SiteDirect använder cookies för att din upplevelse av webbplatsen ska bli så bra som möjligt. Klicka på OK för att godkänna. Läs mer i vår integritetspolicy.
OK
Start | Kontakt | Om oss | Blogg | Teknik | Vad är egentligen ett SSL-certifikat?
 
 

Vad är egentligen ett SSL-certifikat?

 
15 DEC
15 DEC
 

Vad är egentligen ett SSL-certifikat?

 
 

Vad är egentligen ett SSL-certifikat?
 

Man läser överall på nätet idag om SSL-certifikat och hur viktigt det är för att skapa säkerhet på webbplatsen och särskilt för e-handlare.

Vad är då SSL?

Vad är egentligen ett SSL-certifikat?
Krypterad kommunikation mellan server och klient (Källa: IBM)
SSL är ett protokoll eller kommunikationssätt mellan webbserver och webbklient (webbläsare), som ser till att informationen som skickas mellan är säker. Detta märks med ett hänglås i adressraden.

Om anslutningen inte är helt säker så varnar webbläsaren att det finns osäkra källor, till exempel man hämtar en bild från en vanlig okrypterad anslutning. Besökarens sekretess kommer i första hand med SSL, det skapar mer trygghet.

SSL fungerar som så att man har tre stycken nycklar, en publik nyckel, en privat och en nyckel för utfärdare.

Utfärdarna är till för skapa tillit, litar du på dem, så kan du lita på certfikaten de utfärdar. Utfärdaren (Certificate Authority) kan vara Comodo, Symantec, GoDaddy, GlobalSign med flera. Dessa jättar signerar certifikatet och verifierar att certifikatet är giltligt enligt alla sina regler. När en dator installeras så kommer det med en lista på alla dessa utfärdare, i denna lista kan man sedan lägga till och ta bort utfärdare. 

Den privata nyckeln är till för att dekryptera och den publika nyckeln är till för att kryptera. Dessa är till för att komma överens om hur kommunikationen skall ske. 

Informationen som skickas mellan webbläsare och webbserver krypteras med en sådan teknik att det skulle ta så pass lång tid att dekryptera informationen att den inte längre är aktuell.

SSL, TLS och HTTPS, vad är skillnaden?

SSL var ett protokoll som utvecklades av Netscape under 90-talet och hann komma upp i version 3, men anses var helt ute ur bilden när Google släppte information om en allvarligt sårbarhet i protokollet (Poodle).

TLS (Transport Layer Security) är utvecklat av IETF (Internet Engineering Task Force) och baserat på SSL-specifikationer. Därför spelar det egentligen inte så stor roll om man säger SSL eller TLS när man pratar om förbindelsen (även om det ju är två olika protokollversioner). 

HTTPS är protokollet som webbläsaren använder på internet för att kommunicera säkert med hjälp av SSL/TLS (det står https:// istället för http:// i webbläsaren).  

Olika typer av certifikat

Vad är egentligen ett SSL-certifikat?
Så här visas Extended Validation Certifikat - den gröna listen

Certifikat finns i olika typer, några av de vanligaste är: Standard, Wildcard och Extended Validation (EV).

  • Domän Certifikat är den vanligaste formen, och ger alla fördelarna som ett certifikat ger.
  • Extended Validation Certifikat (EV) är ännu en utökning som funnits sedan 2007, som ger en extra uppmärksamhet i webbläsaren, den så kallade gröna listen. För att få detta certifikat så kommer certfikatutfärdaren att begära in extra information om verksamheten, den som beställer det samt även göra fysiska kontroller, där av namnet "Extended Validation".
  • Organisationsvaliderade Certifikat manuella kontroller kommer att ske, och man kan behöver skicka in papper för att verifiera verksamheten (detta certifikatet ger inte den gröna listen).
Det finns även olika former av ovan nämnda certifikat:
  • Wildcard Certifikat tillåter att man kan ha valfria sub-domäner kopplade utan att behöva köpa nytt certifikat.
  • Multi-domän Certifikat är ett certifikat som innehåller flera domäner i samma certifikat.
 
Hur påverkar ett certifikat webbplatsen och dess besökare? 

