Allt fler sajter använder SSL
Du har säkert sett att Google Chrome varnar för att en webbplats inte är säker. Google har skickat varningar i webbläsaren och varnar användarna när de besöker sajter som inte använder skyddad kommunikation. Men i april 2023 kom Google med ett nytt förtydligande: att SSL inte är en rankingsignal för att ranka bra i deras sökresultat. Men trots det är det bra att ha koll på vad SSL är för något.
Vad är skillnaden mellan HTTP och HTTPS med SSL
Anledningen är att många webbsajter fortfarande använder protokollet http (Hypertext Transfer Protocol ) istället för det säkra https för att utbyta information med en webbläsare.
HSTS står för HTTP Strict Transport Security. Det är en metod som används av webbplatser för att förklara att de bara ska nås via en säker anslutning (HTTPS). Om en webbplats deklarerar en HSTS-policy måste webbläsaren vägra alla HTTP-anslutningar och förhindra användare från att acceptera osäkra SSL-certifikat. HSTS stöds för närvarande av de flesta stora webbläsare (endast vissa mobila webbläsare misslyckas med att använda det).
HTTP Strict Transport Security
HTTP Strict Transport Security definierades som en webbsäkerhetsstandard 2012 i RFC 6797. Om man använder det okrypterade protokollet innebär det att kommunikationen kan avlyssnas. Säkerhetsfunktionaliteten förhindrar man-in-the-Middle (MITM)-attacker genom att aktivera ett ytterligare säkerhetslager mellan webbserver och enheter. Det primära målet med att skapa denna standard var att hjälpa till att undvika MITM-attacker som använder SSL-stripping. Det sistnämnda är en teknik där en angripare tvingar webbläsaren att ansluta till en webbplats med HTTP så att de kan sniffa paket och avlyssna eller ändra känslig information. HSTS är också en bra metod för att skydda dig själv mot cookie-hijacking.
Vad är SSL och varför behöver din webbplats det?
SSL (Secure Sockets Layer) är ett protokoll som ursprungligen utvecklats av Netscape för att säkra dataöverföring mellan en klient och en server. Standarden antogs av Microsoft Internet Explorer och andra ledande webbläsare. Det är en säker metod att få data i krypterat format över webben, och används ofta i e-handelssajter och för inköp med kreditkort.
Många webbplatser använder fortfarande Hypertext Transfer Protocol (http) för att utbyta information med en webbläsare, även om den data som skickas fram och tillbaka är synlig för dem som vet hur man kan avlyssna den. Webbplatser som ber om känsliga uppgifter som kreditkortsnummer använder oftast Hypertext Transfer Protocol Secure (https) eftersom protokollet krypterar, skyddar och autentiserar kommunikation mellan webbplatsen och användarens webbläsare.
Att man har SSL-certifikat betyder inte att sajten är säker
SSL innebär inte med automatik att en webbsajt eller mobilapp är helt säker. Det finns nätverksbaserade attacker där angripare kan försöka använda giltiga certifikat som utfärdats av oseriösa certifikatutfärdare. Det är alltså nödvändigt att använda en seriös certifikatutfärdare (Certification Authority). Enligt ett forskningsdokument visade man hur bankappar kunde hackas över SSL.
Exempel på tjänster som erbjuder SSL
- SSL by default
- Lets encrypt
- Cloudflare
- Digicert
- Sectigo
- Amazon
- Cpanel
- Rapidssl
- Godaddy
- Loopia
För dig som ansvarar för en webbplats
För den som har en webbplats är det viktigt att utöver certifikaten se till att verktyg som Google Search Console, Google Analytics och Google Adwords också ändras så man följer https.
Om författaren
Daniel Larsson började jobba professionellt med webben 1994. Han är utbildad civilekonom inom marknadsföring och har jobbat +20 år som senior SEO-specialist. Daniel har arbetat inhouse som webbansvarig och marknadsansvarig. Han har på byråsidan varit konsult för flera av Sveriges största varumärken och suttit med i juryn för Nordic Search Awards och European Search Awards.