Take IT Away Blog

Her finder du "take aways" omkring IT, så som IT-sikkerhed, Tips & Tricks, Office365, Cloud, Outsourcing og mere teknisk nørderi. God fornøjelse.

Alle artikler

Hvad er et SSL-certifikat (HTTPS)? Og hvordan virker det?

Hvilke certifikater

Hvad er SSL-certifikater (HTTPS)?

Lad os starte med det basale: Hvad er et SSL-certifikat egentlig? 

SSL står for Secure Sockets Layer og det er en online sikkerhedsteknologi, der sørger for en sikker forbindelse imellem en web browser og en server. Når en computer, tablet eller telefon får forbindelse til et website foregår kommunikationen mellem en web browser og den server, som websitet ligger på. Denne kommunikation er ubeskyttet og ligger åbent, hvilket betyder, at alle i princippet kan få adgang til oplysningerne. Hvis du sender vigtig personlig information, er det mildt sagt ikke ideelt, at det ligger tilgængeligt. 

SSL-certifikater benyttes for at beskytte sensitiv information så som:

  • kreditkort-oplysninger
  • login-informationer som brugernavne, passwords og email adresser
  • data transaktioner
  • browsing på sociale medier

Med et SSL-certifikat bliver alle data, der sendes digitalt mellem browseren og serveren, krypteret. Det gør det langt sværere for cyberkriminelle at opsnappe informationerne. 

 

Hvordan ser jeg om siden er sikker?

Når du besøger et website vil der enten står HTTP eller HTTPS forrest. S'et viser dig, at du er inde på en sikker side, der har et SSL-certifikat tilknyttet. Denne forbindelse kaldes også for en HTTPS-forbindelse. I browser baren vil du kunne se "https" samt hængelås-ikonet:

 

Https-bar

 

Når du klikker på hængelåsen, vil browseren vise information omkring certifikatet. 

 

Hvordan virker et SSL-certifikat?

Et SSL-certifikat er lidt ligesom et kørekort. Det har to funktioner: Det giver tilladelse til at bruge krypteret kommunikation via offentlige sikkerhedsnøgler og det godkender identiteten af certifikatets ejer. 

 

SSL

Med krypteret kommunikation er det stort set umuligt for tredjeparter at dekryptere informationen, der sendes frem og tilbage. Derfor er det helt essentielt, at webshops og lignende sider der indsamler personlig information, bruger et SSL-certifikat. Ved en ikke-krypteret forbindelse vil alt information mellem brugeren og server ligge frit tilgængeligt, så alle kan se den.

Hvilket er guf for IT-kriminelle.

Krypterede forbindelser derimod forvrænger kommunikationen indtil den kan dekrypteres af den instans der har den anden krypteringsnøgle. 

Med andre ord har IT-kriminelle langt sværere med at få fat i vigtige informantion fra et krypteret website med et SSL-certifikat på. 

 

Google anbefaler

Google anbefaler naturligvis at alle websites uanset branche, organisation og virksomhed har et SSL-certifikat på deres website - også selvom de ikke behandler følsomme oplysninger.

Ikke alene er HTTPS lig med mere tillid hos forbrugerne, det giver dig også bedre placeringer i Google. I 2014 offentliggjorde GoogleHTTPS everywhere” on the web". Året efter blev SSL en faktor i algoritmen, der er med til at bestemme din placering i Googles søgeresultater. 

Så, hvis du har et opdateret SSL-certifikat, vil Google elske dig. 

Netop fordi sikkerhed er en topprioritet hos Google. 

Fra denne måned, oktober 2018,  gør Google endda ekstra opmærksom på det, hvis dit website ikke har certifikatet. Det betyder, at alle søgninger i browseren Google Chrome fremover vil advare brugeren med et advarselsikon samt en tekst med "not secure/ikke sikker" foran URL'en. Det ser sådan ud:

 

2018-10-10_1348

 

Det betyder, at din virksomhed virker mindre troværdig og at du risikerer, at potentielle besøgende hopper fra igen.

Hvis du klikker på advarselsikonet og trykker på "se virksomhedsoplysninger", kommer dette billede frem. 

 

Ikke så fedt.

Sikkerheden ved HTTPS giver dig flere åbenlyse fordele. Lad os kigge lidt på de tørre facts. 