Om det finns formulär i någon form på webbplatsen så är det en klar fördel med certifikat. Ett formulär kan vara inloggning, kassa eller kontakt-sida. Certifikatleverantören Verisign  har till exempel har gått ut med att försäljningen har ökat med upp till 40% med deras certifikat. 

Informationen som skickas kommer att anses vara säker med certifikatet. Det stoppar dock inte attacker som sker i webbläsaren, men ser till att innehållet som visas och skickas kommer att vara säkert.

Kan alla webbplatser ha ett certifikat?

Ja, det kan de. Webben har kommer långt fram på denna punkten de senaste åren. I takt med att sökmotorerna (som Google) väljer att ge fördelar till webbplatser med certifikat, så väljer också företagen bakom webbläsarna att även premiera sidor som har certifikat.

Man bör lägga hela webbplatsen bakom SSL istället för enbart vissa specifika sidor som kassan. Då får besökaren förtroendet direkt, istället för att se detta först i kassan. 

För att dra nytta av nya standarder så som HTTP/2 (SPDY) så krävs det att man har certifikat, då inga webbläsare har stöd för detta okrypterat. 

Företagen bakom webbläsarna säger ifrån

Vad är egentligen ett SSL-certifikat?
Google Chrome säger ifrån

Google gick under september 2016 ut med att Google Chrome under januari 2017 kommer att visa "Not secure" på webbplatser som har ett lösenord-fält tillgängligt utan certifikat. Detta är bara starten på att tvinga webbplatser att säkra upp sig. Detta kommer att eskalera och bli ännu tydligare framöver. Webbplatsbesökare kommer troligen att i allt högre utsträckning söka sig till "säkra" sidor.

Är allting då guld och gröna skogar om man har certifikat?

Vad ska man tänka på om man ska välja certifikat?

Satsa på ett flerårigt certifikat
Man kan välja från 1 år och uppåt, dra till med ett flerårigt certifikat direkt. Blir mindre huvudvärk framöver och är dessutom billigare.
 
Dyrast är inte alltid bäst
Det finns i dag fria tjänster, till exempel Let's Encrypt.
 
Satsa på Extended Validation
Certifikatstypen Extended Validation skapar mer trygghet för era kunder och företagsnamnet syns tydligt i webbläsaren.

Kontrollera webbplatsen
När certifikatet är aktiverat så kan man själv kontrollera så att allting står rätt till med webbplatsen. SSL Labs tillhandahåller en tjänst för att kontrollera de vanligaste och de allvarligaste problemen idag (se länk bland referenser.)
Tyvärr så är det inte så enkelt att ett certifikat ger bara fördelar. Det är några nackdelar också:

  • Laddningstid - Det tar en stund för webbserver och webbläsare att komma överens ibland. Det gör att laddningstiden kan påverkas negativt. Detta problem var vanligare med den numera föråldrade standarden SSL. Med TLS som används mest numera samtidigt som dagens datorer är så snabba märker vi detta.
  • Tredjepart - Det är inte alla webbtjänster som tillhandahåller sina bibliotek/socialmedia-plugins mm under SSL-tjänster.
  • Indexering - När man aktiverar SSL så kan man märka av ett tapp i den organiska trafiken eftersom söktjänsterna behöver hitta tillbaka till sidan. Men hjälper man till med nya sitemap-filer och korrekta ompekningar så kommer detta att gå smärtfritt.
  • Interna länkar - Vissa interna länkar kan peka mot hela webbplatsens URL, vilket kan orsaka problem om man hoppar från en säker sida till en osäker sida, så alla länkar på webbplatsen behöver ses över när man inför ett certifikat.
  • Robots.txt - Man kan behöva uppdatera robots.txt - det är vanligt att man blockerat HTTPS i denna. 
  • Rapporterna från till exempel Google Analytics kan innehålla mindre information, till exempel om vilka sökord besökarna har använt.

Referenser 

https://www.digicert.com/TimeTravel/math.htm
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
https://www.ssllabs.com/ssltest/
https://cabforum.org/wp-content/uploads/EV-V1_6_0.pdf 

 
  #SSL, #ehandel
  Teknik