+45 65742003 kontakt@kristianole.dk

Den store SSL-guide (HTTPS) – så nemt er det!

Den store SSL-guide – så nemt er det!

SSL står for Secure Sockets Layer. Det er en internetprotokol, der sørger for at kryptere forbindelsen mellem dit browserprogram og en hjemmeside, så andre ikke kan se med. Samt sikrer, at hjemmesiden rent faktisk er den, som den giver sig ud for at være. Læs mere om, hvilke fordele du får af SSL og HTTPS på din hjemmeside – både i form af større troværdighed over for kunderne og bedre placeringer i Google.

Vil du være sikker på, at din gøren og laden på internettet ikke bliver opsnappet af andre, skal du holde dig til de hjemmesider, der har et https:// i webadressen (URL) i stedet for bare http://.

En side med SSL installaeret viser HTTPs i stedet for HTTP
En side med SSL installaeret viser HTTPs i stedet for HTTP

S’et betyder nemlig, at forbindelsen er ”Secure”, altså at den er sikker. Sikkerheden kommer af, at forbindelsen mellem dit browserprogram (på enten computer, tablet eller mobil) og hjemmesiden er krypteret.

Så er det kun webserveren, der afvikler hjemmesiden, og dit browserprogram, der kan forstå, hvad der bliver udvekslet for informationer imellem dem.

HTTP vs HTTPS er som at køre på bro eller i tunnel

Sådan virker et SSL certifikat infografik

Forskellen på sikkerheden mellem de to kommunikationsstandarder http og https på internettet, svarer lidt til forskellen på at køre over en bro eller gennem en tunnel.

Foregår kommunikationen via http, svarer det til, at du kører over en bro. Her kan alle, der kan se vejbanerne på broen, følge med i, hvem der kører over broen. Og hvor mange, der er med i bilerne, samt hvilken type og farve de har.

Foregår kommunikationen derimod via https, svarer det til, at du kører gennem en tunnel. Her kan udefrakommende ikke se, hvem der kører inde i tunnelen.

HTTPs giver bedre placeringer i søgeresultaterne

HTTPs giver bedre placeringer i søgeresultaterne

Google vil gerne sikre sig, at brugerne af deres søgemaskine får de bedste, mest relevante og mest sikre søgeresultater. Derfor præmierer de hjemmesider, der kører med den sikre https-protokol, med bedre placeringer i søgeresultaterne.

Gevinsten ved at bruge https udfases dog løbende, i takt med at flere og flere hjemmesider går over til https. Så fremadrettet skal vi nok forvente, at sider uden https bliver straffet i stedet for.

Tilsvarende advarer Google mod hjemmesider, der ikke benytter https-protokollen. Både i søgeresultaterne og i deres Google Chrome-browser. I Chrome åbnes der simpelthen en side, hvor du selv aktivt skal svare ja til, at du vil gå videre til usikre hjemmesider uden en sikker https-forbindelse.

Samtidig bliver der kun vist en hængelås foran webadressen på de hjemmesider, der kører med https.

Så der er mange gode grunde til at vælge at køre med den krypterede https-forbindelse fremfor den usikre http-forbindelse.

Hvad er et SSL-certifikat

Hvad er et SSL-certifikat

For at webserver og browserprogram kan forstå hinanden, når forbindelsen er krypteret, skal de først “aftale”, hvordan krypteringen foregår. Altså udveksle krypteringsnøgler, så de kan oversætte de data, de hver især modtager til noget, der giver mening i sammenhængen.

Til det formål anvendes et SSL-certifikat. Det består af en offentlig og en privat nøgle, som sikrer, at det kun er de to parter, der kan forstå kommunikationen.

For at SSL-certifikatet samtidig er en bekræftelse på, at hjemmesiden er den, som den giver sig ud for at være, skal certifikatet være udstedt af en såkaldt Certificate Authority. Det er et firma, der kontrollerer ægtheden af hjemmesiden, og verificerer, at der står et legitimt og ærligt firma bag.

