HTTPS/SSL gir deg sikre sider
I dette innlegget vil du lære hva SSL og HTTPS er og hvorfor ditt netsted bør ha det.
HTTPS/SSL er ingen sikring mot hackere
For å ta det først som sist. Du blir ikke kvitt hackere, spam og slipper å ta backup bare du installerer SSL-sertifikat på hjemmesiden din. Sikkerheten på web-serveren din blir nøyaktig som før du installerte sertifikatet. Hackerne kan like godt holde på med sitt også på HTTPS, uten at du vet at de gjør det. HTTPS/SSL sikrer at man ikke kan avlytte kommunikasjonen mellom nettleser og webserver. Det beskytter dine besøkende når de oppgir brukeropplysninger om seg selv (navn, adresse, passord etc). Sånn sett gjør man det litt vanskeligere for hackere, for det blir vanskeligere å tappe passord. Når de har et brukernavn og passord så har de fått en fot innenfor og kan utnytte det til å hacke seg videre.
Hva er et SSL sertifikat?
SSL-sertifikat er sett av filer digitalt signert av en godkjent organisasjon eller selvsignerte filer. Det finnes flere algoritmer for kryptering og alle algoritmene baserer seg på såkalte nøkler, som er lange tall/bokstav kombinasjoner. Nøkler har en offenlig nøkkel og en hemmelig privat nøkkel. Den offentlige nøkkelen kan kun brukes til kryptering. Den private nøkkelen brukes til å pakke opp den krypterte meldingen.
Hva er et HTTPS?
HTTPS er kryptert trafikk mellom webserver og nettleser. Ved å kryptere trafikken setter man effektiv stopper for at noen underveis kan tjuvtitte på sensitive opplysninger som brukernavn, passord, personopplysninger osv. Man bruker SSL-sertifikater for å kryptere HTTPS-trafikk. HTTPS er utvidelse av HTTP-standarden. S står for Secure.
- Høyre rangering på Google sin søkemotor
- Google har sagt at de vil prioritere nettsteder som benytter HTTPS. Stikkprøver viser at det stemmer.
- Større brukertilfredshet
- Det viser seg at når besøkende har et valg mellom en kobling på HTTP og HTTPS så velger de HTTPS der de skal legge fra seg sine personopplysninger.
- Driver du nettbutikk? Du vil etterhvert skille deg ut på HTTP og være et attraktiv mål for hackere
- Hackere vil ikke stoppe sine aktiviteter. De går gjerne minste motstands vei. Mange av verktøyene de bruker virker på HTTP og de faller naturlig ut på HTTPS.
- Fler salg/konverteringer
- Det er egentlig ingen rocket science. Kunder føler større tryghet og handler mer på nettsteder som bruker HTTPS.
- Viktig signal om at du bryr deg
- Uansett hva slags nettsted du driver så viser du at du bryr deg om dine besøkendes sikkerhet og gjør det du kan for å holde informasjonen deres privat.
HTTPS beskytter transportlaget mellom deg og web-serveren.
- Skjuler informasjon som du sender til web-serveren
- En hacker vil kanskje se at du forsøker å logge deg inn, men vil ikke kunne se ditt brukernavn/passord, eller annen informasjon i forbindelse med netthandel.
- Bidrar til bedre personvern for oss alle
- Det er ikke lengre mulig for store internett giganter å se hva foretar oss på internett. Hvordan hadde du følt deg om du en dag ble nektet forsikring fordi du surfet litt for mye på websider om kreft? Hva om noen andre fikk din studieplass/stilling fordi du søkte litt mye på emner rundt graviditet? Selv om Google ser disse opplysningene fordi de driver verdens største søkemotor og mange andre populære tjenester, så har vi klart å snevre kraftig inn på hvem som får tilgang til disse dataene.
- Beskytter deg mot at andre hijacker din forbindelse
- Uten HTTPS trenger man ikke å vite ditt brukernavn og passord for å utgi seg for å være deg. Man kan for eksemel vente til du har logget deg inn, så snapper man økten mellom deg og web-serveren og utgir seg for å være deg. Det kan tenkes at man kan ødelegge en budrunde på en auksjon, ved å konsekvent sette alle budene til 0 kroner, bortsett fra sitt eget bud. Det er ikke lengre mulig om man bruker HTTPS.
