SÄKERHET PÅ WEBBEN MED
SSL-CERTIFIKAT

Även om du är en liten firma och inte hanterar känsliga data, så finns det ändå all anledning att byta till HTTPS. Du får ett större förtroende hos besökarna, blir framtidssäkrad, och dessutom möjlighet till bättre rankning i sökresultaten. I denna artikel förklarar vi vad ett SSL certifikat gör, varför du bör ha ett och hur det påverkar dina besökares IT-säkerhet.

Vad är HTTP?

HTTP (Hypertext Transfer Protocol) är ett protokoll som används för att se webbsidor. All kommunikation mellan dig och servern sänds i klartext. Om du kollar längst upp i adressfältet, ser du sannolikt att det står https i början av webbadressen. Detta betyder att protokollet HTTPS används för att kunna ta emot hemsidan.

HTTPS är den säkra versionen av HTTP, då den har ett SSL (Secure Sockets Layer) certifikat. En hemsida kan ha ett hänglås före webbadressen för att visa på det. Klickar du på den ser du också vem som har utfärdat certifikatet; ett så kallat CA (Certificate Authority). CA ansvarar för att kontrollera organisationer och utfärda dem med SSL-certifikat.

Till skillnad mot den äldre HTTP standarden, så är HTTPS krypterad med hjälp av digital signatur. Kommunikationen mellan klienten och servern förblir således säker. Man ska dock komma ihåg att det ej betyder att hemsidan är säker, utan endast kommunikationen emellan är det.

TLS (Transport Layer Security) är den senaste industristandarden och ”efterföljaren” till det utdaterade SSL protokollet. Den funkar på samma sätt med att verifiera servern, klienten och kryptera data. Men namnen används fortfarande omväxlande för att beskriva samma teknik, trots att det är det förstnämnda vi egentligen menar.

Varför ska jag ha ett SSL-certifikat?

Du tänker kanske att du inte behöver ett certifikat till din hemsida; det låter krångligt, vet inte vad du behöver, och kan kosta mycket pengar. Genom att anlita en konsult inom SEO kan du få hjälp med vilket certifikat du behöver, vad som är bäst för dig och installera det. De är specialister på att förbättra din SEO-rankning, och ser till att certifikatet implementeras på rätt sätt så inga otrevliga överraskningar kommer upp.

2014 tillkännagav sökmotorjätten Google att HTTPS är en rankningssignal; dessutom att signalen kunde komma att ha ännu större betydelse i framtiden. Chrome har även sedan 2018 markerat alla sidor som är laddade över HTTP med varningen ”inte säker” som standard i webbläsarens adressfält.

Det kan vara svårt att veta vilket certifikat du ska ha men en tekniskt kunnig SEO konsult kan hjälpa dig med hela processen, och ser till att certifikatet stödjer alla webbläsare.

Tre kategorier inom SSL

Det finns huvudsakligen tre olika kategorier av SSL. Alla med sina fördelar, men där bredare funktionalitet och stöd generellt sätt kostar mer;

• Single SSL Certifikat: För små företag, bloggar, och enkla hemsidor.
• Multi-Domain SSL: För tjänsteleverantörer, SEO företag, och för att säkra flertalet domäner.
• Wildcard SSL Certifikat: För stora hemsidor och för att säkra subdomäner.

Du kan vara säker på att det är värdefullt att ha ett SSL-certifikat på din webbplats. Det visar besökare att din webbplats är verifierad och att den är säker från hackare. Det förbättrar också din SEO-ranking.

Hur funkar HTTPS och SSL?

För att förstå hur det hela fungerar måste man ha klart för sig hur de två delarna kryptografi och digital signatur används med HTTPS;

1. Ett krypterat meddelande från dig har en publik nyckel som endast kan öppnas av din privata nyckel.
2. Med digital signatur är den som har tillgång till din publika nyckel säker på att den är skapad av din privata nyckel.

När du från en webbläsare vill gå in på till exempel swedishshield.se svarar hemsidan med att ge dig certifikatet som innehåller deras publika nyckel; signerat av i detta fall ”Let’s Encrypt”.

Din webbläsare läser och känner igen certifikatet samt dess publika nyckel. Den verifierar att certifikatet verkligen kommer ifrån ”Let’s Encrypt”. Certifikatet kom ifrån vad som påstods och webbläsaren låter processen gå vidare.

Kryptering med hemlig nyckel

I och med att webbläsaren litar på certifikatet, så skapar den en ny hemlig nyckel och krypterar den med hemsidans publika nyckel. Sagt och gjort, så tar hemsidan tillbaka sin publika nyckel innehållandes webbläsarens hemliga nyckel.

Och som vi vet så är det endast den med privat nyckel som kan öppna den publika nyckeln. På så sätt är det bara din webbläsare och swedishshield’s server som vet om denna hemliga nyckel. Och från och med då kan all kommunikation krypteras er emellan med just den nyckeln.

Om en hackare skulle försöka lyssna av kommunikationen ni har emellan er, får hen inte ut någon vettig information då kommunikationen är krypterad. Det enda sättet att kunna göra den läsbar är om hackaren har serverns privata nyckel.

Problem vid implementering av SSL

När man ska implementera sitt certifikat, finns det vissa problem som kan uppstå om man inte har varit försiktig. Ett vanligt fel är att ens hemsida har blandat innehåll av HTTP och HTTPS. Det kan ogiltigförklara ditt certifikat då allt innehåll måste laddas genom en säker källa. Detta händer oftast med bilder, JavaScript kod, eller plugin som du har på hemsidan.

Problem med indexering vid byte till HTTPS

Dessutom kan man få dubbla innehållsproblem då både HTTP och HTTPS versionen blir indexerade, vilket resulterar i att sökmotorn visar olika sidor som kan förvirra användaren.

Ett annat vanligt problem är att man inte använder ”301 redirects”; det vill säga dirigera om trafiken från HTTP till den säkra HTTPS sidan. Eller så har man använt dem felaktigt. För de som använder Google Analytics som mätverktyg för hemsidans trafik, har det faktiskt visats på att om man felaktigt dirigeras om från HTTPS till HTTP sida, så förlorar man viktig hänvisnings data.