Ingen i vår bransch har väl undgått Googles budskap om att webbsidor som inte använder HTTPS från och med oktober månad kommer bli “bestraffade”?
Men vad innebär det egentligen för dig som företagare eller privatperson som äger webbsajter som endast använder HTTP-protokollet?
Låt oss först gå igenom vad HTTP och HTTPS är för något.
HTTP (HyperText Transfer Protocol) är ett sk. protokoll som används för att tolka hur data ska hanteras mellan dig som användare och en server (webbhotell).
I dagens webbläsare behöver man inte skriva in https:// i adressfältet när man anger en webbadress. Webbläsaren tar för givet att du vill göra ett sk. HTTP-anrop mot servern/webbhotellet.
Det fungerar ungefär lite som en handskakning, där du berättar att du vill besöka en webbadress och du ska besöka den med hjälp av HTTP. Så fort du besöker servern med HTTP så förstår den vilken typ av information du är ute efter samt hur den ska hanteras och presenteras.
HTTP skickar denna information mellan dig och servern fram och tillbaka utan sk. kryptering. Det betyder att informationen skulle kunna snappas upp av någon annan (hackare) som i teorin står bakom din rygg och kollar på vad du gör.
I de flesta fallen så har detta liten betydelse om du exempelvis läser nyheter på en nyhetssajt eller bara slösurfar runt lite på kvällen. Det är först när du skickar in information via formulär som det kan bli kritiskt. Ett exempel skulle kunna vara att du gör en beställning i en webbshop, där du anger betalningsuppgifter för ditt Visakort mm. Du delar med dig av känslig information från punkt A (din dator) till punkt B (servern). Då vill man verkligen inte att någon ska stå bakom ryggen och kolla på!
Alla myndigheter, banker och de flesta webbutiker använder redan, sedan långt tillbaka, HTTPS för att du som användare ska kunna känna dig trygg. Allt sker bakom låsta portar och trafiken är krypterad.
Google har dock bestämt sig för att ALLA sajter som har någon form av formulär, där man kan skicka in information, ska använda HTTPS-protokollet. Om du väljer att strunta i detta kommer Google, från och med den 1:e oktober, att visa ett varningsmeddelande för besökaren som säger att webbsajten är oskyddad. En signal till besökaren/kunden man gärna vill undvika som ägare av webbsajten.
HTTPS – SSL/TLS (Secure Sockets Layer) vad är vad?
HTTPS är protokollet som används och som talar om att en säker anslutning ska göras.
För att en säker anslutning ska kunna genomföras så krävs det att ett SSL/TLS-certifikat finns kopplat till servern.
Det fungerar ungefär så här.
- En webbsajt med https aktiverat besöks av en besökare. Exempelvis https://www.webbsajt.com
- Servern som får anropet förstår vad som är på gång och påbörjar direkt leta efter ett SSL/TLS-certifikat som stämmer överens med adressen/domänet www.webbsajt.com
- Så fort certifikatet är hittat på servern så görs en kontroll på någon millisekund, att domännamnet och servern verkligen matchar varandra, att certifikatet är godkänt, aktivt och ägaren av domänet är rätt.
- Därefter upprättas en krypterad “tunnel” mellan besökaren och servern så att säker kommunikation kan ske utan att någon annan kan ta del av den.
SSL/TLS vadå sa du?
Ursäkta om det börjar bli rörigt här, men jag ska försöka förklara vad detta är på ett så enkelt sätt som möjligt.
Kortfattat: TLS är din webbsajts ID-kort som bevisar att sajten verkligen är den som den utger sig för att vara.
TLS (Transport Layer Security) är ett protokoll som krypterar meddelanden och levererar dem på ett säkert sätt för att förhindra tjuvlyssnande och “förfalskning” mellan servrar.
SSL (Secure Sockets Layer) och TLS (Transport Layer Security) är egentligen två olika saker, från början kallades det SSL och det fanns tre versioner av det. När version fyra skulle lanseras valde man att byta namn på det till TLS 1.0 (vi är nu uppe i TLS 1.3). Dom flesta säger dock SSL när man egentligen menar TLS.
Det olika typer av certifikat och det som skiljer dem åt är främst antalet webbläsare eller operativsystem som stöds av respektive utfärdare (de företag som tillhandahåller själva certifikatet.)
