Hvad er SSL kryptering, og er det noget, du behøver på din hjemmeside?
Ja, i høj grad.
SSL er med til at sikre, at kommunikationen mellem en bruger og en hjemmeside foregår så sikkert som muligt når der udveksles data som f.eks. e-mails og betalingsoplysninger.
Den udbredte indførelse af krypteret internettrafik er sket lynhurtigt gennem de sidste 3-4 år, og det har kostet verdens internetbrugere svimlende summer at implementere SSL for såvel virksomheder som private.
Det startede med at være en option, som man kunne vælge til og fra, afhængig af hvilken type hjemmeside det drejede sig om. Det var længe mere en anbefaling end noget andet. Teknikken bliver nu imidlertid trukket ned over hovedet på os alle.
Selv de mindste hjemmesider og blogs hvor der ikke udveksles data på nogen måde, skal have SSL/HTTPS på siden hvis man ønsker at undgå irriterende og skræmmende advarsler om manglende hjemmesidesikkerhed.
Hvordan virker SSL?
SSL står for ”Secure Sockets Layer”, og er en teknologi/sikkerhedsprotokol, der bruges til at etablere en sikker, krypteret forbindelse mellem en server og en browser. Dertil kræves et SSL certifikat som ofte omtales som SSL, HTTPS eller kryptering. Begreberne bruges lidt i flæng, men betyder det samme.
I modsætning til den kryptering vi ofte støder på, når vi arbejder med computer filer, er der her ikke tale om en egentlig kryptering af selve hjemmesiden.
SSL krypteringen er derfor heller ikke noget, der beskytter hjemmesidens besøgende mod at få virus og andet godt, når hjemmesiden besøges. Her overtager sikkerheden på hjemmesidens server og brugerens lokale antivirus, firewall, etc.
Formålet med SSL er, at uvedkommende ikke skal kunne opsnappe personfølsomme data såsom:
- Kreditkort data
- Passwords
- Persondata
- Andre personfølsomme data
Man kan se, om en side er sikret med SSL ved, at HTTP delen af URLén/webadressen er erstattet med HTTPS. Udover det ekstra ”S” får man tilføjet en lille hængelås foran web-adressen. Hængelåsens design kan variere fra browser til browser, men vil oftest være grøn eller sort.
I takt med at søgemaskinerne lægger mere vægt på, om en side har SSL eller ej, er det også blevet almindeligt, at browseren kommer med en advarsel, hvis siden ikke er sikker. Det er kommet så vidt, at man nogle gange ganske enkelt ikke kan komme ind på en side, der ikke er krypteret.
Også dette varierer. Oftest bliver man “kun” bedt om at acceptere risikoen med et flueben. Men hvis man ikke er så internet vandt, kan det såmænd være skræmmende nok.
Disse advarsler vil altså med sikkerhed afholde mange fra at fortsætte ind på hjemmesiden. Derfor er der efterhånden ingen vej uden om. Især ikke hvis man er erhvervsdrivende og ønsker at skabe opmærksomhed og omsætning via hjemmesiden.
Det er værd at bemærke, at et SSL certifikat ikke automatisk beskytter alle dele af en hjemmeside. Hver enkelt side eller indlæg på dit site er i princippet en selvstændig hjemmeside. Der kan derfor sagtens være enkelte sider der ikke er sikre, selvom andre er det.
Det er altså ikke nok, at forsiden er sikker og det er hjemmesideejerens opgave at sikre sig, at hver enkelt side eller indlæg er beskyttet.
Hvordan får man så SSL på sin hjemmeside?
Man kommer i gang med SSL ved, at bestille et betalt eller gratis SSL certifikat ved sit web-hotel. Certifikatet kan også købes direkte ved en certifikatudbyder, men i de fleste tilfælde vil man bestille og aktivere certifikatet fra web-hotellets kontrolpanel.
Der kan være fordele ved at købe et SSL certifikat, ligesom der kan være situationer, hvor et gratis certifikat ikke er godt nok. Men for langt de fleste er en gratis HTTPS løsning tilstrækkeligt.
De fleste webhoteller tilbyder den helt gratis løsning fra “Let´s Encrypt”. Da certifikatet er gratis, skal man nogle gange finde funktionen udenfor webshop området, hvor man køber de betalte certifikater.
Jeg viser herunder hvor man finder det ved Simply (tidl. UnoEuro), som jeg bruger til de fleste af mine egne (Heriblandt denne side) og mine kunders hjemmesider. Her findes “Let’s Encrypt” muligheden i “Website” området under HTTPS beskyttelse.
Tips til SSL-ombygningen:
- Download siden og lav ændringerne lokalt
- Flyt siden til et staging site under arbejdet
- Installér et “under vedligeholdelse” plugin hvis du gør det mens siden er online.
Vigtigt!
