Hvad er SSL?
SSL (Secure Socket Layer) er en sikkerhedsteknologi, der etablerer en krypteret forbindelse mellem servere og klienter. Servere, i dette tilfælde, er normalt webservere (som "huser" websites) og klienter er browsere som Chrome, Safari, Mozilla og Microsoft Edge. Et andet eksempel ville være mailservere og mailklienter (i dette tilfælde, servere "huser" emails og klienter er emailtjenesteudbydere, for eksempel, Gmail, Yahoo Mail og Outlook).
SSL-teknologi er standard og muliggør sikker overførsel af følsomme oplysninger, såsom personnumre, loginoplysninger og kreditkort- eller multivalutakort oplysninger. Normalt, når data sendes mellem browsere eller webservere, er det i klartekst, hvilket gør det meget nemt for andre at opsnappe.
SSL kan også beskrives som en sikkerhedsprotokol. Da en protokol beskriver, hvordan en algoritme skal bruges, bestemmer SSL, hvad variablerne for forbindelsen og dataene, der overføres, kan eller ikke kan være.
Hvordan fungerer SSL?
Alle browsere kan interagere med sikrede webservere via SSL-protokollen. Et SSL-certifikat er dog nødvendigt for at sikre, at en sikker forbindelse etableres. Når en hjemmeside har et gyldigt SSL-certifikat, siges det at være "SSL aktiveret". Den vil have et låseikon lige før URL'en, en grøn adresselinje og/eller vil begynde med HTTPS i stedet for HTTP.
Det er vigtigt at bemærke, at efter SSL version 3 blev den eksisterende protokol erstattet af TLS (Transport Layer Security) protokollen. Så selvom vi vil diskutere SSL og kontinuerligt referere til det gennem denne artikel, vil vi også diskutere TLS.
Både SSL og TLS kombinerer autentificering og kryptering. Kommunikationsprocessen begynder normalt med, at en klient kontakter en server ved at sende en anmodning. Serveren svarer derefter. Med SSL er den eneste part, der har brug for bevis for autentificering, klienten. Med TLS har både klienten og serveren brug for bevis for autentificering.
Bevis for autentificering involverer brugen af en krypteringsnøgle, som er det element, der faktisk beskytter transmissioner, når en forbindelse er blevet etableret.
Med SSL skal brugeren have et gyldigt certifikat for at validere enten klienten eller serveren. Certifikatet indeholder en adresse, digital signatur og en gyldighedsperiode. Certifikatet udstedes af Certificate Authorities (CA) som Lets Encrypt. Vi vil se på CAs lidt senere.
Når en klient kontakter serveren, præsenterer den (serveren) et certifikat. Serveren sender derefter certifikatdetaljer til klienterne og bekræfter detaljerne i klientens certifikat med den udstedende [Certificate Authority]. Eventuelle uoverensstemmelser mellem klientcertifikatdetaljerne og de detaljer, som [Certificate Authority] leverer, resulterer i ingen forbindelse.
Kundens certifikat skal også være aktuelt, og kunden skal også kontrollere detaljerne i serverens certifikat, før en sikker forbindelse etableres.
Grundlæggende, når vi taler om begrebet "SSL aktiveret," taler vi kun om, hvorvidt adressen, der bruges af enten klienten eller serveren, har et gyldigt certifikat. Brugergodkendelse er et andet sikkerhedsniveau, der anvender metoder som brugernavne og adgangskoder.
Certificeringsprocessen for indenlandske brugere håndteres normalt af brugerens browser. For servere er der brug for en certifikatdatabase for at få certificering. Certifikatet skal derefter downloades til databasen og aktiveres.
Hvor er SSL-certifikatet placeret?
SSL-certifikatkontrolprocessen er indlejret i klientens browser eller i serverens software.