Certifikatfirmaet står altså rent juridisk som garant for, at den hjemmeside du besøger, rent faktisk er den, som du tror det er. Derfor bliver du bedt om at bekræfte din identitet på forskellig måde, når du bestiller et SSL-certifikat hos et udstederfirma.

Det betyder i praksis, at hvis nogle hackere skulle have held til at bryde krypteringen, dækker certifikatfirmaet for skaderne op til et vist beløb. Altså fungerer certifikatet samtidig som en forsikring, hvis du eller hjemmesideejeren skulle komme ud for brud på krypteringen af den sikre forbindelse mellem jer.

Hvad koster et SSL-certifikat?

Hvad koster et SSL-certifikat?

Denne garanti betaler du som hjemmesideejer for, gennem den pris du betaler for SSL-certifikatet. Prisen er oftest opdelt i et oprettelsesgebyr og et årligt abonnement.

Abonnement ligger typisk fra et par hundrede kroner om året og opefter alt efter størrelsen på garantien. Jo større forsikringssum firmaet tilbyder ved brud på krypteringen, jo dyrere er deres certifikat.

Delt SSL-certifikat

Nogle webhoteller tilbyder også en HTTPS-forbindelse gratis som en del af abonnementet. Derved slipper du for at skulle betale et årligt gebyr for SSL-certifikatet.

Det fungerer ved, at de enkelte webservere hos udbyderen er udstyret med et SSL-certifikat, der bekræfter, at din hjemmeside er hosted hos den pågældende udbyder. Det er nok til, at du f.eks. kan få en betalingsløsning på din hjemmeside eller webshop.

Her er det webserveren hos din hostingudbyder, der udsteder et sæt private og offentlige nøgler til hver af de domæner, som ligger på computeren. Derved er du sikker på, at kommunikationen mellem de besøgende og hjemmesiden er krypteret.

Men som besøgende forbruger har du som sådan kun sikkerhed for, hvor hjemmesiden er hostet. Ikke hvem, der rent faktisk står bag hjemmesiden.

Tjek SSL-certifikatet på en hjemmeside

Tjek SSL-certifikatet på en hjemmeside

Vil du tjekke SSL-certifikatet på en hjemmeside, kan du klikke på hængelås-ikonet ud for webadressen i din browsers adresselinje (på Google Chrome på en computer). Så åbnes en oversigt, der viser noget om antallet af cookies, samt om certifikatet på hjemmesiden er gyldigt.

Klikker du på den linje, åbnes en Certifikat-dialogboks med oplysninger om, hvem certifikatet er udstedt til, samt hvem der har udstedt det, og hvor længe det gælder. Klikker du på Udstedererklæring-knappen kan du læse mere om certifikatet på certifikatfirmaets hjemmeside.

Hvilket SSL-certifikat skal jeg vælge som hjemmesideejer?

Skal din hjemmeside fremstå mest troværdig overfor dine besøgende, er det bedst med et SSL-certifikat, der er udstedt af en af de kendte certifikatudbydere. Det er samtidig de firmaer, der giver den højeste erstatningssum, hvis nogen skulle bryde deres kryptering

I praksis er det dog kun de mest erfarne og de brugere, der går ekstremt meget op i sikkerheden på nettet, der har fokus på at undersøge dette. Så hvorvidt du skal vælge det gratis SSL-certifikat, som nogle webhoteller tilbyder som en del af abonnementet, eller du skal købe dit certifikat selv, bør komme an på din målgruppes syn på internetsikkerhed.

Men regn roligt med, at hvis der er en enkelt eller tre i målgruppen, der undersøger den slags, kan du hurtig blive stillet til regnskab for valget på dit firmas Facebook-side. Eller hængt ud i diverse fora for dårlig sikkerhed, fordi du har valgt den gratis SSL-certifikatløsning hos udbyderen.

Gode SSL-certifikatfirmaer

Der findes – så vidt vi kan se – ingen danske firmaer, der udsteder SSL-certifikater. Til gengæld findes der mange firmaer, der forhandler SSL-certifikater, ligesom du kan købe SSL-certifikater hos de fleste webhoteller og hostingfirmaer.

