מנהל אתר פנה אליי לאחרונה ואמר לי: “אני חייב לעבור לאתר HTTPS ! איך עושים את זה?” ישר חשבתי לעצמי: רגע… מי אמר שאתה חייב? מה המטרות שלך? איזה סוג אתר בבעלותך? שנייה לפניי שאתם קונים סטוק של רדבול ומאלצים את עצמכם לעבור לילות ללא שינה במעבר האתר מ- HTTP ל- HTTPS, אתם חייבים לקרוא את המאמר הזה העונה על כמה שאלות חשובות:

  1. מהם העדכונים אחרונים מגוגל שקשורים ל- HTTPS?
  2. מה היתרונות של המעבר ל- HTTPS?
  3. מה החסרונות של המעבר ל- HTTPS?
  4. שורה תחתונה – HTTPS זה טוב או רע ליהודים?

עדכונים חדשים מגוגל על HTTPS

עדכון HTTPS

ב- 17 בדצמבר 2015 גוגל הודיעה שהיא מתחילה לאנדקס עמודי HTTPS באופן דיפולטיבי, שכן אבטחת משתמשיה הופכת להיות בראש סדר העדיפויות שלה. מאותו רגע ואילך בעלי אתרים המשתמשים ב- HTTPS מתחילים לדווח שהם רואים שיפורים במיקומיהם. במצבים בהם קיימים שני אתרים – האחד בגרסה המאובטחת והאחר בגרסה הרגילה – גוגל הציבה קריטריונים לפיהם היא תחליט אילו מבין הגרסאות היא תציג לגולשים.

שיפור מהירות הזחילה-מחדש

ג’ון מולר פרסם לאחרונה Q&A לגבי העברת אתר מ- HTTP ל- HTTPS. כאשר גוגל מזהה שלאתר בוצעה העברה מ- HTTP ל- HTTPS היא לפעמים תזחל-מחדש את האתר יותר מהר מהרגיל כדי שכל התהליך הזה יקרה בפועל יותר מהר.

“כאשר זיהינו מהלך כזה [שאתר הועבר לגרסה מאובטחת, ע.ל.], אנחנו לפעמים ננסה לזחול-מחדש את האתר קצת יותר מהר מהרגיל כדי שהוא יעובד יותר מהר. אז תהיה ירידה בקצב הזחילה ואם זה יותר מידי, נשתמש במגבלת מדד-הזחילה המופיעה בקונסולת החיפוש”

ג’ון מולר ציין שניתן לנצל את פיצ’ר זמן-הזחילה של הגוגלבוט במידה שאתם תראו שגוגל מעבדת את האתר שלכם יותר מהר ממה שאתם חושבים שהשרת שלכם מסוגל להתמודד. בפועל, גוגל תתאים אוטומטית את קצב הזחילה אם הגוגלבוט יזהה שקצב-הזחילה שלה פוגע לכם באתר. יש שיגידו ששינוי הנחיות קצב הזחילה (מ”דיפולטיבי” ל- “גבוה”) בקובץ ה- robots.txt משפיע על מנוע החיפוש, אך אין זה מחייב את גוגל להתייחס להנחיות הללו. כך שלא הייתי מסתמך על זה.

אל תשתמשו בכלי לשינוי כתובות

יש מנהלי אתרים וחובבי קידום אתרים, שמתבלבלים וחושבים שמעבר מאתר ישן לאתר חדש צריך להיות כרוך בשימוש בכלי לשינוי כתובות. אמנם השם של הכלי דיי מבלבל, אבל בהנחיות של גוגל למנהלי אתרים צויין שהכלי לשינוי כתובת אינו תומך בשלב הזה בכמה סוגים של העברות אתר: שינוי שם של תת-דומיין, שינויי פרוטוקול (מ- HTTP ל- HTTPS) או שינויי נתיב בלבד.

אין צורך להעביר את כל האתר בבת-אחת

הרבה אנשים דואגים מכל הקונספט של העברת האתר לאתר מאובטח, מחשש ששינויי כל-כך דרסטי יפגע להם במיקומים. ג’ון מולר מרגיע ואומר בשסן Q&A בנוגע ל- HTTPS:

“האם זה בסדר שיש לכם רק כמה עמודים ב- HTTPS? כן, אין שום בעיה! תתחילו מחלק, תבדקו, הוסיפו עוד”

אידיאלית, מן הסתם, ההעדפה היא שכל האתר יעבור בשלמותו, אבל אתם ללא ספק יכולים להיות רגועים אם תעשו זאת בסבבים. לא מדובר כאן בהנדסת טילים, אלא פשוט לעשות העברה מבוקרת וכל פעם לבדוק איך ההעברה הזו השפיעה על האתר שלכם מבחינת מיקומים.

