Vær opmærksom på sikkerhedshullet i SSL-certifikatet

Fra juli 2018 markerer Google Chrome dit site som ”usikkert”, hvis du ikke har et SSL-certifikat installeret, så din hjemmeside kører på HTTPS i stedet for HTTP, som er det oprindelige format. S’et står for secure, og det er mere relevant end nogensinde før.

Desværre ligger alt fokusset på SSL-certifikater, mens mange overser det næste vigtige step: Opsætning af HSTS. Her gennemgår vi det væsentligste omkring begge dele. Til sidst finder du links til nogle brugbare tools, som kan gøre det nemmere for dig at gøre det rigtigt.

Mere end halvdelen af danskerne bruger Chrome

StatCounter viser fordelingen af browsere i Danmark

Kilde: StatCounter Global Stats

Ifølge Global Stats åbnes cirka hver anden hjemmeside gennem internetbrowseren Chrome. Cirka 56 % fra desktop og 45 % fra smartphone. Det betyder, at rigtig mange brugere, hvis de automatisk modtager version 68 af browseren, fra 1. juli 2018 vil opleve at blive mødt med mange flere advarsler om, at hjemmesiden, de er på vej ind på, er usikker.

Flygter dine besøgende, potentielle kunder?

Især for dig, der driver webshop, er det i allerhøjeste grad vigtigt at have installeret et SSL-certifikat til dit domæne. De færreste kunder har nemlig lyst til at give person- og betalingsoplysninger til en netbutik, der ikke er sikker.

Og det er med god grund: Uden SSL-certifikatet bliver de delte oplysninger nemlig ikke krypteret, og der er dermed mulighed for, at der kan ske phishing gennem en tredjemand, der har hægtet sig på forbindelsen mellem bruger og hjemmeside.

Et sikkerhedshul de færreste snakker om

Selvom SSL-certifikatet gør sit til at gøre forbindelsen mellem dit website og dine kunder mere sikker, er der fortsat et sikkerhedshul, som fordrer, at der skal mere til (nemlig HSTS, læs mere om det senere). Når du opsætter et SSL-certifikat, så dit domæne kommer over på en krypteret forbindelse (HTTPS i stedet for HTTP), opsætter du en 301 permanent redirect fra HTTP til HTTPS.

I viderestillingen fra HTTP til HTTPS er der et lille hul, som gør det muligt at hægte sig på udefra og pille ved det næste trin. En hacker vil kunne udnytte hullet til at strippe information om sessions-ID og cookies fra websitet – eller omdirigere viderestillingen til et phishing-site, der er opsat til at være en tro kopi af dit eget site.

Det er derfor ikke (aldrig) nok at overlade den krypterede forbindelse til en 301-redirect alene. Det er nødvendigt at lave en tilføjelse mere for at være sikker på, at sikkerheden er så god som muligt. Denne tilføjelse hedder HSTS.

Typer af SSL-certifikater

Hvis du slet ikke har skiftet fra http til HTTPS ved at installere et SSL-certifikat endnu, har du et lille stykke arbejde foran dig. Og når vi siger lille, så mener vi lille. Det er nemlig ikke (nødvendigvis) nogen stor videnskab at anskaffe sig og installere et SSL-certifikat.

De fleste hostingudbydere har en knap, du kan trykke på for at bestille et SSL-certifikat til dit domæne. Afhængigt af din hjemmesides størrelse, kompleksitet og formål, er der et par forskellige typer af certifikater. Det mest almindelige er et SD – single domain SSL, som dækker for et enkelt domæne, og som er tilgængeligt for alle domæner at få.

Derudover er der følgende almindelige muligheder:

MD – multiple domains, som dækker på samme måde som SD, men som gælder for op til 100 subdomæner.

EVSD – extended validation single domain, som giver en udvidet validering af både dit domæne, dens forbindelse og hvem din virksomhed er.

EVMD – extended validation multiple domains, som dækker ligesom EVSD blot for flere domæner.

Wildcard – dækker for ét TLD (top level domain) og alle dets subdomæner, altså ligesom MD bare uden begrænsning på antallet.

Med SD- og MD-certifikater er du sikret en certificering af, at forbindelsen til dit website er sikker. Farven på https:// i adresselinjen i din browser vil være grøn, hvilket fremhæver dets sikkerhed.

Eksempel på hjemmeside med almindeligt SSL

Med EVSD- og EVMD-certifikater bliver det desuden certificeret, hvem der står bag hjemmesiden. Det er den variant, man ser hos offentlige myndigheder, banker og andre store organisationer. Her vises navnet på virksomheden også i grønt.

Eksempel på hjemmeside med ekstra validering

Bliver din hjemmeside stemplet som usikker?

Fra 1. juli bliver det et krav fra Googles side, at dit domæne er SSL-certificeret gennem en troværdig SSL-certifikatudsteder. Ellers vil de, gennem deres populære browser, markere dit website som usikkert.

Hjemmeside uden korrekt SSL-certifikat

Denne advarsel kan nok afskrække de fleste almindelige forbrugere fra at benytte dit website. Det kan hurtigt komme til at koste mange dyre leads, når dine besøgende skynder sig at ”gå tilbage i sikkerhed” for så at vælge en af dine konkurrenter i søgeresultaterne.

