Vad är SSL certifikat? Säker webbplats med HTTPS

4

Publicerad 22 september 2017, 13:09 av Joachim Almeke

SSL (Secure Sockets Layer) är ett säkerhetsprotokoll för att skicka krypterad information mellan webbläsare och server. Protokollet ser till att all datan skickas krypterad och förbli privat. SSL är en internetstandard och används av miljontals webbplatser för att kunna bibehålla information krypterad och säker vid transaktioner med kunder online.

 

Ett SSL-certifikat fungerar som ett slags digitalt ID för webbplatser för att kunna skicka information vid transaktioner säkert. Det skulle kunna likställas på samma sätt som när du använder ditt BankID för att legitimera dig online.

Vad är SSL certifikat?

Ett SSL-certifikat är ett slags digital legitimation för webbplatser. Genom en webbläsare kan en legitimationskontroll av SSL-certifikatet göras för att se vem som innehar certifikatet. SSL-certifikat används för att kunna säkra en webbserver så att informationen/transaktionen som hämtas av webbläsaren är krypterat. Tekniken som SSL bygger på utvecklades av Netscape 1994.

SSL-protokollet är osynligt för dina kunder. Istället så är webbläsaren en viktig indikator som visar användaren om webbplatsen är skyddade med SSL (HTTPS). När en webbläsare ansluter till en säker webbplats kommer det att hämta webbplatsens SSL-certifikat och kontrollera att det inte har gått ut, samt om det har utfärdats av en godkänd certifikatutfärdare som webbläsaren litar på, och att certifikatet är utfärdat till rätt domännamn. Om webbplatsen misslyckas med någon utav dessa kontroller kommer webbläsaren att visa en varning till slutanvändaren där det står att webbplatsen inte är säker att surfa på.

 

Google kräver SSL

När Google gick ut med nyheten om att börjar markera icke-krypterade sidor som “Not secure” i sin webbläsare Chrome ( även om du surfar i inkognitoläge.). Fick många webbplatssägare att införskaffa ett SSL-certifikat. Google vill med ändringen slå ett slag för säkra anslutningar med HTTPS. Säkerhet är en viktig del för sökmotorer för att göra internet säkert. Därför ingår säkerhet som en del Googles algoritm för ranking, när den ska presentera sökresultatet. Google vill ju hjälpa till att leverera trafik i första hand till säkra webbplatser.  Från och med början av juli 2018 kommer webbplatser som saknar SSL-certifikat, att markeras upp som “Not secure. Det är alltså hög tid att uppgradera till https, för att undvika att tappa besökare till din webbplats. Genom att lägga till ett certifikat till din webbplats förbättra du inte bara säkerheten du får även en bättre rankingsignal (Google premierar hemsidor med ett SSL-certifikat) till Google vilket kan påverka dina positioner positivt.

blog ssl säker anslutning med https .png

I en äldre version av Chrome  (version 62 eller äldre) visas endast varning när ett lösenord eller kreditkort ska skrivas in. I version 62 och uppåt av Chrome visas en varning för all inmatning av text om det inte är en säker anslutning (HTTPS).  

Olika typer av SSL-certifikat

Det som är viktigt att känna till är att det finns tre olika säkerhetsnivåer på certifikaten:

  • DV (Domain Validation ) – automatisk kontroll om du är domänens ägare.
  • OV (Organisation Validation) –  manuell granskning av bl.a organisationsnummer.
  • EV (Extended Validation) –  Större manuell granskning av bolaget och dess styrelse.

Den sistnämnda EV är den säkraste anslutningen och kommer även att visa företagsnamn i adressfältet (exempelvis banker).

 

Extended-Validation-(EV)-SSL Extended Validation markeras upp med bolagsnamnet och hänglås i adressfältet. 

organization-Validation-(ov)-SSL Domain & Organisation Validation markeras upp med säkert och hänglås i adressfältet. 

 

Vi rekommendera vanligtvis att man skaffar sig ett Organisation Validation (EV) certifikat om man är en e-handlare, eftersom detta ger en större trovärdighet. För att få denna typ av certifikat sker en manuell granskning där ditt organisationsnummer valideras med certifikatet. Detta leder till en högre säkerhetsnivå jämfört med Domain Validation (DV) där det endast görs en automatisk kontroll om du är domänens ägare.

Eftersom det finns tre olika säkerhetsnivåer är prisbilden stigande. Oftast är det nivån Domain Validation (DV) som webbhotell erbjuder (det finns även gratisversioner som en del webbhotell stödjer så som Let’s Encrypt). Viktigt att tänka på är att certifikaten är tidsbegränsade och måste därför förnyas periodvis, oftast årsvis (Let’s Encrypt certifikat ska förnyas var 90:e dag ).

 

Hur skaffa jag SSL/HTTPS?

Om du behöver SSL-certifikat till din webbplats bör du höra av dig till ditt webbhotell där du hosta webbplatsen. Dem kan hjälpa dig att beställa ett certifikat och lägga till certifikatet på ett korrekt sätt. Glöm inte att omdirigera alla anrop med http till https. När detta är klart är du väl förbered att undvika varningar i framtiden.

 

Glöm inte att omdirigera om alla anrop till HTTPS

Din webbplats kommer fortfarande att gå att nå via HTTP (efter du installerat ditt SSL-certifikat). För att se till att besökarna endast når din sida via HTTPS måste du skriva om alla anrop till HTTPS, vilket betyder att om någon skriver http://www.minhemsida.se skickas de automatiskt vidare till https://www.minhemsida.se

Detta gör du enklast genom att lägga till följande regel i en .htaccess-fil, som finns på din webbserver.

OBS! Denna regel är framtagen för apache webbserver
#FORCE ALL TO HTTPS
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Gilla
Gilla Älska Haha! Wow! Sad Angry
7

Mer Viva i din inkorg!

Vivas integritetspolicy