SSL certifikater og hvorfor du skal bruge det

SSL certifikater og hvorfor du skal bruge det

Okey… SKAL er måske et lidt hårdt ord, men i vores optik er der ingen vej udenom. På et tidspunkt vil det nok nærmere blive et krav end en ”anbefaling”.
Og det er bestemt ikke for vores skyld vi siger sådan. Der er nok ingen der er interesseret i at ”the man in the middle” får adgang til dit navn, adresse, mailadresse og måske endda dit mobilnummer.

SSL (Secure Socket Layer) har været ”i luften” længe og det er også længe siden at det blev et krav at alle betalingssider/gateways skal bruge SSL.

Besøger du en side der IKKE benytter SSL, kan der ske det at de data du sender fra din browser og ned til webserveren i formularer faktisk kan blive opfanget og derefter misbrugt af en 3. part. Og det kan være alt fra tilmelding til nyhedsbreve, til spørgeskemaer og selvfølgelig online betalinger. 

Herunder kan du se hvad det er der rent teknisk sker når du besøger en side med SSL certifikat.
Nederst finder du en liste af forkortelse som du kan støde på undervejs i din læsning om SSL.

 

De 5 trin i en godkendt SSL forbindelse:

1: Din browser forbinder til en server (hvor websitet ligger). Dette server fortæller at den benytter SSL og browseren beder derfor serveren om at bekræfte at den rent faktisk er hvem den udgiver sig for.

2: Serveren sender så en kopi af SSL certifikatet sammen med en ”nøgle” til browseren.

3: Browseren opsamler certifikatet og spørger så en list af ”autoriteter” (også kaldet CA’er) om certifikatet er gyldigt og at det stemmer med den server som faktisk sendte det (ud fra domænenavnet).

4: Hvis browseren så accepterer certifikatet vil den oprette en krypteret sessions-nøgle ud fra den samme nøgle som serveren medsendte i første omgang. Serveren modtaget den krypterede nøgle fra browseren og sender et ”OK” tilbage til browseren.

5: Fra dette punkt er al trafik mellem browser og server beskyttet af den krypterede nøgle som både browser og server har godkendt.

SSL certificat hos easyflow

Hvis du forlader en side der bruger SSL og senere går ind på den igen… så starter processen selvfølgelig forfra.

Det lyder måske ”tungt” og du tænker nok at det må tage lang tid og sløve din side. Men det gør det ikke. Hele denne proces tager få millisekunder og mærkes derfor ikke på din sides loadtid. Selvfølgelig forudsat at tingene er implementeret korrekt.

Der findes flere typer af certifikater og det er vigtigt at du sammen med din udvikler og ”host” finder ud af hvilket certifikat der er bedst egnet for dig.
For der er mange – og STOR forskel i prisen. Godkendte certifikater kan erhverves fra ca. 50,- om året for et enkelt domæne og op til mange tusinde kr. for multi-domæner og ”wildcard” certifikater.

Du kan læse mere om SSL certfikater og nogle af typerne her på DigiCerts hjemmeside:

https://www.digicert.com/welcome/product-overview.htm

 

Nu vil du gerne have et SSL certifikat på dit website... hvad så nu?

På nogle webhoteller har de en integreret service til SSL certifikater.
Men hvis du selv hoster din hjemmeside eller webshop, er det noget som IT afdelingen skal sørge for.
Selve det at få et SSL certifikat på serveren er nok ikke det store problem. Men der kommer en masse ting i "kølvandet" på det.
Det svarer lidt til at skifte domæne faktisk.
Dvs. du/I skal have styr på redirects og googles indexering af et website. Man går jo rent teknisk fra http til https - dvs. ny "adresse".

Derudover kan der meget vel være nogle tekniske ting på sitet der skal ordnes. Alle "referencer" der bruges (f.eks. fonte der hentes fra Google), skal også omskrives til at hente fra https. Hvis ikke dette er på plads vil browseren der besøger sitet, komme med nogle ret "grove" advarsler og stopper ofte den besøgende inden de overhovedet er kommet ind på sitet. Og så kan du være helt sikker på at den besøgende er mistet.


Forkortelser:

SSL - Secure socket layer

CA - Certificate Authority

EV - Extended Validation. Dette er en udvidelse af det "almindelige" SSL certifikat hvor du så også har firmaets navn i adresselinjen.

HTTPS - Hypertext Transfer Protocol Secure. Den krypterede version af en almindelig hjemmeside.

Gateway - Den udbyder der håndterer din betalinger. Det kan f.eks. være DIBS, QuickPay eller Epay.

 

*Grafikken i artiklen er lånt fra DigiCerts hjemmeside da vi simpelthen ikke kunne beskrive det bedre selv.

Har du spørgsmål eller er du nysgerrig?

Vi er kun et opkald væk 7070 2626