 

Fordele ved HTTPS

De online forbrugere vil have det højeste niveau af beskyttelse og de ved, at hængelåssymbolet giver en sikker forbindelse. En undersøgelse fra CA Security Council fra 2015 viser, at hængelåsen og advarselssymboler har en stor effekt. 

Ifølge undersøgelsen vil kun 2% indrømme, at de ignorerer en besked omkring en "ikke sikker forbindelse".

Kun 3% er villige til at give deres kreditkortoplysninger til sites uden hængelås-symbolet. 

Ja, kun sølle 3%. 

Dvs. at de resterende 97% er væk fra dit site, inden du har nået at sige chokoladekiks. 

Hængelåsen er noget, som kunderne aktivt kigger efter. Også selvom de ikke nødvendigvis ved hvordan SSL-valideringen virker eller hvilke sikkerhedselementer, de kan forvente. 

Ifølge undersøgelsen så ved 53% af brugerne at hængelåssymbolet betyder mere tillid.

For at opsummere:

  • Med et sikkerhedscertifikat undgår du "ikke-sikker" advarsler
  • Du booster din placering i Google
  • Du øger konverteringen 
  • Du skaber mere tillid hos forbrugeren

Lad os kigge lidt mere på hvilke typer af SSL-certifikater der er, samt de forskellige niveauer af beskyttelse og hvordan de virker. 

 

Hvilke typer af SSL-certifikater findes der?

Der findes flere forskellige typer og niveauer af beskyttelse:

Typer af SSL-certifikater ud fra antallet af domæner:
  1. Single Domain
  2. Wildcard
  3. Multi-domain
På valideringniveau:
  1. Domæne valideret beskyttelse / Domain Validation Certificates (DV)
  2. Virksomhedsvalideret beskyttelse / Organization Validated Certificates (OV)
  3. Udvidet virksomhedsbeskyttelse / Extended Validated Certificates (EV)

 

Lad os starte med de 3 forskellige typer af beskyttelse ud fra antallet af domæner, du skal have beskyttet.

A. Single Domain SSL certifikater

Beskytter et enkelt domæne/hostnavn.

Dvs. at hvis du køber et Single-Domain til fx. www.duersåsmuk.dk, så dækker det ikke blog.duersåsmuk.dk.

 

B. Wildcard SSL certifikater

Beskytter et ubegrænset antal af subdomæner til et enkelt domæne. 

Hvis du har købt et certifikat til www.duersåsmuk.dk, så dækker det også karriere.duersåsmuk.dk, support.duersåsmuk.dk, blog.duersåsmuk.dk, mail.duersåsmuk.dk osv. osv. Wildcardet vil beskytte alle dine subdomæner. 

 

C. Multi domæne SSL-certifikater

Beskytter op til 100 domæner med ét enkelt certifikat. De er specielt designet til at beskytte Microsoft Exchange og Office miljøer. 

Det kan fx. være www.duersåsmuk.dk, duersåsmuk.org, nyheder.duersåsmuk.com, blog.duersåsmuk.com, blog.duersåsmuk.dk, video.duersåsmuk.dk, video.duersåsmuk.dk osv. osv. 

OK. 

Når du ved, hvor mange domæner, du skal have beskyttet, skal du tage stilling til niveauet af beskyttelse, altså selve valideringsniveauet. Lad os tage et kig på det. 

 

Typer af SSL-certifikater på valideringsniveau

Formål: Her er formålet at sikre at vi ved, hvem vi er forbundet med når vi sender privat information. 

 

1. Domæne valideret beskyttelse - Domain Validated SSL (DV)

ValideringniveauDette er det laveste niveau, der kun verificerer selve domænet. 

Hvordan verificeres det: Et Domain Validated SSL (DV) certifikat er en hurtig og let måde at sikre et domæne på, da certificeringsmyndigheden (CA), der udsteder selve beviset, kun kræver verifikation for at modtageren rent faktisk ejer det domæne, han/hun vil beskytte. 

Det sker typisk via email. For at bevise, at du ejer domænet skal du enten lave ændringer til en DSN record eller uploade en fil til domænet, som certificerings-myndigheden giver dig. Ved at vise, at du har kontrol over domænet, får du et certifikat.

