התלמוד של המפתחהתלמוד של המפתח

מסכת פיתוח מאובטח

מסכת ה-HTTPS

2 הלכות

א

חובת ההצפנה

כל תעבורה תהא מוצפנת. המעביר סיסמאות ב-HTTP — חייב. המעביר טוקנים ב-HTTP — חייב. המעביר "רק נתוני טסט" ב-HTTP ואחר כך עושה קופי-פייסט לפרודקשן — חייב, ואין לו כפרה עד שיחדש את כל התשתית.

שאלו: וכי צריך HTTPS לאתר פנימי שרק העובדים משתמשים בו? אמר רבא: כן. שאלו: ולאתר של בדיקות בלבד? אמר רבא: כן. שאלו: ולשרת שרץ על הלוקאל שלי? השתתק רבא רגע ואמר: לוקאל — מותר. אבל ברגע שיצא מהלוקאל — חובה. ואל תגיד לי שהוא לא יצא, כי הוא תמיד יוצא.

ב

תעודות SSL

תעודת SSL פגת תוקף — אסורה. שרת עם תעודה פגת תוקף הוא שרת שצועק לכל המשתמשים: "כאן אין אמון, אל תכנסו." ולכן חובה לחדשה לפני שפוקעת.

ודרשו חכמים: Let's Encrypt חינמי, certbot קיים, ו-auto-renew ניתן להגדרה. ומי שאמר "אין לי זמן לחדש תעודה" — אין לו תירוץ, אלא עצלות בלבד.