעיל HSTS, הוסיפו את הכותרת Strict-Transport-Security לתגובות השרת.
"HSTS was explicitly designed this way to ensure that network attackers cannot trick clients into accessing the site without HTTPS." – web.dev
נקודה חשובה נוספת: בעת הפעלת HSTS, יש לוודא שהעוגיות (Cookies) מוגדרות עם דגל Secure. כך תבטיחו שמידע רגיש, כמו טוקנים לאימות, לא יועבר לעולם בחיבור שאינו מוצפן.
שלב 6: בדיקה ומעקב אחרי המעבר
אחרי שסיימתם את כל שלבי המעבר, חשוב לוודא שהמעבר ל-HTTPS בוצע בצורה חלקה ושאתרכם ממשיך לפעול כראוי. מעבר לא מוצלח עלול לפגוע משמעותית בדירוג החיפוש ובתנועה האורגנית. עם זאת, אם המעבר התבצע כהלכה, התנועה צפויה לחזור ל-90%-100% מהרמה שהייתה לפני המעבר בתוך 6 עד 8 שבועות. כעת, נבחן כיצד לבדוק ולעקוב אחרי ביצועי האתר מבחינת SEO ובחינת היבטים טכניים.
סריקה מלאה של האתר
השתמשו בכלי סריקה כמו Screaming Frog מיד לאחר המעבר כדי לאתר תוכן מעורב (Mixed Content). זהו מצב שבו דפי HTTPS טוענים משאבים כמו תמונות, סקריפטים או גיליונות עיצוב דרך HTTP. מצב כזה עלול לגרום לדפדפנים לחסום את המשאבים או להציג אזהרות אבטחה למשתמשים. בנוסף, הריצו סקריפטים אוטומטיים כדי לזהות קישורי HTTP בקוד האתר.
בדקו גם את הגדרות ה-SSL שלכם בעזרת כלי כמו Qualys SSL Server Test כדי לוודא שהן מעודכנות. לאחר שתאתרו ותתקנו בעיות, המשיכו לעקוב אחרי השפעת השינויים על ביצועי האתר מבחינת SEO.
מעקב אחר השפעה על SEO וביצועים
עקבו באופן צמוד אחרי נתונים ב-Google Search Console וב-Google Analytics. בשבועיים הראשונים, מומלץ לבדוק את הנתונים מדי יום, ולאחר מכן לעבור למעקב שבועי למשך חודשיים. שימו לב לעלייה הדרגתית באינדוקס כתובות HTTPS ולירידה מקבילה באינדוקס כתובות HTTP.
דפים עם סמכות גבוהה וקישורים חיצוניים רבים בדרך כלל ייסרקו מחדש ויקבלו דירוג מעודכן תוך שבוע עד שבועיים.
"Moving to HTTPS is a bit like a site migration, all the URLs have to be recognized, recrawled, and reprocessed individually."
- John Mueller, Search Advocate, Google
כדי להודיע למנועי החיפוש על המעבר, השתמשו בכלי Change of Address. עם זאת, הימנעו משימוש בכלי להסרת כתובות URL, כדי לא לדכא את גרסאות ה-HTTPS. זכרו שהנתונים ב-Search Console וב-Analytics מתעדכנים בעיכוב של 48 עד 72 שעות, כך שהשפעת המעבר לא תיראה מיד.
סיכום: מה חשוב לזכור ומה הלאה
מעבר ל-HTTPS הוא לא רק המלצה, אלא צעד הכרחי לשמירה על אבטחת המשתמשים ולשיפור קידום האתר בגוגל. אבל זה לא מסתכם רק בהתקנת תעודת SSL. חשוב לעדכן את כל הקישורים הפנימיים, להגדיר הפניות 301, ולהתאים כותרות אבטחה כמו HSTS.
אחרי השלמת המעבר, ודאו שכל המשאבים באתר – תמונות, סקריפטים וגיליונות עיצוב – נטענים דרך HTTPS בלבד. בנוסף, מומלץ לבדוק באופן קבוע את תצורת ה-SSL שלכם באמצעות הכלי Qualys SSL Server Test, במטרה להגיע לציון A או A+. שימו לב: תוכן מעורב (Mixed Content) עלול לגרום לדפדפנים להציג אזהרות אבטחה, ולכן יש לטפל בו מיידית.