Tid: Denne verifikationsproces tager typisk ganske kort tid, fra få minutter til et par timer. 

Pris: Typisk fra omkring 995,- kr. for et års certifikat. Det er typisk billigere at købe til flere år ad gangen. 

Bevis: En HTTPS webadresse og et hængelås-symbol der indikerer, at dit website er beskyttet af et SSL-certifikat.  Denne type validering er din mulighed for at vise offentligheden, at alt information der sendes til dit website bliver krypteret. 

DV

De fleste brugere ved i dag, at hængelåsen er symbol på at websitet er sikkert.

Men eftersom det går mere og mere imod et HTTPS-miljø overalt på nettet, hvor de fleste seriøse virksomheder efterhånden har denne basis beskyttelse, sigter virksomheder, specielt indenfor ecommerce, efter det næste niveau. Niveauet over domæne valideret er Organisation Validated (OV).

 

2) Virksomhedsvalideret beskyttelse - Organization Validated SSL (OV)

ValideringniveauDette er det mellemste niveau, der også verificerer virksomheden. 

Hvordan verificeres det: Her skal virksomheden udføre en let valideringsproces fra certificeringsmyndigheden, inden beviset udstedes. Din virksomhed bliver kontaktet for at sikre, at I er dem, I siger I er. Udover at validere ejerskabet af domænet, tjekker de også virksomhedsinformationer så som navn, adresse og land. 

Tid: Det tager typisk 2-3 dage at udstede et OV bevis. 

Pris: Priserne varierer meget afhængig af hvilken løsning, I vil have lavet.  Hos Hostnordic starter priserne fra 1295,-kr. for et års certifikat. Det er typisk billigere at købe til flere år ad gangen. 

Bevis: Disse certifikater er niveauet højere end domæne valideret og giver dermed også flere SSL- og tillidsbeviser end det helt basale. Du får vist dine virksomhedsinformationer under certifikatdetaljer. 

Den største forskel ved denne validering er, at du nu har en troværdig tredjepart i form af et online sikkerhedsfirma, der siger god for dig. Folk ved, at de kan stole på navne som Symantec, GeoTrust, Thawte, RapidSSL og Comodo, der udbyder certifikaterne. Så når en af disse virksomheder kan garantere at din virksomhed er den, som den udgiver sig for at være, så skaber det mere tillid hos forbrugerne. 

I dag er forbrugerne mere forsigtige online, så når virksomheder er beskyttet med et OV bevis har de en klar fordel i forhold til konkurrenterne. 

En af grundene til at flere og flere virksomheder som minimum går efter virksomhedsvalideret beskyttelse skyldes blandt andet, at de domæne validerede sikkerhedsbeviser kun giver meget lidt SSL-anerkendelse. Derudover sikrer de ikke brugeren, at det rent faktisk er den rette virksomhed, der ejer domænet. Derfor anbefales de kun til websites, hvor tillid fra brugeren ikke har den største betydning og hvor information så som brugernavne, passwords eller kreditkortoplysninger ikke kræves. 

Derudover er de to sikkerhedsindikatorer HTTPS og hængelåssymbolet blevet mere og mere almindelige, så virksomheder bruger mere og mere den højere beskyttelse for at hjælpe dem med at stå bedre i forhold til konkurrenterne. 

ssl til blog

 

3) Udvidet virksomhedsvalideret beskyttelse - Extended Validation (EV)

ValideringniveauDet højeste niveau.

Hvordan verificeres det: Certificeringsmyndigheden validerer ejerskabet, virksomheden, den fysiske lokation og den lovlige eksistens af virksomheden. For at få dette bevis, skal din virksomhed gennemføre en grundig valideringsproces, hvor forskellige dokumenter samt forskellige kontroller skal sikre at virksomhedens identitet er korrekt.

Tid: Typisk tager det et par uger. 

Pris: Fra omkring de 6.995,- kr. for et årlig certifikat. Det er typisk billigere at købe til flere år ad gangen. 

NavneskiltBevis: Her får du det ypperste indenfor SSL-certifikater. Websites med dette sikkerhedsbevis identificeres primært på den grønne adresselinje, der er det mest anerkendte symbol på tillid på internettet universielt. Den grønne adresselinje kan ses i browsere som Firefox, Edge og Internet Explorer. Med denne beskyttelse, kan du også se virksomhedsnavnet i browseren foran selve URL'en. Mere troværdigt bliver det ikke.

