במידה וטרם התעדכנתם, שנוי גדול קורה בעולם האינטרנט בחצי השנה האחרונה.
החל מאפריל 2016 פועל בעולם חתם SSL אשר מספק לכל דורש תעודת SSL ללא תשלום וללא הגבלה.
איך עובדים עם התעודה? האם זה מתאים לכולם? האם חתמי ה-SSL יפשטו רגל? הפרטים.. בפנים.
אז נתחיל מההתחלה, באמצע שנת 2016 עולה לאוויר מיזם משותף של קרן מוזילה (החבר'ה מה-FireFox), חברת Akamai, חברת Cisco ועוד מספר חברות לתועלת הציבור.
במסגרת המיזם (Let's encrypt) מציעות החברות תעודות SSL לכל דורש ללא תשלום.
מה הביג דיל?
חתיכת ביג דיל, ראשית- בעלי אתרים משלמים היום הרבה כסף על מנת לרכוש תעודות SSL לאתרי מסחר (או בכלל).
מעבר לכך, הקמה של חתם תעודות SSL היא לא עניין של מה בכך, הדבר דורש את הידע והתשתית הטכנית – ומעבר לכך, הרבה מאוד כסף.
תהיתם פעם כיצד (או מדוע) חברות המפעילות את Firefox, Chrome, Explorer ודפדפנים אחרים מממנות את הפעילות שלהם? תחשוב על זה, יוצאות גרסאות חדשות כל הזמן של דפדפנים – שאין בהם אפילו פרסומת אחת.
כלומר, מישהו צריך לממן מתכנתים, צוות QA, צוותי חשיבה ו… מה לא- זה חתיכת סיפור להוציא לאור דפדפן.
אז מהיכן הכסף מגיע? ניחשתם נכון, חתמי ה-SSL.
כבר הסברתי בעבר מהי בעצם תעודת SSL, כך שהאינטרס של כל חתם SSL הוא שהתעודה שלו תופיע כחלק מהדפדפן (מה שייתן ל-Chain של ה-SSL להיות תקין), בשביל הזכות הזו החתמים משלמים הרבה מאוד כסף מידי שנה ליצרני הדפדפנים.
כך שכפי שפתחתי- זה באמת ביג דיל, מישהו מוכן לוותר על הר של כסף בשביל שלכם יהיו תעודות SSL בחינם.
רגע, אז למה הם עושים את זה בחינם?
אז באופן מפתיע, יש קצת אידאולוגיה מאחורי הנושא – ואל תדאגו, אני בספק שנשמע כי אחד מחתמי ה-SSL פשט רגל בגלל המהלך.. ואסביר זאת בהמשך.
הרעיון הוא פשוט- להצפין את האינטרנט, את כלל תעבורת האינטרנט.
מה הכוונה? בואו נחזור לסביבות שנת 95 (וככול הנראה, הרבה לפני) – האינטרנט נולד במטרה "לחבר את האנושות" (או משפט מאותו הסגנון) ולמרות תכנון מדוקדק שנמשך עשרות שנים (אומנם לא באופן מופגן כך שתהיה "רשת האינטרנט", אך כל רכיב התפתח בנפרד) רק שכחו פרט קטן שככול הנראה לא היה רלוונטי באותה התקופה- רוב הפרוטוקולים באינטרנט הם clear text.
הכוונה היא שבגדול- אם מישהו רוצה לצטט לתקשורת בינכם לבין השרתים- הוא יכול.
בדיוק מהסיבה הזו, החלו להשתית תעודות SSL (כלומר, HTTPS) על אתרי מסחר- על מנת שלא כל האקר צעיר יוכל "לתפוס" את כרטיס האשראי שלכם בעת ביצוע הרכישה באינטרנט.
במקביל, המשיכו הגופים השונים למשוך לכיוון של "רשת מצופנת":
- בפברואר 2016 החליטה GMAIL להציג הודעה בראש המייל במידה והתקשורת בין השרת השולח אליהם אינה מוצפנת.
- בספטמבר 2016 הודיעה גוגל (ו-Mozilla, מפתחת FireFox בעקבותיה)
- גוגל אף הצהירו כי אתר הפועל עם HTTPS יקבל העדפה בתוצאות החיפוש אל מול אתר הפועל עם HTTP בלבד.
