Man läser överall på nätet idag om SSL-certifikat och hur viktigt det är för att skapa säkerhet på webbplatsen och särskilt för e-handlare.
Vad är då SSL?
Om anslutningen inte är helt säker så varnar webbläsaren att det finns osäkra källor, till exempel man hämtar en bild från en vanlig okrypterad anslutning. Besökarens sekretess kommer i första hand med SSL, det skapar mer trygghet.
SSL fungerar som så att man har tre stycken nycklar, en publik nyckel, en privat och en nyckel för utfärdare.
Utfärdarna är till för skapa tillit, litar du på dem, så kan du lita på certfikaten de utfärdar. Utfärdaren (Certificate Authority) kan vara Comodo, Symantec, GoDaddy, GlobalSign med flera. Dessa jättar signerar certifikatet och verifierar att certifikatet är giltligt enligt alla sina regler. När en dator installeras så kommer det med en lista på alla dessa utfärdare, i denna lista kan man sedan lägga till och ta bort utfärdare.
Den privata nyckeln är till för att dekryptera och den publika nyckeln är till för att kryptera. Dessa är till för att komma överens om hur kommunikationen skall ske.
Informationen som skickas mellan webbläsare och webbserver krypteras med en sådan teknik att det skulle ta så pass lång tid att dekryptera informationen att den inte längre är aktuell.
SSL, TLS och HTTPS, vad är skillnaden?
SSL var ett protokoll som utvecklades av Netscape under 90-talet och hann komma upp i version 3, men anses var helt ute ur bilden när Google släppte information om en allvarligt sårbarhet i protokollet (Poodle).
TLS (Transport Layer Security) är utvecklat av IETF (Internet Engineering Task Force) och baserat på SSL-specifikationer. Därför spelar det egentligen inte så stor roll om man säger SSL eller TLS när man pratar om förbindelsen (även om det ju är två olika protokollversioner).
HTTPS är protokollet som webbläsaren använder på internet för att kommunicera säkert med hjälp av SSL/TLS (det står https:// istället för http:// i webbläsaren).
Olika typer av certifikat
Certifikat finns i olika typer, några av de vanligaste är: Standard, Wildcard och Extended Validation (EV).
Om det finns formulär i någon form på webbplatsen så är det en klar fördel med certifikat. Ett formulär kan vara inloggning, kassa eller kontakt-sida. Certifikatleverantören Verisign har till exempel har gått ut med att försäljningen har ökat med upp till 40% med deras certifikat.
Informationen som skickas kommer att anses vara säker med certifikatet. Det stoppar dock inte attacker som sker i webbläsaren, men ser till att innehållet som visas och skickas kommer att vara säkert.
Kan alla webbplatser ha ett certifikat?
Ja, det kan de. Webben har kommer långt fram på denna punkten de senaste åren. I takt med att sökmotorerna (som Google) väljer att ge fördelar till webbplatser med certifikat, så väljer också företagen bakom webbläsarna att även premiera sidor som har certifikat.
Man bör lägga hela webbplatsen bakom SSL istället för enbart vissa specifika sidor som kassan. Då får besökaren förtroendet direkt, istället för att se detta först i kassan.
För att dra nytta av nya standarder så som HTTP/2 (SPDY) så krävs det att man har certifikat, då inga webbläsare har stöd för detta okrypterat.
Företagen bakom webbläsarna säger ifrån
Google gick under september 2016 ut med att Google Chrome under januari 2017 kommer att visa "Not secure" på webbplatser som har ett lösenord-fält tillgängligt utan certifikat. Detta är bara starten på att tvinga webbplatser att säkra upp sig. Detta kommer att eskalera och bli ännu tydligare framöver. Webbplatsbesökare kommer troligen att i allt högre utsträckning söka sig till "säkra" sidor.
Är allting då guld och gröna skogar om man har certifikat?
Vad ska man tänka på om man ska välja certifikat?
Referenser
https://www.digicert.com/TimeTravel/math.htm
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
https://www.ssllabs.com/ssltest/
https://cabforum.org/wp-content/uploads/EV-V1_6_0.pdf