Vigtigt med HTTPS/SSL på websitet nu!

September 15, 2017. Author: Lars E. D. Jensen.
Estimated reading time: 5-6 min.

Dansk

Gratis SSL med Let's Encrypt

Googles plan

Googles plan

 

Googles Chrome-browser er populær, meget populær. Ca. 60-70% besøgende på jeres website benytter Chrome lige nu.
Googles plan med Chrome-browseren og websites uden SSL-certifikat kræver en hurtig indsats inden oktober 2017, hvis nuværende niveau i synlighed og besøgsantal skal bibeholdes. Hvis ikke SSL etableres inden Chrome opdateres til version 62 i oktober 2017, så bliver sider, hvor besøgende skal indtaste information tydeligt markeret som “Not secure” eller “Ikke sikker”.

Hvad er SSL?

SSL er Secure Sockets Layer, og ift. websites betyder det kryptering mellem browser og website. Med SSL kan datatrafik, f.eks. brugerinput på et website, ikke opsnappes af uvedkommende.

Uden SSL er det nemt at opsnappe data, og det er netop derfor Google går i front med Chrome og tvinger resten af verden til at bruge SSL!

Eksempel
En simpel tilmeldingsfunktion til et nyhedsbrev på forsiden  af et website, hvor besøgende kan indtaste sin e-mail-adresse, vil nu blive markeret tydeligt med “Not secure” i Chromes adressefelt. Dvs. færre vil tilmelde sig nyhedsbrevet, og mange vil måske helt forlade websitet med det samme, fordi der står en advarsel i adressefeltet om at websitet ikke er sikkert.
Rent teknisk har kommunikationen mellem browser og websites uden SSL, både før og efter oktober 2017, hele tiden været over en usikker forbindelse. Til oktober bliver besøgende blot gjort meget opmærksom på at forbindelsen ikke er sikker via Chromes adressefelt. Andre browsere, Microsoft Edge, Firefox, Safari m.fl. følger sandsynligvis også op på ændringen, så det samme kommer til at gælde i disse browsere.

Sådan ser HTTPS/SSL ud

Grøn hængelås, tjek!
Grøn hængelås

Er der grøn hængelås i adressefeltet som på DCmedia Hostings website, så har websitet et SSL-certifikat aktiveret.
Hvis ikke der er grøn hængelås, men stadig https:// foran webadressen, så kan det skyldes at nogle eksterne ressourcer indlæses med http:// (såkaldt “Mixed Content”). De eksterne ressourcer skal også indlæses med https:// for at få den grønne hængelås aktiv.

Så let er det at opsnappe data

Mange blogindlæg inkl. dette advarer mod ikke at bruge SSL fra oktober 2017 pga. følgekonsekvenserne med advarsler i browseren, faldende besøgsantal, tab af omsætning i webshops, mindre synlighed, utryghed for besøgende, faldende placering i søgemaskiner osv.
Mindst ligeså vigtigt er det faktum, at det er for nemt for uvedkommende at lytte med på datatrafik, der foregår uden SSL.
For at vise, hvor nemt det i virkeligheden er at opsnappe data, hvis et website IKKE anvender SSL, så tjek følgende lille video.

Følsomme data kan opsnappes ved at lytte til datatrafikken, som flyder mellem browseren og websitet. Dvs. på ét hvilket som helst punkt i netværksforbindelsen mellem browser og website kan nogen lytte med.
I videoen anvendes programmet Wireshark til at lytte til HTTP trafik, og derved findes et login med password i klar tekst, som giver adgang til et website.
Med denne adgang kan en uvedkommende potentielt komme endnu længere med flere nu meget lettere tilgængelige oplysninger. F.eks. gennem installation af malware på websitet, som automatisk udnytter ressourcer eller spreder sig til en organisations brugere, og dermed infiltrerer en hel organisations server- og netværkssystemer.
SSL sikrer kun krypteret datatrafik mellem brugere/besøgende og websitet. Sikkerhed på websitet er mere omfattende end kun HTTPS/SSL, der skal ses som en sikkerhedskontrol blandt mange. Herunder metoder til overvågning, beskyttelse og analyse af trafik samt vedligeholdelse med sikkerhedsopdateringer til selve webapplikationen som websitet er lavet i (WordPress, TYPO3, Drupal m.fl.).

Aktivér SSL på jeres website nu

I Micusto Cloud v2 aktiveres gratis SSL-certifikat fra Let’s Encrypt med et klik!
Let's Encrypt

Det er ikke for sent, og det kræver kun et SSL-certifikat til jeres domæne eller domæner. Et SSL-certifikat er heldigvis hurtigt at oprette!

I vores egen hostingplatform Micusto Cloud v2 kan et SSL-certifikat med Let’s Encrypt oprettes automatisk og aktiveres ganske gratis til et domæne med ét klik, og dernæst være aktivt på websitet inden for ca. 5-10 minutter.

Let’s Encrypt er en gratis, automatiseret og åben certifikatmyndighed (CA) for alle i hele verden. Det er en tjeneste fra Internet Security Research Group (ISRG).
Kan vi det, så kan andre nok også. Kontakt jeres udvikler eller hostingudbyderen websitet ligger hos, og bed om hjælp til at få udstedt et SSL-certifikat og ikke mindst få det installeret hurtigst muligt. Det kan kræve noget tid at tilpasse selve websitet til HTTPS/SSL, så regn med nogle omkostninger hos udvikler eller hostingudbyder. Tid til bl.a.: Generel 301-redirect fra HTTP til HTTPS, ændring af interne links fra HTTP til HTTPS, grundig test af websitet, blog eller webshop med HTTPS og tilpasning Google Analytics m.m.

SSL-certifikatet kan være gratis, men det også koste lidt og meget! Typisk er det support og tillid til et SSL-certifikat, der koster noget.
Prisen for et SSL-certifikat defineres primært af tilliden til certifikatet. Det betyder, at der både er gratis, billige og dyre certifikater. Prisen afhænger af graden af validering, der udføres på organisationen, ved udstedelse af certifikatet. Ved en grundig validering er tilliden til et certifikat høj, og det afspejles f.eks. i browsere, hvor hele organisationens navn fremgår i adressefeltet. Til webshop anbefaler vi EV-certifikat (Extended validation).

Typer af SSL-certifikater

Typer af SSL-certifikater

BEMÆRK: Alle SSL certifikater uanset type inkl. Let’s Encrypt krypterer kommunikation mellem browser og website lige godt!

Ved spørgsmål til HTTPS/SSL send gerne mail eller kontakt via LinkedIn.

Create your space today!

You don't even have to be a rocket scientist.

I'm ready for takeoff