אבטחת הדומיין באמצעות SSL

השירות של WordPress.com מספק באופן אוטומטי תעודות SSL בחינם לכל הדומיינים והדומיינים המשניים שמאוחסנים ב-WordPress.com. במדריך הזה, נלמד אותך איך לבדוק אם האתר שלך מאובטח ואיך לתקן בעיות נפוצות עם SSL.

הדרך המהירה ביותר לבדוק אם יש לאתר שלך SSL היא לבקר בו:

1. יש לעבור לאתר בדפדפן.
2. יש להסתכל אם בשורת הכתובת ניתן לראות סמל של מנעול ליד כתובת ה-URL שלך.
3. אם מופיע סמל של מנעול, האתר שלך מאובטח וכולל תעודת SSL.

אם אין סמל מנעול או אם מופיע הכיתוב "Not secure" (לא מאובטח), יש לבדוק את הסטטוס של SSL דרך לוח הבקרה של WordPress.com כדי למצוא שגיאות ספציפיות שצריך לפתור.

אם יש לך דומיין שרשום או מחובר לאתר שלך ב-WordPress.com, אפשר לבדוק את הסטטוס של SSL לפי השלבים הבאים:

1. יש לעבור אל לוח הבקרה של האתר.
2. יש לנווט אל שדרוגים ← דומיינים (או אחסון ← דומיינים אם בחרת להשתמש ב-WP Admin).
3. יש ללחוץ על שם הדומיין.
4. יש ללחוץ כדי להרחיב את המקטע 'אבטחת דומיין'.
5. כאן מופיע הסטטוס של תעודת ה-SSL של האתר:
   • תעודת SSL פעילה: תעודת ה-SSL פעילה והאתר שלך מאובטח.
   • תעודת SSL בהמתנה: עדיין לא סופקה תעודת SSL.

אם מופיעה ההודעה 'תעודת SSL בהמתנה' במקטע אבטחת דומיין, הגדרת התעודה של SSL עדיין נמצאת בתהליך ב-WordPress.com.

בנוסף, כאשר מבקרים באתר שלך, עלולה להופיע שגיאה כמו NET::ERR_CERT_COMMON_NAME_INVALID או Your connection to this site is not secure (החיבור לאתר זה לא מאובטח).

ייתכן שיופיעו גם הודעות שגיאה ספציפיות במקטע אבטחת דומיין ויהיה צורך לתקן אותן:

שגיאה ברשומות CAA DNS record לדומיין יש רשומות CAA DNS record שלא מאפשרות ל-Let's Encrypt להנפיק תעודה. יש לעדכן או להסיר את רשומות CAA DNS record.

שגיאה בשרתי שימות משולבים: בדומיין הזה יש שילוב בין שרתי שמות של WordPress.com ושרתי שמות חיצוניים. יש לעדכן רשומות NS record.

שגיאה באימות של DNSSEC: בדומיין זה יש שגיאות אימות של DNSSEC. ייתכן שיהיה עליך להסיר או לעדכן את הנתונים של DS Record אצל רשם הדומיינים שלך.

יש לבצע את ההוראות שבהמשך כדי לפתור שגיאות אלה ולאחר מכן להקצות באופן ידני תעודת SSL.

אם הדומיין שלך מחובר לרשם דומיינים אחר, עליך לוודא שהשלמת את חיבור הדומיין כדי לקבל תעודת SSL של WordPress.com. בדומיינים שמחוברים לשרתי השמות שלנו חשוב גם לוודא שהשירות של DNSSEC מושבת.