Det første du skal gøre, når certifikatet er bestilt, er at lave to vigtige ændringer i WordPress kontrolpanelet. Under indstillinger > generelt skal felterne, som vist herunder, ændres til at indeholde HTTPS i web-adressen. Når det er ændret, skal du opdatere siden.
Denne opdatering vil gøre, at du bliver smidt ud af WordPress. Det sker fordi, at din side nu har en ny adresse, og systemet kræver derfor, at du logger ind igen. Vær opmærksom på, at der godt kan gå nogle minutter, før tingene hænger sammen igen.
http > https
Med mindre der er tale om en helt ny hjemmeside, er det nu meget vigtigt, at du sikrer dig at der ikke opstår to identiske hjemmesider. Det vil der gøre hvis man stadig kan tilgå hjemmesiden via HTTP.
Det burde ikke være et problem, men det skal kontrolleres for en sikkerheds skyld.
Det er heldigvis let at kontrollere. Hvis du indtaster din fulde webadresse med HTTP bør du automatisk blive dirigeret videre til samme web-adresse, med HTTPS i starten.
Hvis du derimod kan komme ind på din side med HTTP i adressen, så mangler der en re-direct, og indtil det udbedres vil Google se og registrere to sider: Det betyder dobbelt indhold, hvilket er noget rigtig skidt.
Opdatér Google Search Console og Google Analytics
Ligeledes er det væsentligt at opdatere den primære webadresse i ovennævnte værktøjer, så Google ved, hvordan de skal håndtere dit domæne.
Når det ikke virker
Når man vælger at få SSL på siden, kan det godt give lidt grå hår, hvis man ikke har den nødvendige viden. Men i det følgende får du lidt tips og inspiration til hvordan det kan gøres lettest muligt.
Mine tips i denne artikel er ret overordnede, og jeg vil følge op på denne artikel med en mere detaljeret video-tutorial på et senere tidspunkt.
Hvis du vælger selv at tage kampen på med SSL, bør du tage en eller flere backups af siden, inden du går i gang. Hvis siden er online, er det også en god ide at gennemføre overgangen til SSL udenfor den generelle “besøgstid”.
“Ikke sikker”
Når der er sider som ikke får hængelåsen eller har en “ikke sikker” advarsel, skal man i gang med lidt detektivarbejde. Her begynder det for alvor at blive lidt nørdet, og afhængig af dine evner på området, kan det muligvis være en god ide at få lidt hjælp til SSL integrationen.
Selvom det ikke er så svært, er det stadig et større indgreb. Hvis det ikke går helt som planlagt, risikerer man at lægge siden ned, eller helt at miste adgangen til WordPress kontrolpanelet. Man skal så i gang med at fejlfinde inde i de mørkere kroge WordPress.
Tjek derfor din statistik før du går i gang og find et tidspunkt med få besøgende til at gøre arbejdet.
TIP:
Hvis du er lidt usikker samtidig med at din side helst ikke må være offline for længe kan du evt. øve dig først. Et par muligheder er at:
- Lave en test side på et underdomæne. Vær her opmærksom på at underdomænet ligger side om side med din rigtige hjemmeside. Dette er altså ikke 100% uden risiko.
- Købe et domæne og et webhotel hvor du kan teste processen risikofrit. Det kan have mange andre fordele at have en lukket test side. De ca. 3-400 kr. det koster at oprette et domæne og en dummy side ved f.eks. Simply (tidl. UnoEuro), kan hurtigt være givet godt ud.
Hvad er problemet?
Problemet kan skyldes mange ting, men et godt sted at starte efterforskningen er, at bruge en gratis online service eller udviklingsværktøjerne i din browser.
Det mindst nørdede af de to forslag er, at besøge siden “WhyNoPadlock.com”. Her kan du indsætte den URL der driller og få en oversigt over mulige årsager til den manglende hængelås. Her vil du også kunne se, at der kan være problemer, som dog ikke er alvorlige nok til at koste hængelåsen.
Blandet indhold (Mixed Content)
I langt de fleste tilfælde er problemet, det man kalder blandet indhold, eller mixed content som det vil hedde på Engelsk i de forskellige værktøjer. Det betyder, at der findes “ikke HTTPS” elementer på siden. Meget ofte er fejlen, at billeder leveres uden brug af HTTPS.
Billeder:
Hvis der kun er problemer med enkelte sider, kan man dermed udelukke billeder, der gentager sig på alle sider. Det kunne være gennemgående elementer som:
- Logo
- Baggrundsgrafik
- Billed ikoner
Der findes flere gode og gratis værktøjer, der kan hjælpe dig med, at finde de billeder der giver problemer. Bedst er nok udviklingsdelen af Google´s Chrome browser eller Firefox.