Certificeringsmyndigheder
Vi nævnte tidligere, at certifikater bruges til at autentificere klienter og servere og udstedes af Certification Authorities (CAs). CAs accepterer certifikatansøgninger, autentificerer ansøgningerne, udsteder certifikater og fører optegnelser over enhver information vedrørende udstedte certifikater.
Certifikater sikrer, at folk ikke udgiver sig for at være nogen, de ikke er. CAs verificerer ansøgerens identitet ved digitalt at underskrive ansøgerens certifikat. Den digitale signatur bruges derefter til at fastslå brugerens eller serverens ægthed.
Hvem er nogle certificeringsmyndigheder, du kan holde øje med?
Let’s Encrypt - Dette er en open source CA. At få et Domain Validation certifikat er helt gratis, ligesom fornyelse. Du kan også ansøge om flere certifikater. Det er en god mulighed for folk med et stramt budget.
Symantec - Denne CA har mange funktioner, men er lidt dyr. Du kan ansøge om mindst fem forskellige certifikater.
Geotrust - Denne CA har mellempriser og inkluderer funktioner såsom gratis genudstedelse af certifikat og ubegrænsede serverlicenser.
Comodo - Denne CA tilbyder en gratis prøveperiode for premium SSL-certifikater (Domain Validation). SSL-certifikater inkluderer en garanti.
Digicert - Denne, ligesom Geotrust, har mellempriser og inkluderer en garanti på $1 million ud over gratis genudstedelser og et logo, som du kan bruge på din side. Fem forskellige certifikater er tilgængelige.
Hvorfor har du brug for et SSL-certifikat på din hjemmeside?
Nu forstår du konceptet med SSL, men du spekulerer måske stadig på, hvorfor du skal gå igennem besværet med at få et SSL-certifikat.
Google bevæger sig mod en mere sikker web ved kraftigt at anbefale, at sider vedtager HTTPS-kryptering. I juli 2018 vil Google, med udgivelsen af Chrome 68, markere alle HTTP-sider som "ikke sikker":
Eksempel fra Digicert.
Sikre online betalinger
Hvis din hjemmeside accepterer kreditbetalinger og/eller gemmer kundens finansielle oplysninger, bør du bruge SSL for at beskytte dine brugere mod opsnappet information. Desuden er det meget sandsynligt, at hostingudbydere og kreditkortselskaber vil gøre SSL til et krav.
Brugertillid
Vi nævnte, at et websted, der bruger SSL, vil have et låseikon lige før URL'en, en grøn bjælke eller bruge HTTPS i stedet for HTTP. Disse signaler illustrerer, at dit websted er sikkert og øger brugernes tillid til dit websted.
Hurtigere indlæsningstider
Websteder, der bruger HTTPS, indlæses 83% hurtigere end dem, der bruger HTTP. Du kan lave din egen test her.
Du vil dog være nødt til at bruge et privat vindue for at forhindre billedcaching.
Sikring af loginprocessen
En SSL vil give dig mulighed for at beskytte dine brugeres personlige oplysninger, samt enhver data de måtte indtaste, mens de bruger din side.
Bedre placeringer i søgemaskiner
Websteder, der bruger SSL-certifikater, har sandsynligvis en højere placering, da Google bekræftede i 2014, at HTTPS var et af rangeringssignalerne. Andre søgemaskiner inkluderede også webstedssikkerhed i deres rangeringsalgoritme.
Sådan aktiveres SSL for WordPress
Vi har skrevet en dedikeret guide til at hjælpe dig med at installere SSL til din WordPress-side.
Du kan få et gratis SSL-certifikat, hvis WordPress er dit CMS, og hvis du bruger et hostingfirma, der tilbyder gratis SSL-certifikater. Her er nogle populære domænehostingudbydere, der tilbyder gratis SSL-certifikater:
Siteground
Dreamhost
GreenGeeks
Bluehost
InMotion Hosting
WPEngine
Liquid Web
Bemærk: De fleste gratis SSL-certifikater udstedes af Let’s Encrypt.