Det finns tre huvudtyper av utfärdade certifikat: domänvaliderade (förkortas DV), organisationsvaliderade (OV) och certifikat med utökad validering (EV = Extended Validation).
Domänvalidering (DV) innebär att endast en kontroll görs av att den som söker certifikatet har kontroll över domännamnet. Detta innebär rent praktiskt att ett meddelande skickas till den e-postadress som är registrerad för domännamnet i fråga. Ingen kontroll görs över vilket företag som innehar domännamnet.
Organisationsvalidering (OV) är den vanligaste typen av SSL-certifikat, och innebär att kontroll dessutom görs av att uppgifterna för organisationen eller företaget som beställer SSL-certifikatet är korrekta.
EV-certifikat (EV) är en typ av SSL-certifikat med en hög nivå av kontroll vid utfärdandet. Många internetbanker innehar denna certifikattyp. Med ett EV-certifikat syns företagets namn i grönt i webbläsarens adressrad, vilket gör att besökaren lätt kan verifiera att han/hon besöker den korrekta webbplatsen.
Källa: https://sv.wikipedia.org/wiki/SSL-certifikat
Förutom dessa typer finns det även sk. wildcard-certifikat som gör det möjligt att med ett och samma certifikat kunna koppla på flera subdomäner. Exempelvis *.domän.se, www.domän.se, shop.domän.se osv. Ett wildcard-domän är dyrare än certifikat för endast ett domännamn, men i gengäld kan du ha oändligt många underdomäner (subdomän) till samma certifikat.
Valet av certifikat är helt upp till dig. Google bryr sig inte om vilken typ du väljer. Så länge du har ett godkänt certifikat installerat så är de glada!
Ge ett seriöst intryck – behåll era besökare/kunder
Behöver ert företag TLS-certifikat?
Kort svar: JA!
Även om ni (er webbsajt) inte skickar och tar emot känslig information mellan er och besökaren så kommer ni straffas av Google med ett varningsmeddelande som visas för alla besökare.
Har ni kanske en blogg med kommentarsfält eller ett kontaktformulär någonstans på sidan? Ja då kommer ni straffas med varningen, även om informationen (exempelvis en blogg-kommentar) inte är av informationskänslig art. Google vet nämligen inte om du fyller i ett bankkortsnummer eller en helt okänslig slumpvis nummerserie. Av den anledningen drar de alla över en kam och vill att ALLA därför går över till HTTPS.
Har ni inte redan gått över till HTTPS så rekommenderar vi er starkt att göra det innan den 1:e oktober i år, då Google börjar visa varningsmeddelandet! Vi kommer hjälpa alla våra intresserade kunder med detta så att övergången går så smidig som möjligt. Gamla bokmärken och genvägar kommer automatiskt att skrivas om från http till https, så besökaren kommer inte märka någon skillnad.
Faktum är att de flesta idag inte har en susning om skillnaden mellan http och https. Det är bara något man ser flimra förbi uppe i adressfältet utan att veta om dess betydelse, något som inom kort kommer bli en avgörande faktor för ALLA. För ser “Svensson” plötsligt en varningsruta så kommer han/hon garanterat att lämna webbsajten direkt! I bästa fall hör de av sig till ägaren av webbsajten, men sannolikheten att exempelvis engångsbesökaren gör detta är mikroskopisk.
Hej
Har upptäckt att min sida http://www.krumelurverkstan.se ej har en säker anslutning. Hur kan jag få denna sida säker? Kostnad?
Hej Claes,
Det ser ut som att du har din webbsajt hos Loopia.se
Jag föreslår att du tar kontakt med dem först för att köpa till ett SSL-certifikat.
Därefter kommer du eller den som byggt webbsajten behöva ändra alla länkar i koden på webbsajten, som idag leder till http://-adresser.
Exempelvis alla nyheter, t.ex. http://www.krumelurverkstan.se/inspiration.html#.WyOIsxPFI1I
Måste framöver börja med https:// istället.
Mvh, Pierre
Viktigt också om du inte får den gröna nyckel symbolen är att alla bilder och annan media inte kallas över http istället för https, så har jag uppfattat det. Det stämmer väl? tack
Det stämmer,
Alla sk. absoluta länkar i koden måste också justeras från http till https för att man ska “bli grön” 🙂