Ud over at skræmme potentielle kunder væk, vil det også få en betydning for dine placeringer i søgeresultaterne. Det vil formodentlig have en direkte negativ indvirkning på dit domænes rank hos søgemaskinerne. Og det vil i hvert fald have en positiv betydning for dine konkurrenter, hvis deres hjemmesider er SSL-certificerede.

Vil du gerne have et decideret boost ud af dit arbejde med sikkerheden, så skal du sætte et par timers arbejde yderligere af. Ved at opsætte HSTS før dine konkurrenter, vil du formodentlig opleve et decideret boost, hvis din hjemmesides SEO i øvrigt er i orden. Du bør også gøre det for sikkerhedens skyld.

Opsætning af HSTS lukker sikkerhedshullet i SSL-forbindelse

Som vi beskrev længere oppe, findes der et sikkerhedshul i opsætningen af SSL-certifikater baseret på 301-redirects mellem http og https. Det sikkerhedshul kan dog lukkes med en forholdsvist beskeden indsats. Du kan nemlig implementere en såkaldt HSTS-opsætning på dit website.

HSTS – HTTP Strict Transport Security – er en serverindstilling, som tvinger din browser til at loade den sikre udgave af dit site – altså det, der ligger på https frem for det, der ligger på http. På den måde opstår sikkerhedshullet i omdirigeringen ikke, og risikoen for at nogen udefra vil kunne gøre noget vil være minimal.

Selvom du opsætter HSTS, vil en browser forsøge at indlæse siden via HTTP, første gang brugeren besøger domænet. Det gør den, fordi den ikke ved, at der er opsat HSTS (endnu). Denne problemstilling kan du dog afhjælpe ved at tilmelde din hjemmeside til HSTS pre-load listen.

HSTS pre-load listen

Ved at tilmelde din hjemmeside til Chromium-listen, vil de browsere, der anvender Chromium-listen, automatisk vide, at hjemmesiden skal tilgås gennem den sikre forbindelse. Det er blandt andet browserne Chrome, Firefox og Safari, der bruger den, ligesom browsere, der er bygget på Chromium, gør det.

Chromium-projektet indebærer blandt andet en open source browser, som en lang række browsere er baseret på – heriblandt Chrome, men også browsere som Samsung Internet og Opera er baseret på Chromium. Disse anvender, helt naturligt, også Chromium-listen til at etablere endnu sikrere sikre forbindelser, når brugerne forsøger at tilgå nye hjemmesider for første gang.

Sådan kommer du i gang med HTTPS og HSTS

Nu ved du, at det er vigtigt, at din hjemmeside bruger HTTPS (har et SSL-certifikat), og du ved, at det er en god idé også at implementere HSTS-indstillingen samt at blive en del af Chromium-listen. Men hvor skal du starte, og hvordan gør du?

Hvis du er godt med, når det gælder den mere tekniske opsætning af din hjemmeside, kan du godt selv gå i gang med at sætte det op. Ellers anbefaler vi, at du tager kontakt til dem, der har lavet din hjemmeside, din hjemmesideudbyder eller sådan nogle som os, afhængigt af hvilke aftaler du har i dag.

Hvis du vil gøre det selv:

1. Køb et SSL-certifikat hos din hosting-udbyder.

  • Du kan også bruge et gratis SSL-certifikat fra Let's Encrypt – bemærk, at det kræver, at du kan sætte noget op i din hjemmesides kode. Det kan også komme til at koste noget at bruge servicen på din hostingudbyders server, selvom det ikke er dem, der har udstedt certifikatet.

  • Hos nogle serviceudbydere er det et spørgsmål om et tryk på en knap for at installere SSL-certifikatet – meget nemt!

2. Sørg for at SSL-certifikatet er sat korrekt op. Det kan du gøre hos Global Signdu finder ders SSL-test her.

3. Find ud af hvilken type server, din hjemmeside er hostet på.

4. Find opsætningsvejledning til din servertype – brug fx Xolphin til det.

5. Test opsætningen af HSTS et par gange.

  • For at HSTS virker, skal SSL-certifikatet være installeret korrekt.

  • ALLE undersider på dit domæne skal være 301-redirected fra HTTP til HTTPS.

6. Når du er sikker på, at det virker, skal levetiden på HSTS-opsætningen sættes til 2 år.

7. Nu kan du tilmelde dit website til Chromium-listen, det gør du her. Det tager noget tid, før det slår i gennem.

Læs eventuelt dette blogindlæg fra Global Sign for at få en dybere forklaring på HSTS og opsætningen af dette.

Hvis du ikke vil gøre det selv:

Der er visse faldgruber ved at stå for hele opsætningen selv - du kan for eksempel lave en fejl i HSTS-opsætningen og udelukke dig selv fra din egen hjemmeside. 

Hos Efiware har vi styr på både SSL- og HSTS-opsætning. Du kan derfor trygt overlade opgaven til os.

Kontakt Efiware - William Ramaki

Kontakt os 

eller ring til os på 71 99 03 03