Som her hos en af vores kunder:

 

2018-10-22_1239

EV certifikater øger konverteringsraten

Der er mange fordele ved at vælge en udvidet virksomhedsvalideret beskyttelse. 

For det første:

Ifølge en undersøgelse foretaget af Tec.ED vil hele 77% tøve med at handle på et website uden et Extended Validation SSL-certifikat. 

For det andet:

100% lagde med det samme mærke til om websitet havde den grønne adressebar.

Derudover ved 42% af den grønne adressebar betyder større sikkerhed. 

93% foretrækker at gøre forretning med et website, der har den grønne adressebar.

I en undersøgelse foretaget af VeriSign, oplevede FitnessFootwear.com et fald på 13,3% i afbrudte køb på webshoppen og en stigning i konvertering til salg på 16,9% blandt websitebesøgende der så den grønne adressebar holdt op mod dem, der ikke så den.  

Så selv om der er en lille investering i at vælge udvidet virksomhedsbeskyttelse, så kan pengene hurtigt være tjent hjem i øget omsætning og større troværdighed. 

Disse premium EV-certifikater bliver mere og mere almindelige, især blandt webshops. 

Uanset hvilket certifikat du køber så får du med i købet også et Site Seal, der skaber yderligere tillid for de besøgende. 

Hvad er et Site Seal?

Site Seals er de små logo-billeder fra SSL-udbyderne så som nedenstående fra COMODO RapidSSL, Symantec og GeoTrust. 

site-seal

Med et Site Seal kan dit website hurtigt opnå tillid fra brugerne. Det er endda bevist at et Site Seal kan hæve konverteringsraten, da flere kunder er parate til at gennemføre deres køb, hvis de ser et Site Seal i den online købsprocess. 

 

Opsummering:

Alle slags sikkerhedsbeviser har den samme form for kryptering, men med forskellige niveauer af autentificering. Hvilken du skal vælge afhænger af hvilket niveau af autentificering, du ønsker.

Her er overblik over de forskellige fordele ved de forskellige typer: 

Overblik (OV)

Mindre websites som ikke indsamler brugerinformation kan nøjes med et DV certifikat, mens forretningssider og e-commerce sider skal sigte efter et OV eller EV certifikat afhængigt af deres størrelse og behov for autentificering. 

Typen af certifikat kommer altså både an på ønsket valideringsniveau samt antallet af domæner, du skal sikre. 

Hvis du ønsker mere info omkring SSL-certifikater, er du velkommen til at tage fat i vores SSL-ekspert, Kell Katholm, på kk@hostnordic.dk eller tlf. 20 24 10 43.

 

 

Relaterede artikler

Hvilket SSL-certifikat skal jeg vælge?(En Step-by-Step Guide)

  Hvilket SSL-certifikat skal jeg vælge? (En Step-by-Step-guide) Alle websites skal i dag have et SSL-certifikat - et sikkerhedscertifikat - tilknyttet deres website, så informationen imellem den og serveren er sikker og krypteret. SSL-certifikater benyttes for at beskytte sensitiv information så som:

Sådan undgår du "ikke sikker" advarslen i Google

Hvorfor vises mit website som "ikke sikker" i Google? Hvis dit website eller din webshop vises med en "ikke sikker"-advarsel og en advarselstrekant i browserbaren, så skyldes det, at du ikke har et sikkerhedscertifikat (et SSL certifikat) tilknyttet dit website. Og det kan Google ikke lide. Hvis du stadig kører dit website over HTTP (HyperText Transfer Protocol) og ikke over HTTPS (HyperText Transfer Protocol Secure), vil Google udstede sikkerhedsadvarslen "ikke sikker" som alle besøgende vil se. Det skyldes, at du ikke har en krypteret https forbindelse. Det er ikke ligefrem noget som Google eller dine besøgende kan lide. Tværtimod! 

Hvordan virker et SSL-certifikat?

En sikker, krypteret forbindelse Dit website skal sikres med et sikkerhedscertifikat - et såkaldt SSL-certifikat - ellers er forbindelsen mellem dit website og serveren usikker. SSL-certifikatet sørger for en sikker og krypteret forbindelse imellem et website og en webserver.