Artikel top billede

Foto: Dan Jensen. (Foto: Dan Jensen)

Guide: Sådan gør du din hjemmeside sikker med HTTPS

HTTPS-kryptering bliver stadig mere populært i sikringen af fortrolig trafik mellem brugere og hjemmesider. Læs her, hvordan du selv kommer i gang med krypteringen på nettet.

Krypterede hjemmesider pibler frem på nettet i takt med, at spioner, internetkriminelle og andre lyssky snushaner for alvor er begyndt at stikke næserne i vores færden på world wide web.

Snageriet har senest fået Google til at melde ud, at søgeselskabet vil rangere krypterede sider højere i sine søgeresultater grundet et ønske om øget sikkerhed på nettet. Samtidig har alle it-giganterne i de seneste år bevæget sig mod at køre deres hjemmesider via den såkaldte HTTPS-protokol.

Kort fortalt benyttes HTTPS på sites, hvor der er udveksling af fortrolige oplysninger som brugernavne, passwords, kreditkortoplysninger. Det kunne eksempelvis være i webshops, i netbanken og hos din webmail-udbyder.

Kom selv i gang

Hvis du selv overvejer at kaste dig over HTTPS-kryptering til din hjemmeside for at styrke din sikkerhed, er der flere måder at angribe udfordringen på.

Seniorkonsulent og frontend-udvikler Jakob Løkke Madsen fra digitalbureauet Creuna forklarer, at HTTPS-implementeringen kræver to relativt simple skridt, før man er i gang:

Anskaffelse af et SSL/TLS-certifikat og dernæst installationen af certifikatet på din webserver.

Ved anskaffelsen af et SSL/TSL-certifikat er der mange forskellige muligheder. Man kan eksempelvis hente et gratis certifikat hos Rapid SSL, og man kan i den anden ende også ende med at betale flere tusinde kroner for Symantecs Verisign-certifikat.

"I sidste ende er anskaffelsen af det specifikke certifikat et spørgsmål om tillid til udbyderen. Eksempelvis køber man jo også sikringen af, at certifikatudstederen ikke bliver hacket, så din dekrypteringsnøgle havner i de forkerte hænder," forklarer Jakob Løkke Madsen.

Hos en udbyder som Verisign er der også forskellige certifikat-niveauer.

Det laveste niveau kræver blot en mailadresse, det midterste fordrer, at man kan fremvise sit pas, mens et firma med ønske om det højeste niveau af SSL/TLS-certifikater afkræves mere detaljerede oplysninger som virksomhedens regnskab og andre beviser på, at virksomheden rent faktisk eksisterer.

Mange teknologier - mange løsninger
Når SSL-/TLS-certifikatet er anskaffet, skal det installeres på webserveren, så det udfører sit hovedjob: At kryptere trafikken mellem din webserver og en besøgende browser.

"Hvordan certifikatet bliver installeret, kommer helt an på den webteknologi, som din virksomhed benytter sig af," forklarer Jakob Løkke Madsen.

Han fremhæver via et link, hvordan det kan gøres på Microsofts IIS (Internet Information Services), hvor IIS version 8 i det linkede eksempel kører på Windows Server 2012 og Windows 8.

Såfremt du sidder med IIS 7-teknologi, der kører på Windows Server 2008 og Windows 7, kan du finde inspiration i denne video, hvor brugeren genererer sit eget certifikat til HTTPS-krypteringen.

Skabelsen af sit eget krypteringscertifikat har dog den ulempe, at ingen browsere kender til det, hvorefter de besøgende brugere på dit website vil blive spurgt, om de har tillid til sikkerhedscertifikatet. Har de ikke tillid til certifikatet, vil de forsvinde fra din hjemmeside igen.

Hvis du benytter dig af andre webteknologier som eksempelvis Apache, er det gode råd at google sig frem til konkrete løsninger for, hvordan du får implementeret SSL/TLS-certifikatet. 

"Der er simpelthen så mange teknologier i spil, at det er umuligt at give en generel step-by-step-guide til, hvordan man installerer certifikatet på en virksomheds webserver," erkender Jakob Løkke Madsen.

Køb HTTPS i en boks

Du behøver dog ikke nødvendigvis at sidde og bøvle med certifikater og webservere selv.

"Hvis man har købt eller køber en standard-webshop, følger HTTPS-krypteringen automatisk med i mange tilfælde," forklarer Jakob Løkke Madsen.

Her nævner han blandt andre ScanNets webshop, hvor HTTPS-sikringen er en del af standardproduktet.

En anden og måske mere eksotisk løsning er at købe sig ind på et såkaldt CDN (Content Delivery Network), der kort fortalt er en server, som lægges ind mellem den besøgende browser og din egen webserver, som videresender al trafik til den indlagte server.

Den indlagte server præsenterer din hjemmeside, som den hele tiden holder øje med, så selv de mindste ændringer kommer med i denne "spejlede" version af din hjemmeside.

På den måde er der ingen browsere, der direkte besøger din hjemmeside, med mindre de kender dens IP-adresse. Når folk indtaster dit domænenavn, bliver de videresendt til den "spejlede" server.

Specifikt har Jakob Løkke Madsen selv erfaring med selskabet Cloudfares service, som præsenter en cached version af hans hjemmeside på selskabets egne webservere.

Da Cloudflare har forhandlet sig frem til en aftale hos diverse SSL/TLS-certifikat-udbydere, har Cloudflare-kunderne altså mulighed for at tilkøbe sig HTTPS-kryptering.

"Nogle mener dog ikke, at det er ægte HTTPS, da eksempelvis trafikken mellem min egen webserver og Cloudflares webserver jo ikke er krypteret," lyder det fra webudvikleren.

"HTTPS er kun basis-sikkerhed"

HTTPS er dog langtfra nok til at gøre hjemmesiden sikker for din egen virksomhed eller dine besøgende brugere.

Det fortæller områdedirektør Rasmus Kærsgaard Theede fra KMD, hvor han er ansvarlig for it-gigantens sikkerhed.

"SSL/TLS er i sig selv ikke lavet til at beskytte webserveren, og derfor er det ikke nok til at beskytte sig mod hackeres udnyttelse af sårbarheder, malware eller noget andet," siger KMD's sikkerhedschef.

Uden at ville gå i detaljer med sikkerheden hos KMD nævner Rasmus Kærsgaard Theede, at selskabet har opstillet flere forskellige sikringsværktøjer lige fra netværksovervågning til stresstests af selskabets egen hjemmeside og kundernes applikationer.

Også malware-angreb gør KMD en dyd ud af at blokere.

Eksempelvis bliver trafikken mod KMD's webservere stoppet allerede ved selskabets gateway for at blive dekrypteret, scannet for virus og siden krypteret igen, inden det kan blive sendt det sidste stykke vej ind mod selskabets webservere.

"HTTPS vil jeg betegne som basissikkerhed, når man sender fortrolige oplysninger over nettet. Men der skal altså flere og andre sikkerhedstiltag til," fastslår Rasmus Kærsgaard Theede.

Sådan kommer dit website sikkert til tops i Google-søgninger


Google lytter til cloud-kritik og tester HTTPS


Loading ikon