אחד מהתהליכים הללו הם החבר'ה מ-Let's encrypt.
יש התניות? מה הקאץ'?
Let's encrypt מאמינים בהצפנה של תקשורת ה-HTTP על מנת לעשות את האינטרנט מקום בטוח יותר.
כחלק מהאמונה הזו, הם יצרו מערכת אוטומטית (ברובה לפחות) שמטרתה לאפשר תעודת SSL בסיסית (כלומר, ללא תעודות EV או תעודות Wildcard) לכל דורש, ללא עלות – בחידוש אוטומטי אחת לשלושה חודשים.
אז נסתכל על חלק מהמגבלות:
- לא ניתן לרשום יותר מ-10 תעודות כל 3 שעות מאותה כתובת IP (אם אתם על shared hosting, יש לזה משמעות- זניחה יחסית, אך במילים אחרות, אל תשאירו את הנפקת התעודה לדקה ה-90).
- לא ניתן להנפיק תעודה לדומיין שלא מכוון לשרת- משמע, אם אתם מפתחים אתר באמצעות קובץ HOSTS- לא תוכלו להזמין לאתר תעודה בזמן הפיתוח.
לעומת זאת- מכיוון שהתעודה חינמית, אין כל בעיה להזמין תעודה על הדומיין הזמני ולאחר מכן על הדומיין החדש. - אין תמיכה ב-Windows XP, כלומר- גולשים עם מערכת הפעלה זו פשוט לא יוכלו לגלוש לאתר שלכם.
בעיה מינורית מבעבר, אבל שווה התייחסות. - אין תמיכה ב-JAVA, גם כאן- בעייתי בעיקר בטלפונים.
- אין תמיכה ב-IDN: כלומר, במידה והדומיין שלכם הוא דומיין בעברית (או כל שפה אחרת, במבנה xn--), התעודה הזו לא בשבילכם (תתווסף תמיכה בעתיד, לטענת Let's encrypt).
מגבלה שלא ש-Let's encrypt לא מגלים לנו הוא שמכיוון שהחידוש הוא אוטומטי, הוא גם חשוף לתקלות (שתודעו).
כך שאם הייתי צריך להמליץ על דבר אחד והחשוב ביותר בפוסט: אם בחרתם לעבוד עם Let's encrypt, אל תסמכו על החידוש האוטומטי שממשק הניהול מציע לכם- תרשמו ביומן אחת ל-3 חודשים שיש לחדש את התעודה.
סיכום והמלצות
האם המטרה של Let's encrypt מבורכת? בהחלט.
האם התעודה טובה ושמישה? כן, אבל לא לכולם.
למי מתאימה התעודה? לכל מי שצריך להצפין את האתר שלו אבל לא מפעיל אתר מסחרי / מוכר דברים באמצעות האתר.
למה? מספר סיבות:
- Let's encrypt הם שחקן חדש- כלומר, הם מוטמעים בדפדפנים חדשים בלבד, מה שאומר שרוב העולם (כלומר, אלו שלא דואגים לעדכן את הדפדפן אחת לשבוע) לא יוכלו לעבוד עם התעודה הזו.
- התעודה אינה נתמכת במספר רב של מערכות: Windows XP, טלפונים המבוססים JAVA, גרסאות אנדרואיד הישנות מ-2.3.6, מספר גרסאות Safari ו-IOS, ו.. פליסטיישן.
- התעודות הן ללא ביטוח כלשהו- כלומר, במידה ופרצו לאתר שלכם בגלל שההצפנה של Let's encrypt נפרצה- בהצלחה, אף אחד לא יפצה אתכם (לא ישירות, ולא מול התביעות הנגררות).
כך שאסכם בזאת: אם אתם מפעילים אתר ייצוגי- זו התעודה בשבילכם.
בכל מקרה אחרת- עלות התעודות (הלא חינמיות) הן זניחות אל מול עלות הפעלה של האתר (כמה עשרות דולרים בשנה) – תשקיעו את השקלים הללו- שווה בשביל לישון בשרת.
מנגנון הטמעת תעודות ה-SSL של Let's encrypt מיושם בימים אלו בשרתים השיתופיים של חברת SPD, אך ניתן להטמיע אותו גם עבור שרת VPS של לקוח.
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
- PHPMailer Exploit - דצמבר 28, 2016
השאר תגובה