Hvis du ikke har installeret WordPress på dit nyindkøbte domæne:
Hvis din webhostingudbyder bruger cPanel, skal du gå til din cPanel og finde Top Application og klikke på WordPress:
For at installere WordPress på dit nye domæne, klik på Installér:
Indstil protokollen til enten https:// eller https://www
Aktivering af SSL, hvis du allerede har WordPress
Hvis du allerede har installeret WordPress og er hostet af en af de førnævnte virksomheder, kan du aktivere dit SSL-certifikat fra dit hosting-dashboard.
Lad os se på, hvordan man aktiverer SSL på et WordPress-websted hostet af Inmotion Hosting som et eksempel.
Få adgang til dit hosting-dashboard gennem My Account på CPanel og klik på Manage Free Basic SSL:
Tænd for Aktiver Gratis SSL:
Hvis du allerede har installeret WordPress og har brug for at aktivere SSL:
Du skal konfigurere WordPress, så dine URL'er læser HTTPS i stedet for HTTP. For at gøre dette, installer og aktiver Really Simple SSL plugin.
Når du har aktiveret det, vil du få meddelelser om at tjekke for:
- HTTP-referencer i dine .css- og .js-filer. Du bør ændre enhver HTTP:// til //.
- Billeder, stylesheets eller scripts fra et domæne uden et SSL-certifikat. Du bør fjerne disse eller flytte dem til din egen server. Du kan også gå til Really Simple SSL indstillinger placeret i Plugins:
Din konfigurationsopsætning bør blive opdaget:
Under Really Simple SSL-indstillinger, skal følgende kontrolleres:
Du skal muligvis tage en sikkerhedskopi af dit site, før du aktiverer SSL. For at gøre dette kan du installere og aktivere et plugin kaldet UpDraftPlus. Det har en meget brugervenlig UX, der vil guide dig, mens du tager en sikkerhedskopi af dit site.
Når du har sikkerhedskopieret dit site, skal du vende tilbage til Really Simple SSL og klikke på "gå videre og aktiver SSL".
Du bør se en meddelelse, der lyder “SSL aktiveret”. Din WordPress-side bør nu begynde med HTTPS.
Sådan aktiveres SSL for Wix
Med Wix får du et gratis SSL-certifikat.
For at aktivere HTTPS/SSL:
Få adgang til dit dashboard og rul ned mod bunden af siden, indtil du ser HTTPS. Klik derefter på "Administrer":
Klik på “Aktivér HTTPS” (skærmbilledet viser “Deaktiver”, da det allerede er blevet aktiveret) efterfulgt af “fortsæt”:
Sådan aktiveres SSL for Shopify
Shopify tilbyder gratis 256-bit SSL-certifikater til websider, data og indhold på alle berettigede Shopify-sider. Faktisk er SSL tilgængelig på hele siden.
Shopify's SSL-certifikater er normalt aktiveret som standard for butikkens checkout og for indhold hostet på .myshopify.com domæner.
Når du aktiverer SSL, kan du bemærke, at du skal indtaste en HTTPS-adresse (hvis du bruger WordPress som et CMS). Du undrer dig måske over, hvordan du får din URL til at begynde med HTTPS, hvis den stadig starter med HTTP.
Desuden, når du tilføjer et SSL-certifikat, skal du sikre, at alle dine HTTP-URL'er omdirigerer til deres HTTPS-versioner.
Lad os tage et øjeblik til at se på et koncept, vi vil kalde HTTPS-omdirigering.
Hvorfor er Omdirigering til HTTPS Så Vigtigt for din Hjemmeside?
For et par år siden, om din hjemmeside brugte HTTPS eller HTTP forbindelse, det betød virkelig ikke så meget. Faktisk var hovedmålet at facilitere trafik og det var alt. Men da vi er i en moderne verden, har tingene ændret sig lidt. Google, i juli 2018, inkluderede HTTPS som en af rangordningsbestemmelserne.