כשהאתר פועל בצורה יציבה, הפעילו את HSTS והגדירו את כל ה-cookies כך שיכללו את דגל "Secure" – זה ימנע העברות מידע לא מוצפנות.
מעבר לאבטחה, HTTPS מציע גם שיפורי ביצועים. לדוגמה, הוא מאפשר שימוש בפרוטוקול HTTP/2, שיכול לשפר את מהירות טעינת האתר בצורה משמעותית. במהלך החודשיים הראשונים לאחר המעבר, עקבו אחר הנתונים ב־Search Console וב־Analytics כדי להבין את השפעת התהליך. כך תוכלו להמשיך לשפר את ביצועי האתר ולשמור על רמת אבטחה גבוהה לאורך זמן.
FAQs
איך בוחרים תעודת SSL מתאימה?
כאשר בוחרים תעודת SSL, חשוב להבין את הצרכים של האתר שלכם ואת סוג התעודה הנדרש. ישנם מספר סוגים של תעודות SSL, כמו תעודות בסיסיות, מאומתות ארגון (OV), או מאומתות ברמה גבוהה (EV). כל סוג מתאים למטרות שונות.
כדי לבחור נכון, שימו לב לנקודות הבאות:
- סוג האתר: האם מדובר באתר מסחרי, אתר עם דומיין יחיד, או כזה שכולל דומיינים ותת-דומיינים מרובים?
- רמת ההצפנה: חפשו תעודה עם הצפנה חזקה, כמו RSA 2048-bit, שתספק שכבת הגנה מתקדמת.
- רשות מאשרת: בחרו תעודה מרשות מאשרת מוכרת ואמינה. זה יבטיח אמון מצד המשתמשים ויאפשר הגנה על נתונים רגישים.
בחירה נכונה של תעודת SSL לא רק מגינה על המידע באתר, אלא גם משדרת למשתמשים שהאתר בטוח לשימוש.
מה עושים אם יש באתר Mixed Content אחרי המעבר?
הודעת "Mixed Content" מצביעה על כך שיש באתר משאבים שעדיין נטענים דרך HTTP במקום HTTPS. מצב זה יכול לפגוע באבטחת האתר ובאמון המשתמשים.
כדי לפתור את הבעיה, יש לבצע בדיקה יסודית של קוד האתר. ודא שכל הקישורים, התמונות, הסקריפטים וכל משאב אחר נטענים באמצעות פרוטוקול HTTPS.
איך לזהות ולתקן משאבים לא מוצפנים?
- השתמש בכלים כמו Chrome DevTools כדי לאתר משאבים שממשיכים להיטען דרך HTTP.
- עדכן את הקישורים בקוד כך שישתמשו ב-HTTPS.
- הוסף הפניות 301 מכתובות HTTP ל-HTTPS. פעולה זו תבטיח שמשתמשים ודפדפנים יטענו את המשאבים בצורה מאובטחת בלבד.
צעדים אלה יעזרו לך להבטיח שהאתר שלך מאובטח לחלוטין ותואם לדרישות HTTPS.
מתי כדאי להפעיל HSTS בלי לסכן את הנגישות לאתר?
לפני שמפעילים HSTS (HTTP Strict Transport Security), חשוב לוודא שהאתר שלכם מוגן בתעודת SSL תקינה, ושכל ההפניות וההגדרות ל-HTTPS פועלות בצורה מושלמת.
איך עושים את זה נכון?
- התחילו בערך max-age נמוך: לדוגמה, הגדירו את התקופה הראשונית לכמה ימים בלבד. זה יאפשר לבדוק את ההשפעה על האתר מבלי לסכן את נגישות המשתמשים.
- בדקו את יציבות האתר: ודאו שכל התעבורה עוברת ל-HTTPS בצורה חלקה, ללא בעיות הפניה או תקלות.
- הגדילו את הערך בהדרגה: לאחר שאתם בטוחים שהאתר יציב ובטוח, ניתן להאריך את תקופת ה-max-age כדי למקסם את ההגנה.
גישה זו תעזור לכם להימנע מבעיות נגישות ולוודא שתהליך ההטמעה מתבצע בצורה חלקה ומבוקרת.