Hvis du højreklikker et sted på skærmen og vælger “inspicér element”, åbnes en samling formidable hjemmesideværktøjer. Øverst i billedet finder du en fane der hedder konsol/eller console. Hvis du åbner den, får du en liste over de billeder, der måtte skabe problemer.
En anden løsning er at bruge en browserudvidelse, som jeg vil vende tilbage til i en anden artikel. Ulempen er, at den skal findes og installeres, hvorimod din browsers værktøjer dels er bedre og samtidig en del af programmet. Men hvis du har godt styr på at finde udvidelser til din browser, er det en udmærket metode.
Løsningen
Når du har fundet et HTTP element, kan du, afhængig af hvordan din side er bygget, manuelt erstatte HTTP med HTTPS i linket. Alternativt kan du slette billedet, opdatere siden og indsætte det samme billede igen.
Andre gængse fejlkilder
Synderen kan også være ting som:
- Knapper
- Interne tekst links
- Menupunkter
Et ekstra tip til dig der har godt styr på hjemmesiden:
Interne links på en hjemmeside kan opbygges på to måder:
- Absolutte links:
- Ex: /public_html/wp-content/uploads/2015/02/billede.jpg
- Relative links:
- Ex: /public_html/wp-content/uploads/2015/02/billede.jpg
Begge typer kan bruges og fungerer på samme måde. Mht. SSL implementering, er det dog lettere at arbejde med relative links, da HTTPS delen indsættes automatisk når browseren læser HTML koden.
Hvad koster det?
Som antydet i starten findes der flere slags SSL certificater. De fås i forskellige krypteringskvaliteter og prisniveauer, men til den mere almindelige hjemmeside, er et gratis certifikat tilstrækkeligt.
Hvad der til gengæld kan koste tid og penge, er arbejdet med at etablere certifikatet. Her mener jeg primært etablerede websites med mange sider eller indlæg. Ved en helt ny side koster det måske sammenlagt 1-2 timers arbejde, men det kan være ret tidkrævende at få SSL integreret på ældre sites med mange sider og indlæg.
Ikke mindst, kan SSL udvidelsen medføre en midlertidig ranking-tilbagegang og dermed evt. økonomisk tab. Årsagen er, at alle sider faktisk får en helt ny URL ved at HTTP erstattes af HTTPS. Dog ved Google jo godt, hvad der foregår, og hvis man får lavet korrekte viderestillinger, og opdaterer Google Webmaster Tools (Search Console), burde det hele gå rimeligt smertefrit. Jeg vil dog anbefale, at man forbereder sig godt, før man kaster sig ud i det.
SSL og SEO
Google holder, som altid, kortene tæt ind til kroppen for, at skjule hvordan de vurderer en sides placering i søgeresultaterne for dermed at modarbejde SEO spekulation.
Det har dog længe været kendt, at SSL er en ranking-faktor på søgemaskinerne. Den reelle betydning er svær at blive klog på, nu hvor det er blevet så udbredt, at det nærmest er en selvfølge.
Min personlige teori er, at hvor det tidligere var et SEO plus, skal gevinsten i dag nok nærmere ses på den måde, at man i det mindste ikke bliver straffet for ikke at have SSL på sin side.
I nogen tid var det altså muligt at tiltuske sig en lille fordel over for konkurrenten. Det kan man imidlertid stadig. Nu er SEO fordelen bare blevet meget større, hvis konkurrenten hænger i bremsen med at få indført SSL.
Søgemaskinens ord er ikke lov, men næsten. Bare mistanken om at man lander på side 5 i stedet for side 1, burde være motivation nok til bare at få det med SSL overstået i en fart, også selvom det i mange tilfælde, ikke har nogen reel sikkerhedsmæssig betydning.
Fremtiden
Der er nok ingen tvivl om, at alle som ønsker, at deres side bliver fundet af Google, ender med at have SSL på siden. Om ikke andet, så for at undgå at de besøgende skræmmes væk af sikkerhedsadvarsler.
Meget tyder altså på, at vi alle får det trukket ned og hovedet inden længe, uanset om vi vil det eller ej. Du har måske lagt mærke til, at advarslerne om manglende sikkerhed er blevet mere iøjefaldende og ‘truende’.
Som hjemmesideejer kan man naturligvis ikke acceptere dette, og særligt ikke hvis hjemmesiden er fundamentet for omsætningen i din virksomhed.
Heldigvis er det ikke så svært, som det kan lyde.
Hvis du har læst med hertil uden at falde i søvn, ved du nu lidt mere om hvad SSL er. Du er dermed bedre rustet til at tage stilling til, hvordan du skal gribe sikkerheden an på din egen hjemmeside.
Få hjælp
Hvis du ikke har mod på at lave ændringerne selv, er det ikke den store investering at få hjælp til det. Jeg står naturligvis gerne til rådighed med såvel SSL som andre opgaver med hjemmesidedesign.