Dette er en virkelig dårlig nyhed for din hjemmeside, hvis du ikke har skiftet fra den sædvanlige HTTP til den krypterede HTTPS. Omdirigering til HTTPS har en hel del betydning for din hjemmeside og i sidste ende din virksomhed som helhed. Nedenfor er nogle af fordelene, lad os tage et kig!
1. HTTP eller HTTPS duplikat problem
Minus redirect til HTTPS, opfatter søgemaskinerne din hjemmeside som flere hjemmesider med duplikeret indhold. Din https://www.example.com kan behandles af Google som en anden URL end http://www.example.com.
Her er hvad Google har at sige, “Den foretrukne domæne er den, du gerne vil have brugt til at indeksere dit websteds sider (nogle gange refereres dette til som det kanoniske domæne). Links kan pege på dit websted ved hjælp af både www og ikke-www versioner af URL'en (for eksempel, http://www.example.com og http://example.com). Den foretrukne domæne er den version, du vil have brugt til dit websted i søgeresultaterne.”
2. Høj sikkerhed for de data, der overføres
TLS/SSL-certifikatet giver maksimal kryptering til dine data. Dette forhindrer hackere i at få adgang til din virksomheds følsomme oplysninger. Det er unødvendigt at sige, at det faktisk er at omdirigere til HTTPS, der har gjort online transaktioner mulige.
3. Øger din hjemmesides integritet
Alle vil bare være forbundet med sikre ting. I modsætning til tidligere advarer de fleste browsere i øjeblikket brugere, når de forsøger at besøge en hjemmeside, som ikke er krypteret. Dette ville skræmme dem væk, og det vil ikke vare længe, før du kan begynde at tælle tab.
Sådan omdirigeres til HTTPS
For at dine URL'er omdirigeres til deres HTTPS-versioner, skal du redigere .htaccess (Hypertext Access) filen. Lad os se lidt nærmere på dette
.htaccess-filen
.htaccess-filen kan defineres som en konfigurationsfil, der styrer mappen og undermapperne, hvor den er placeret på serveren.
.htaccess-filen indeholder direktiver om, hvordan serveren skal opføre sig under visse omstændigheder; for eksempel, hvad der skal gøres, når URL'er skal omskrives, når der kræves en adgangskode for at få adgang til den mappe, hvor .htaccess-filen befinder sig, eller når .htaccess-filen omdirigerer brugere til en anden indeksfil. Hvert af disse eksempler påvirker din hjemmesides funktion.
Du kan redigere .htaccess-filen på din computer og bruge en FTP-klient til at uploade den til en computer eller få adgang til filen via din tjenesteudbyders cPanel.
Bemærk, at du kan omdirigere al webtrafik til et specifikt domæne eller mappe.
.htaccess regler
Du skal overholde nogle regler, når du redigerer .htaccess-filen. Her er nogle af disse regler:
- Filen skal kun navngives “.htaccess” - bemærk punktummet lige før “h”. Der er ingen .txt eller .htm filtypenavn.