לדומיינים שרשומים דרך WordPress.com או כאלה שהועברו אל WordPress.com, יש לבדוק שה-DNS מוגדר בצורה תקינה לפי השלבים הבאים:

1. מלוח הבקרה של האתר, יש לנווט אל שדרוגים ← דומיינים (או אחסון ← דומיינים אם בחרת להשתמש ב-WP Admin).
2. יש ללחוץ על שם הדומיין.
3. יש ללחוץ על המקטע 'שרתי השמות' כדי לוודא שהאפשרות 'להשתמש בשרתי השמות של WordPress.com' מוגדרת ל'מופעל'.
4. יש ללחוץ על המקטע 'רשומות DNS record' ואז על הכפתור 'לנהל'.
5. עליך לוודא שרשומות ה-A record וה-CNAME record של הדומיין מוגדרות עם הערכים שברירת מחדל ב-WordPress.com לפי:
   1. לחיצה על שלוש הנקודות בפינה הימנית העליונה של המסך.
   2. לחיצה על 'לשחזר רשומות A record שבברירת מחדל' ו/או 'לשחזר רשומות CNAME record שבברירת מחדל':

לאחר השלמת השלבים האלה, האתר שלך ב-WordPress.com יופיע בדומיין שלך תוך כמה שעות, ותעודת ה-SSL תסופק זמן קצר אחרי כן. באפשרותך גם להקצות תעודת SSL באופן ידני.

לאחר שפתרת את הבעיות עם חסימת ההקצאה של ה-SSL של האתר, יש לבצע את השלבים הבאים כדי להקצות תעודת SSL באופן ידני:

1. יש לעבור אל לוח הבקרה של האתר.
2. יש לנווט אל שדרוגים ← דומיינים (או אחסון ← דומיינים אם בחרת להשתמש ב-WP Admin).
3. יש ללחוץ על הדומיין.
4. יש לגלול למטה למקטע ' אבטחת דומיין' וללחוץ על הכותרת העליונה כדי להרחיב אותו.
   • אם המקטע הזה חסר, עליך לוודא ששם הדומיין הוגדר בצורה תקינה.
5. יש ללחוץ על הכפתור 'תעודת הקצאה'.

פעולה זו תבקש את תעודת ה-SSL עבור הדומיין שלך. אם עדיין לא פתרת את הבעיה שמנעה את הקצאת ה-SSL בדומיין, ההקצאה של התעודה תיכשל.

תעודת ה-SSL של הדומיין תתחדש באופן אוטומטי כאשר מחדשים דומיין – אין צורך לחדש תעודת SSL בנפרד. תעודת ה-SSL שלך תמשיך להיות פעילה כל עוד הדומיין מחובר לאתר WordPress.com.

ב-WordPress.com, הצפנה חזקה היא מרכיב חיוני ולכן אנחנו לא מאפשרים השבתה של SSL. ב-WordPress.com אנחנו גם מבצעים ניתוב מחדש לכל בקשות ה-HTTP שאינן בטוחות כדי לאבטח את גרסת ה-HTTPS.

תעודות SSL מצפינות את החיבור בין האתר שלך ובין הדפדפנים של המבקרים באתר. התעודה תגן על מידע רגיש ותהפוך את האתר למהימן. דפדפנים מודרניים מציגים סמל נעילה עבור אתרים מאובטחים ועשויים להזהיר מבקרים לגבי אתרים לא מאובטחים.

כל האתרים של WordPress.com מקבלים תעודות SSL בחינם באופן אוטומטי – אין צורך לקנות או להגדיר בעצמך דבר.

תעודות SSL ב-WordPress.com מגיעות מהשירות של Let's Encrypt Certificate Authority. כל התעודות ב-WordPress.com משתמשות באותו שם מוכר, tls.automattic.com, ומאחסנות את שמות הדומיין הייחודיים במאפיין SubjectAltName (בקבוצות של כ-50). כל הדפדפנים המודרניים מכבדים את המאפיין הזה, כלומר לא יוצגו לך או למבקרים באתר כל אזהרות אבטחה באתר שלך.

הפרוטוקול TLS הוא הגרסה המשודרגת של SSL, אך לרוב משתמשים במונחים SSL ו-TLS באופן חליפי. השירות של WordPress.com תומך בגרסאות TLSv1.2 ו-TLSv1.3 של הפרוטוקול TLS.

WordPress.com גם שולחת כותרת עליונה של Strict-Transport-Security (HSTS)‎ בכל התגובות של HTTPS כדי לוודא שהגישה לאתר שלך מבוצעת דרך https במקום האפשרות עם האבטחה הפחותה, http.