אמנם גוגל מאיצה במנהלים אתרים, ובמקדמי אתרים כמובן, ללכת לכיוון של אתרים מאובטחים, ואפילו ציינה שהאלגוריתם יתעדף אתרים מאובטחים (HTTPS) על-פני אתרים שאינם מאובטחים (HTTP). אבל האם באמת כל בעל אתר חייב עכשיו להתחרפן בלילות טרופי שינה על ההעברה מסודרת של אתר לגרסה המאובטחת שלו?!

מסתבר שהתשובה ממש לא חד-משמעית.

 

מה היתרונות של המעבר מ- HTTP ל- HTTPS ?

לפניי שאציג את היתרונות, חשוב לי לרגע לחדד את המונחים. HTTPS) Hypertext Transfer Protocol Secure) הוא פרוטוקול תקשורת המשמש לאבטחת מידע ברשת. עמודי HTTPS עושים שימוש בפרוטוקול HTTP על שכבת SSL\TLS ובכך מקנים יכולות אבטחה בסטנדרט SSL\TLS לתקשורת HTTP רגילה.

הצפנת מידע

הסיבה העיקרית לשימוש בפרוטוקול מאובטח SSL היא לשמור על מידע רגיש מלהישלח ברחבי האינטרנט ללא הצפנה, כך שרק הנמען הייעודי יוכל לקרוא ולהבין אותו. הדבר הזה חיוני מאחר שכל מידע שאתם מבקשים לקרוא ברחבי הרשת עובר ממחשב למחשב עד שהוא מגיע לשרת הייעודי. ללא הצפנת SSL כל מחשב בין נקודת המקור לנקודת היעד יכול – פוטנציאלית – לצפות בפרטים רגישים, וביניהם: שם משתמש, סיסמה, מספר כרטיס אשראי וכדומה. עם הצפנת SSL רק המחשב השולח והמחשב המקבל יכולים לקרוא את המידע המועבר.

 

אימות

איך תדעו האם אתם שלחתם את המידע הרגיש שלכם ליעד הנכון?! פוטנציאלית גורם אחר יכול להתחזות לנקודת היעד ולהשתמש בפרטים הרגישים שלכם ללא אישורכם. הדרך הטובה והבטוחה להימנע ממצבים כאלה היא על ידי שימוש נכון ב- Public Key Infrastructure, או בקיצור PKI, וקבלת סרטיפיקציית SSL מספקי SSL אמינים. מדוע ספקי SSL אמינים נחוצים? ספקים אלו יאמתו אישורי SSL רק עבור חברות שעומדות במספר אימותי זהות. יתרה מכך, סוגים מסויימים של SSL מחייבים יותר אימותים מאחרים, ולכן הם גם יותר מאובטחים.

HACKERS

 

דיוג

על מנת לשטות בגולשים שלכם, האקרים פעמים רבות מבצעים פעולה שנקרא “דיוג” – מייל המקשר לאתר שדומה לאתר שלכם; כאשר המשתמשים שלכם ילחצו על הקישור, יפתח טופס הרשמה שנראה אחד-לאחד כמו טופס ההרשמה שלכם, רק שכתובתו היא לא אותה כתובת. להאקרים קשה מאד לבצע פעולת דיוג מושלמת ולקבל סרטיפיקציית SSL שכזו. בהקבלה לעולם האמיתי: זה כמו שגנב רכבים יעדיף לפרוץ רכב ללא קודן לעומת רכב עם קודן. יותר מזה, במיילים של דיוג יהיה להאקרים הרבה יותר קשה לגרום לדפדפן שלכם להראות לכם סימני בטיחות המציינים שהאתר מאובטח:

SSL Security Indicator

 

פסיכולוגיה של גולשים

אם נתייחס לדוגמה פופולרית של תהליך רכישה באינטרנט, צריך לזכור שגלישה באינטרנט נשענת בראש ובראשונה על פסיכולוגיה של בני-אדם (בהקשר זה אני ממליץ לכם לקרוא את המאמר “פסיכולוגיה של השפעה – איך להפוך את המבקרים באתר ללקוחות?“). כשאתם מתלבטים האם לרכוש מוצר מסוים באתר מסוים, אתם נעזרים בכמה אינדיקטורים:

  • זהות האתר/המוכר – אתם תטו יותר לרכוש מגורם שאתם סומכים עליו
  • מידת האקטיביות – אתם תטו יותר לרכוש ממהלך קנייה בו אתם יזמתם את הקנייה (לעומת, מצב בו קפצה לכם פרסומת ששכנעה אתכם לעשות זאת)
  • צורך – אתם תטו יותר לרכוש כאשר הצורך שלכם במוצר הוא מחייב
  • רגשות – אתם תטו יותר לרכוש באתר כאשר אתם פועלים מאימפולסיביות (למשל, קנייה של מוצרי אבטחה לרכב לאחר שפרסומת בטלוויזיה עוררה בכם דחף)
  • אינדיקטורים וויזואליים – אתם תטו לרכוש כאשר קיבלתם חיזוקים ברי-הבחנה: כתובת האתר מאובטחת, סימן של מנעול לצד הטופס, צבע המקנה לכם תחושה חיובית (יש על כך מחקר מרתק של Kissmetrics)
  • אינדיקטורים רטוריים – אתם תטו לקנות כאשר קדמו לכך מילים שהניעו אתכם לרכישה (הנה דוגמאות נפלאות של Kissmetrics לשיפור יחס ההמרה ; 4 דרכים לגרום ללקוחות שלכם כן להתקשר!)

קנייה מאובטחת

 

יש כמובן פרמטרים נוספים, אך מניתי את העיקריים.

מה החסרונות של המעבר מ- HTTP ל- HTTPS ?

אין ספק שהיתרונות עולים על החסרונות, אבל אל תעצרו כאן את הקריאה ותרגישו בנוח מיד להעביר את האתר שלכם ל- HTTPS. מעבר לחסרונות שאציין בשורות הבאות, ישנה גם את השורה התחתונה אליה אגיע מיד ואסביר עבור אילו אתרים מיועדת העברת האתר ל- HTTPS ועבור אילו לא. להלן 2 החסרונות הבולטים:

  • עלות – פרוטוקול ה- SSL מחייב התקנת תשתית אבטחה ואימות הזהות, כך שיש כאן עלות שמעורבת בכל הסיפור. מאחר שיש ספקי שירותים מהימנים ומוכרים (של ההתקנה) העלות שלהם יכולה להיות מאד יקרה.
  • ביצועים – זהו חיסרון נוסף ל- SSL. מאחר שהמידע שאתם שולחים חייב להיות מוצפן על-ידי השרת, הדבר צורך יותר משאבים מאשר מצב בו תהליך העברת הנתונים היה קורה ללא הצפנה. המהירות הזו מורגשת בעיקר באתרים בהם כמות הכניסות היא גדולה מאד. אגב, ניתן להאיץ אותה על-ידי פתרונות חומרה ייחודיים (שגם כן עולים כסף).

 

שורה תחתונה – HTTPS זה טוב או רע ליהודים? 

לא הייתי הולך וסופר כמותנית את כמות היתרונות של העברת אתר מ- HTTP ל- HTTPS. השאלה, האם המעבר לאתר מאובטח זה טוב או רע לא נכונה אלא השאלה היא: לאיזו מטרה ההעברה מיועדת? אם יש לכם אתר שהמטרה המרכזית שלו היא מכירתית – המעבר לאתר מאובטח הוא בדיוק בשבילכם. אם האתר שלכם אינפורמטיבי, ואין לו שום מטרה להתעסק עם מידע רגיש של הגולשים שלכם (למשל, פרטי אשראי), אז אין שום סיבה הגיונית שתטריחו את עצמכם בעלויות לא מוצדקות ובהקצאת משאבים כה מרובה.

מקווה שהצלחתי להאיר את הנושא. לשאלות נוספות או דילמות המתעוררות במעבר לאתר מאובטח – אתם מוזמנים להשאיר למטה את שאלותיכם.

 

אודות הכותב

SEO Expert at 888 Holdings

עופר לנגר, בוגר תואר שני באוניברסיטת ת"א בפקולטה לתקשורת, כיום משמש בתפקיד SEO Expert בחברת 888 אחזקות, כמי שאמון על אסטרטגיית ה- SEO של הארגון. בעבר היה VP of SEO Services ב- Angora Media Group. במסגרת תפקידו כמנהל תחום קידום אורגני, היה אחראי על קידום תאגידים כמו תנובה, דואר ישראל, תאגיד התקשורת בינת, מיטב דש, אמריקן לייזר, השף הלבן ועוד.

  • דפנה

    מאמר מצויין כרגיל! תודה 🙂

    • עופר

      תודה רבה !