På dette tidspunkt vil vi fokusere på den særlige regel, når vi udfører forskellige typer af "redirects":
1. Omdirigering af en enkelt side:
Omdiriger 301 /pagename.php http://www.domain.com/pagename.html:
2. Omdirigering af hele siden til en undermappe
Omdiriger 301 http://www.domain.com/subfolder/
3. Omdirigering af en filendelse, mens sidenavnet bevares
Et eksempel her ville være at ønske at bruge en .html-udvidelse til at bruge det samme filnavn, men bruge .php-udvidelsen:
RedirectMatch 301 (.*).html$ http://www.domain.com$1.php
4. Omdirigering af en hel side eller domæne til en ny
Omdiriger 301 /http://www.domain.com/
5. Omdirigering af en undermappe til en anden hjemmeside
Omdiriger 301 /subfolder http://www.domain.com/
6. Brug af omskrivning til at omdirigere fra et gammelt domæne til et nyt domæne
RewriteEngine on
RewriteBase /
RewriteRule (.*) http://www.newdomain.com/$1 [R=301,L]
7. Brug af omskrivning til at omdirigere et domæne til en www. placering inden for en undermappe
RewriteEngine on
RewriteBase /
Rewritecond % {HTTP_HOST} ^domain.com [NC]
RewriteRule ^(.*)$ http://www.domain.com/directory/index.html [R=301,NC]
8. Brug af omskrivning til at omdirigere fra et ikke-www. til et www. subdomæne
RewriteEngine on
RewriteBase /
rewritecond % {http_host} ^domain.com [nc]
Omskrivningsregel ^(.*)$ http://www.domain.com/$1 [r=301,nc]
9. Brug af omskrivning til at omdirigere fra et gammelt domæne med en undermappe til et nyt domæne uden en undermappe, men som inkluderer den fulde sti og forespørgselsstreng
Indstillinger +FollowSymLinks
RewriteEngine on
Rewritecond % {REQUEST_URI} ^/undermappe/(.*)$
Omskrivningsregel ^(.*) http://www.katcode.com %1 [R=302,NC]
10. Brug af omskrivning til at omdirigere fra et gammelt domæne til et nyt domæne, der inkluderer den fulde sti og forespørgselsstreng
Indstillinger +FollowSymLinks
RewriteEngine on
Omskrivningsregel ^(.*) http://www.newdomain.com %{REQUEST_URI} [R=302,NC]
11. Omdirigering af URL'er med forespørgselsparametre og placering af filer i en undermappe
Et eksempel her ville være:
Original URL: http://www.website.com/sub-dir/index.php?id=3
Ny URL: http://www.website.com/path-to-new-location/
RewriteEngine on
Omskrivningsbetingelse % {QUERY_STRING} id=3
RewriteRule ^sub-dir/index.php$ /path-to-new-location/? [L,R=301]
12. Omskrivning og omdirigering af URL'er med forespørgselsparametre med filer placeret i en rodmappe
Et eksempel her ville være:
Original URL: http://www.website.com/index.php?id=3
Ny URL: http://www.website.com/path-to-new-location/
RewriteEngine on
Omskrivningsbetingelse % {QUERY_STRING} id=3
RewriteRule ^index.php$ /sti-til-ny-placering/? [L,R=301]
Dette er blot nogle af de almindelige regler.
Blandet indhold
Som du måske har set med .htaccess-reglerne, hvis de ikke er godt implementeret, kan du ende med det, vi kalder "blandet indhold".
For at forstå begrebet blandet indhold, skal du forstå, hvordan søgeresultater leveres. Når en browser besøger en webside, anmoder den om en HTML-ressource. Webserveren returnerer HTML-indholdet, som analyseres og præsenteres som søgeresultater. Da én HTML-fil ikke er nok til at vise en hel komplet side, skal HTML-filen inkludere referencer til andre ressourcer (for eksempel billeder eller videoer, eller endda Javascript-filer). Ekstra ressourcer hentes ved hjælp af separate anmodninger.
Når HTML indlæses over en sikker HTTPS-forbindelse, men yderligere ressourcer (som de netop nævnte) indlæses over en usikker HTTP-forbindelse, har vi et [mixed content] scenarie. I disse tilfælde vil browsere vise advarsler for at vise en besøgende på websiden, at siden indeholder usikre ressourcer.
Ressourcer, der bruger usikre HTTP-forbindelser, bliver smuthuller for angreb (også kaldet "man-in-the-middle angreb"), hvor angriberen faktisk kan kontrollere hele websiden. Selv hvis advarslen gives til brugeren, er det normalt for sent, da ressourcerne allerede er blevet hentet, og sikkerheden på websiden allerede kompromitteret.