Det er dog altid billigst at købe certifikaterne direkte hos de enkelte udbydere. Her er de mest velansete:

  • VeriSign – markedets mest troværdige certifikatudsteder med stor viden om, hvad de laver. Samtidig har de markedets højeste forsikringssum på 1,5 millioner USD – og er derfor også de dyreste på markedet med deres certifikater. Vælger du dem, er det fordi, du mener det virkelig seriøst med sikkerheden på din hjemmeside eller din webshop.
  • Digicert – er det populære valg hos de helt store spillere på internettet som Amazon, Wikipedia, Microsoft, Facebook og flere andre. De tilbyder forskellige løsninger på firma- og hjemmesideniveau, samt flere forskellige grader af verifikation af firmaet bag hjemmesiden. De er en smule billigere end VeriSign, men har samme troværdighed.
  • GeoTrust – er det billige alternativ til de dyre og etablerede certifikatfirmaer. De giver ikke helt den samme forsikringsdækning, men anvender samme høje kryptering, og er kendt for en utrolig god og kundevenlig support – noget, der ikke er gratis hos alle certifikatudstedere. De er altså lige så troværdige, men stiller ikke samme høje garantisum.
  • GlobalSign – tilbyder lige som Verisign og Digicert SLL-certifikater på flere niveauer. Enten med verifikation på domæne- eller organisationsniveau. Prismæssigt er de en smule billigere end Digisign, men har samme høje troværdighed i den brede offentlighed.
  • Sectigo – er et populært valg hos mange hostingfirmaer til levering af både betalte SSL-certifikater til deres kunder, og den løsning, som hostingfirmaerne tilbyder gratis til deres kunder. Firmaet har alt lige fra domænebaserede SSL-certifikater til lave priser og op til SSL-certifikater på organisationsniveau til priser på niveau med GeoTrust og Digicert.

Gratis eller betalt SSL-certifikat – hvordan?

Uanset, om dit webhotel tilbyder gratis SSL-certifikat eller ej, tilbyder de også altid mulighed for at tilføje et betalt SSL-certifikat til din hjemmeside.

Tilføj betalt SSL-certifikat

Det foregår ved, at du tilføjer certifikatets private og offentlige nøgler i to tekstfelter inde i opsætningen af dit webhotel. Nøglerne er nemlig ”bare” en række tal og bogstaver, som du får fra certifikatleverandøren.

Hos nogle udbydere skal du selv tilføje dem i føromtalte tekstfelter. Hos andre kan du vælge at købe et betalt SSL-certifikat fra webhotellets faste samarbejdspartner. Her klarer webhotellet selv opsætningen af certifikatet, når det modtages fra certifikatudstederen.

Tilføj gratis SSL-certifikat

Vælger du webhotellets gratis SSL-certifikatløsning, kører dit domæne enten med https-protokol fra starten. Eller også skal du ind og slå SSL-certifikatet til manuelt ved hjælp af en indstilling i opsætningen af dit webhotel.

Derefter skal du installere et lille plugin, der sørger for at alle gamle http-adresser bliver redirected til https-adresser med videre.

Hvordan du tilføjer gratis SSL-certifikat i praksis hos Simply.com, kan du se her. Fremgangsmåden er stor set den samme hos andre webhoteller, hvor du selv skal slå SSL-certifikatet til.

Jeg har lavet en video om det her:

Nu ved du alt, hvad der er værd at vide om SSL-certifikater

Nu burde du vide alt, hvad du behøver om SSL-certifikater. Både som almindelig forbruger og som ejer af en hjemmeside eller webshop.

Har du spørgsmål til SSL-certifikater eller teknikken bag dem, er du velkommen til at komme med en kommentar herunder.

Og har du ikke allerede fået sat https på din hjemmeside, anbefaler jeg, at du får det gjort snart. Ellers mister du løbende mere og mere troværdighed. Både blandt de besøgende og hos Google.