HTTPS ואבטחה — כיצד SSL/TLS משפיע על SEO

HTTPS — Hypertext Transfer Protocol Secure — הוא גרסת האבטחה של HTTP. הפרוטוקול משתמש בהצפנה מבוססת TLS (Transport Layer Security) כדי להבטיח שהמידע שעובר בין הדפדפן לשרת מוצפן ולא ניתן ליירוט.

ב-2014, גוגל הודיעה רשמית שה-HTTPS הוא גורם דירוג — וזה אות ברור לתעשייה שכל אתר צריך לעבור. כיום, אתר בלי HTTPS מקבל אזהרת 'Not Secure' בכרום ובדפדפנים אחרים, מה שפוגע קשות באמון המשתמש ובשיעור ההמרה.

HTTPS לא 'מניפולציה' לדירוג — הוא עמוד התווך של אמינות האתר. אתרים שמאספים מידע אישי (טפסי יצירת קשר, כניסה לחשבון, תשלום) ללא HTTPS פשוט אינם מאובטחים — זה לא עניין של SEO בלבד, אלא אחריות כלפי המשתמשים.

SSL (Secure Sockets Layer) הוא הפרוטוקול המקורי שפותח על ידי Netscape בשנות ה-90. הוא כבר הוחלף ל-TLS (Transport Layer Security) — גרסה מודרנית ומאובטחת יותר.

בפועל, כשאומרים 'תעודת SSL' — כוונתם ל-TLS. ה-SSL כבר לא בשימוש, אך המונח נשמר בשוק. 'תעודת SSL' היא בעצם 'תעודת TLS/SSL' — תעודה דיגיטלית שמאמתת את זהות האתר ומאפשרת הצפנה.

HTTPS = HTTP + TLS. כלומר, HTTPS הוא פרוטוקול HTTP שמועבר דרך חיבור מוצפן ב-TLS.

DV — Domain Validation: האמות הבסיסית ביותר. מאמתת שאתה שולט על הדומיין. מהירה להנפקה (דקות עד שעות). מספקת הצפנה זהה. זה הסוג שרוב האתרים צריכים.

OV — Organization Validation: מאמתת גם את פרטי הארגון (שם החברה, מיקום). לוקחת ימים להנפקה. מראה את שם הארגון בפרטי התעודה — נותנת אמינות נוספת.

EV — Extended Validation: האמות המחמירה ביותר. כוללת אימות משפטי מלא של הארגון. בעבר הציגה שורה ירוקה עם שם החברה בדפדפן — זה הוסר בדפדפנים מודרניים. שמורה בעיקר לבנקים ואתרים פיננסיים.

Wildcard SSL: תעודה שמכסה דומיין ראשי וכל תת-הדומיינים שלו (*.example.com). שימושית לארגונים עם sub-domains מרובים.

מעבר ל-HTTPS הוא מיגרציה ויש לתכנן אותה היטב כדי למנוע אובדן דירוגים.

צעד 1 — הנפקת תעודה: השג תעודה SSL מספק כמו Let's Encrypt (חינמי ואוטומטי), DigiCert, Sectigo, או דרך ספק האחסון. Let's Encrypt הוא הבחירה הנפוצה ביותר לאתרים עסקיים.

צעד 2 — התקנת התעודה: התקן על השרת ובדוק שה-HTTPS עובד ומחזיר תוכן תקין.

צעד 3 — הפניות 301: הגדר הפניות 301 מ-http ל-https לכל ה-URL של האתר. וודא גם שיש הפניה מ-www ל-ללא www (או להיפך) — לאחידות.

צעד 4 — עדכון קישורים פנימיים: עדכן קישורים פנימיים ומשאבים (תמונות, סקריפטים, CSS) ל-HTTPS. Mixed Content (תוכן http בתוך עמוד https) גורם לאזהרות בדפדפן.

צעד 5 — עדכון GSC ו-Analytics: הוסף את הגרסה החדשה (https) ב-GSC. עדכן הגדרות Analytics לכלול https.

Mixed Content מתרחש כשדף נטען ב-HTTPS אך מכיל משאבים שנטענים ב-HTTP — תמונות, גופנים, סקריפטים, iframes. הדפדפן מציג אזהרות ולפעמים חוסם את המשאב.

סוגי Mixed Content: Active Mixed Content — JavaScript, CSS, iframes בלתי מאובטחים. הדפדפן חוסם אותם לחלוטין. Passive Mixed Content — תמונות, וידאו, אודיו. הדפדפן מציג אזהרה אך לא חוסם.

איתור Mixed Content: פתח את Chrome DevTools (F12), כנס ל-Console, וחפש אזהרות על תוכן http בדף https. כלי Screaming Frog גם מאתר Mixed Content בסריקה מלאה.

תיקון: החלף את כל ה-URL הפנימיים ב-https. עדכן URL של תמונות, CDN, ספריות JavaScript, וגופנים כדי להשתמש ב-https.

חיבור HTTPS דורש TLS Handshake — תהליך שמוסיף עיכוב קטן לחיבור הראשוני. בשיחות ישנות עלה הטיעון ש-HTTPS איטי יותר מ-HTTP. כיום, עם TLS 1.3 ועם HTTP/2, ההבדל זניח לחלוטין.

TLS 1.3 — הגרסה הנוכחית של פרוטוקול ה-TLS — מקצרת את ה-Handshake ל-Round Trip אחד בלבד (ב-TLS 1.2 היו שניים). Session Resumption מאפשרת לדפדפן לזכור את ה-session ולחסוך ב-Handshake בביקורים חוזרים.

HTTP/2 זמין רק ב-HTTPS — ואי אפשר להשתמש ב-HTTP/2 על HTTP. HTTP/2 מהיר משמעותית מ-HTTP/1.1 בזכות multiplexing, header compression, ו-server push. כלומר, HTTPS עם HTTP/2 בפועל מהיר יותר מ-HTTP רגיל.

HSTS — HTTP Strict Transport Security — הוא כותרת HTTP שמציינת לדפדפן שהאתר צריך תמיד להיגשה ב-HTTPS, גם אם המשתמש הקיש http://.

כשמוגדר HSTS, הדפדפן שולח את כל הבקשות ל-HTTPS ישירות — בלי לבצע תחילה בקשת HTTP שמופנית ל-HTTPS. זה חוסך זמן, ומגן מפני התקפות Downgrade שמנסות להפיל את החיבור ל-HTTP.

הוספת האתר ל-HSTS Preload List של הדפדפנים (hstspreload.org) מוסיפה שכבת הגנה נוספת — הדפדפן יודע ש-HSTS תקף עוד לפני שביצע ביקור ראשוני. גוגל מעריכה יישום HSTS כאות לאבטחה מתקדמת.