Gratis SSL til alle!

Webhusets webhotell leveres nå med gratis SSL. Dette gir alle besøkende den grønne hengelåsen i adressefeltet som viser at tilkoblingen er kryptert og sikker.

Sertifikatene utstedes av Let’s Encrypt, og er gyldige i 90 dager av gangen (fornyes automatisk ca. 14 dager før utløp). 

Slik kommer du i gang

Alle nye webhotell får SSL automatisk, klart til bruk ca en time etter at domenet er registrert eller flyttet til oss.

Har du et eksisterende webhotell hos oss, kan du følge disse stegene:

  1. Logg inn på kundesenteret og finn det aktuelle webhotellet.
  2. Under «Web» går til du «Sertifikat»
  3. Velg «Standard sertifikat» og trykk fortsett. Du veiledes så videre til installasjonen fullføres.

Etter at installasjonen er fullført, må du likevel tenke på to ting:

  1. Henter du informasjon fra eksterne URL-er, eller har hardkodet ressurser (f.eks. bilder, CSS) mot HTTP? Dette vil kanskje medføre at hengelåsen i adressefeltet ikke vises, eller at nettleseren nekter å hente ressursene via HTTP, når du besøker siden over HTTPS. For å løse dette kan du endre alle referanser til //, som vil tilpasse seg den gjeldende protokollen. Eksempelvis:
    <link rel="stylesheet" href="//maxcdn.bootstrapcdn.com/font-awesome/4.6.1/css/font-awesome.min.css">
  2. Vi anbefaler at man aktiverer viderekobling av besøkende fra HTTP til HTTPS. Dette kan du gjøre i kundesenteret. (OBS: Sjekk at alle deler av nettsiden fungerer over HTTPS før du gjør dette. Brukere av WordPress må f.eks. først endre side-URLen til å bruke HTTPS, ellers vil du kanskje ikke kunne logge inn i WordPress-kontrollpanelet.)

Hva er Let’s Encrypt?

Å kryptere all nett-trafikk har lenge vært ansett som å være et viktig sikkerhetsmessig mål, men det har vært noen viktige hindringer i veien for dette. Signerte sertifikater har inntil nylig kun vært å oppdrive mot en kostnad, og mange har vært uvillige til, eller har ikke prioritert å betale for dette.

Let’s Encrypt er den første non-profit sertifikatutstederen (Certificate Authority), og har en rekke store aktører i ryggen, f.eks. Cisco, Mozilla og Facebook. Let’s Encrypt ble lansert i April 2016, og har som mål å gjøre krypterte forbindelser til servere allestedsnærværende, ved å eliminere hindringene som tradisjonelt har stått i veien for dette.

Er gratis-sertifikater mindre sikre enn betalte sertifikater?

I prinsippet nei. Teknologien «under panseret» er den samme uavhengig av sertifikattypen. Betalte sertifikater kan imidlertid bety at besøkende opplever en økt tillitt (f.eks. ved hjelp av det veldig tydelige «grønne lyset» som medfølger et EV-sertifikat (som du bl.a. kan se her på webhuset.no), og er i tillegg dekket av en økonomisk garanti.

Hva vil skje med de tradisjonelle sertifikatutstederne?

Tradisjonelle sertifikatutstedere som Comodo, Symantec og GeoTrust har nok ganske sikkert begynt å merke at det har kommet en ny aktør på markedet. Det er imidlertid lite sannsynlig at disse kommer til å forsvinne. Let’s Encrypt har nemlig noen begrensninger, som gjør at de tradisjonelle utstederne fremdeles vil kunne ha et marked å betjene. Let’s Encrypt støtter eksempelvis ikke wildcard-sertifikater, heller ikke sertifikater med såkalt Extended Validation (EV).

Når bør man velge et kommersielt sertifikat?

EV-sertifikat

EV-sertifikater viser at nettstedet tilhører en verifisert organisasjon.

Så snart du skal utveksle sensitiv informasjon med dine besøkende bør du vurdere et kommersielt sertifikat. Betalingssertifikater (f.eks. EV) gir en høyere tillitt overfor besøkende, og tilbyr eksempelvis garantier på krypteringen. Garantien går ut på at dersom en sertifikatinnehaver, f.eks. eieren av en nettbutikk, viser seg å være uredelig, og en sluttbruker (kunden i nettbutikken) taper penger fordi sertifikatutstederen ikke validerte innehaveren ordentlig, vil utstederen kompensere sluttbrukeren.

EV-sertifikater gir dessuten også en viss beskyttelse mot phishing, i og med at den er validert på organisasjonsnivå – ikke bare på domenenivå. For å få firmanavnet i adresselinjen må man ha bevist for sertifikatutstederen at du er den reelle innehaveren av et firma. Dette er en av grunnene til at eksempelvis alle banker og finansielle institusjoner har et EV-sertifikat.

Hogne Vevle
Med bakgrunn fra kundeservice og teknisk er Hogne i dag en av våre utviklere.