Mange tenker på HTTPS som vidundermedisin mot hacking og alt ondt på internett. Det er det ikke.
HTTPS gjør ikke dette:
- Skjuler navn på nettstedene du besøker
- Dette skyldes at domenet på nettstedet blir sendt via DNS (domenenavnstjeneste), som ikke er inne i HTTPS-tunnelen. Navnet på domenet sendes før sikker tilkobling er opprettet. En som tjuvtitter på trafikken kan underveis se navnet på nettstedet du skal til, men de kan ikke se innholdet i dataene som sendes. Her jobbes det stadig med forbedring av protokollene og det er en av de tingene det jobbes på
- Beskytte deg mot ondartede nettsteder
- HTTPS sikrer ikke at nettstedet selv er trygt. Bare fordi du kobler sikkert betyr ikke at de som driver nettstedet har gode hensikter. Man prøver å løse dette problemet med klarerte sertifikatmyndigheter, men systemet er ikke perfekt
- Tilbyr anonymitet
- HTTPS gjemmer ikke din fysiske plassering eller personlige identitet. Din personlige IP-adresse (adressen din på internett) er knyttet på utsiden av krypterte data, fordi Internett ikke ville vite hvor dataene skal sendes hvis IP-adressen var kryptert. Det skjuler heller ikke identiteten din til nettstedet du besøker. Nettstedet du besøker vet fortsatt alt om deg som det ville på en usikker forbindelse.
- Beskytter deg mot virus
- HTTPS er ikke et filter. Det er fullt mulig å motta virus og annen malware over en HTTPS-tilkobling. Hvis webserveren er infisert, eller du er på et ondartet nettsted som deler ut skadelig programvare, vil det bli sendt inn i HTTPS-strømmen, akkurat som alt annet. HTTPS forhindrer imidlertid at noen underveis klarer å injisere skadelig programvare i trafikken du har opprettet mot web-serveren
- Beskytter din PC mot hacking
- HTTPS er bare transportlaget og beskytter bare dataene mellom deg og web-server. HTTPS gir ingen beskyttelse for din egen datamaskin. Pass på skadelig programvare som overvåker trafikk på en av sidene av forbindelsen. Data kan komme på avveie før de blir sendt inn i den krypterte tunellen
- Nettleser kobler seg til web-server og sier: “Her er min public key og jeg trenger sikker forbindelse”.
- Web-server svarer: “OK, her er min public key”
- Nettleser oppretter en økt
- Økten krypteres med web-serverens public key
- Den krypterte økten sendes til web-serveren
- Web-server dekrypterer økten med sin egen private nøkkel
- Man oppretter en slags tunell og sender krypterte data gjennom tunellen
Klarer man å gjette disse nøklene så har man knekt krypteringen. Dagens raske datamaskiner klarer å gjette nøkler som man brukte 5-10 år siden ved å prøve alle mulige kombinasjoner. Hvis man ønsker å kryptere sterkt i dag, så vil alle verdens datamaskiner samlet bruke millioner av år på å knekke nøklene med de samme metodene. Det er ikke alt man trenger å kryptere sterkt. Sterkere kryptering krever lengre nøkler og man ønsker ikke å sløse båndbredde/tid på å sende veldig lange
HTTPS er kryptert trafikk mellom webserver og nettleser. Ved å kryptere trafikken setter man effektiv stopper for at noen underveis kan tjuvtitte på sensitive opplysninger som brukernavn, passord, personopplysninger osv. Man bruker SSL-sertifikater for å kryptere HTTPS-trafikk. HTTPS er utvidelse av HTTP-standarden. S står for Secure.
SSL-sertifikat er sett av filer digitalt signert av en godkjent organisasjon eller selvsignerte filer. Det finnes flere algoritmer for kryptering og alle algoritmene baserer seg på såkalte nøkler, som er lange tall/bokstav kombinasjoner. Nøkler har en offenlig nøkkel og en hemmelig privat nøkkel. Den offentlige nøkkelen kan kun brukes til kryptering. Den private nøkkelen brukes til å pakke opp den krypterte meldingen.