חיבורים מאובטחים לדומיין Shopify#

Secure connections (חיבורים מאובטחים) ב-Shopify (שופיפיי) מבוססים על TLS certificate (תעודת TLS), שלעתים נקראת גם SSL certificate (תעודת SSL). התעודה מצפינה את התקשורת בין החנות, הדפדפן של הלקוח ותוכן חיצוני, ומאפשרת לפרסם את החנות ב-HTTPS במקום HTTP.

כאשר התעודה מונפקת, כתובת כמו http://www.example.com נטענת כ-https://www.example.com. לקוחות שמקלידים את הכתובת הישנה מופנים אוטומטית לחנות המוצפנת, ובדפדפן מוצג סימן מנעול שמחזק אמון בזמן גלישה ו-Checkout (קופה).

במדריך הזה#

• איך Shopify מנפיקה TLS
• בדיקת סטטוס החיבור
• נכסים חיצוניים ותוכן לא מאובטח
• CAA records
• תקלות SSL או TLS

איך Shopify מנפיקה TLS#

שופיפיי מספקת TLS certificates (תעודות TLS) בחינם לכל דומיין שנוסף לחנות. התעודה מונפקת אוטומטית ל-assets (נכסים) שמתארחים על .myshopify.com, לדומיין שנקנה דרך שופיפיי, לדומיין שהועבר לשופיפיי, ולדומיין צד שלישי שה-A record וה-CNAME שלו מצביעים לשופיפיי.

בדומיין צד שלישי, הנפקת התעודה יכולה לקחת עד 48 שעות אחרי שינוי הרשומות. בתקופה הזאת ייתכן שיופיע באדמין סטטוס TLS pending או SSL pending. אם לאחר 48 שעות עדיין מופיעה הודעה כמו TLS failed, SSL unavailable או Your connection is unsecure, צריך לעבור לפתרון תקלות.

בדיקת סטטוס החיבור#

כדי לוודא שהתעודה הונפקה, נכנסים אל Settings > Domains ובודקים שהדומיין בסטטוס Connected (מחובר). לאחר מכן פותחים את החנות בדפדפן ובודקים שמופיע מנעול ליד ה-URL ושכל גרסאות הכתובת החשובות, כולל www ובלי www, מובילות לחנות ב-HTTPS.

בדיקה טובה כוללת דף בית, דף מוצר, עגלה, Checkout?Checkout / קופהCheckout (קופה) הוא תהליך התשלום בחנות Shopify (שופיפיי) — שלושת המסכים שמובילים את הלקוח מהעגלה דרך פרטי משלוח ותשלום ועד לעמוד אישור ההזמנה.פתיחה במילון, קבצים סטטיים ותמונות. בעיות אבטחה לפעמים מופיעות רק בעמוד מסוים שבו נטען קובץ חיצוני לא מאובטח.

נכסים חיצוניים ותוכן לא מאובטח#

אם החנות כוללת Images (תמונות), Videos (סרטונים), Webfonts (גופני רשת) או קבצים אחרים שמתארחים מחוץ לשופיפיי, הם צריכים להיטען גם הם דרך HTTPS. עמוד שמכיל נכס חיצוני דרך HTTP נחשב לא מאובטח, גם אם הדומיין עצמו קיבל TLS.

האפשרות הפשוטה ביותר היא לארח את נכסי החנות בתוך שופיפיי. אם חייבים להשתמש בשרת חיצוני, ודאו שהוא מפרסם קבצים ב-HTTPS, שסרטונים נטענים משירות מאובטח, ושמקור הגופן מפרסם את הקבצים ב-HTTPS.

CAA records#

CAA record (רשומת Certification Authority Authorization) מגדירה אילו Certificate authorities (רשויות אישור) רשאיות להנפיק תעודות לדומיין. שופיפיי לא דורשת CAA records ברוב החנויות, אבל אם הארגון שלכם מחייב אותן, יש להוסיף יחד את רשויות האישור ששופיפיי מציינת: letsencrypt.org, pki.goog; cansignhttpexchanges=yes, ו-ssl.com.

הוספת CAA חלקית יכולה למנוע הנפקת TLS. לכן אם קיימת מדיניות CAA, בדקו אותה לפני חיבור הדומיין ולא רק אחרי שמופיעה שגיאת SSL.

תקלות SSL או TLS#

אם אחרי חיבור דומיין מופיעות הודעות SSL pending, SSL unavailable, TLS failed או Your connection is unsecure, בדקו קודם DNS: A record, AAAA record, CNAME, רשומות כפולות, DNSSEC, וחיבור ה-NameServer (שרתי שמות). לאחר מכן בדקו שאין תוכן חיצוני ב-HTTP ושכל ההפניות מובילות לכתובת HTTPS.

אם עברו 48 שעות מהרגע שבו רשומות הדומיין עודכנו והבעיה עדיין קיימת, שופיפיי מפנה לפתרון תקלות דומיין או ל-Shopify Support. בזמן הזה לא כדאי להפעיל קמפיינים שמפנים לדומיין החדש לפני שהחיבור המאובטח יציב.