Desværre er det svært for webbrowsere at blokere blandet indhold uden at påvirke webstedets funktionalitet.
At rette fejl med blandet indhold bliver derfor den smarteste måde at undgå angreb på. Før vi overhovedet retter fejl med blandet indhold, skal vi dog forstå, hvordan de vises.
Browsere som Chrome vil markere en hjemmeside med blandet indhold som "ikke sikker". Brugerne kan se et billede som dette.
Firefox kan vise et billede som dette.
Desuden har Chrome en udvidelse kendt som HTTPS Mixed Content Locator. Du kan tilføje denne til din Chrome-browser for at kontrollere, om der vises noget for din hjemmeside. Du kan også bruge Chrome DevTools, hvis du vil se blandet indhold på en webside.
Løsning af fejl med blandet indhold i WordPress
Du kan bruge SSL Insecure Content Fixer plugin.
1. Gå til Indstillinger derefter SSL Usikkert Indhold. Dette vil konfigurere plugin-indstillingerne.
2. Vælg et indholdsfikseringsniveau.
3. Rul derefter ned til HTTPS-detekteringssektionen. Her vælger du, hvordan du vil detektere HTTPS-indhold på din side.
4. Brug WordPress-funktionen som standardindstilling.
5. Hvis du bruger andre webservere som Nginx, kan du vælge andre muligheder.
6. Klik på "Gem ændringer".
7. Du kan derefter kontrollere, om din side stadig viser nogen fejlmeddelelser om blandet indhold.
8. Hvis du stadig ser nogen fejl, skal du justere fix-niveauerne i plugin'et.
9. Du kan også arbejde med din udvikler for at rette fejl med blandet indhold.
Sådan udfører du en HTTPS-omdirigering på din WordPress-side
Hvis du bruger et CMS som WordPress, og ikke har nogen viden om almindelige open source-servere som Apache og Ningx, kan du få brug for at bruge en plugin som Easy HTTPS Redirection eller Really Simple
Almindelige problemer med HTTPS-omdirigering
Mens det at tage skridtet mod HTTPS er et rigtig godt træk, som vi har set, kan forkert implementering resultere i at stå på den forkerte side af Google. Lad os se på nogle ting, man skal gøre, når man udfører din HTTPS-omdirigering:
- Sørg for, at du indstiller HTTPS-versionen af siden som den foretrukne. Hvis du ikke gør det, vil du have to aktive versioner af din side, hvilket kan duplikere indhold, få søgemaskinebots til at udføre dobbelt arbejde og spilde dit søgemaskinecrawlbudget.
- Sørg for, at alle eksterne links til dit site peger på HTTPS-versionen af din URL. Hvis linkene peger på både HTTP- og HTTPS-versionerne, vil sociale signaler og linkværdi blive delt i to.
- Tilføj din HTTPS-sideversion til Google’s Search Console og Bing Webmaster Tools. For den førstnævnte skal du tilføje begge versioner og derefter indstille dit foretrukne domæne, som vi tidligere har diskuteret.
- Sørg for, at kanoniske tags peger på HTTPS URL-versionerne.
- Sørg for, at 301-omdirigeringen HTTP-URL-versioner peger på HTTPS-URL-versioner.
- Sørg for, at dit XML-sitemap inkluderer HTTPS URL-versionerne.
- Sørg for, at alle interne links peger på HTTPS URL-versionerne.
Det er afgørende, at SSL er aktiveret for at opnå høj webstedsikkerhed og brugertillid. Det vil få dine afvisningsprocenter til at falde betydeligt og endda hjælpe dig med at rangere højere. Processen med at aktivere SSL kan være lidt teknisk for nogle at gøre på egen hånd; hvis det er tilfældet, kan det være en hjælp at involvere en erfaren udvikler. At forstå det grundlæggende koncept er dog vigtigt.