SSL står för Secure Sockets Layer. Det är ett viktigt protokoll för att säkra och autentisera data på Internet. På grund av rörelser som Encrypt All The Things och Googles strävan efter mer utbredd SSL-användning har SSL blivit ett populärt ämne på webben. Men trots det är många webmasters fortfarande osäkra på hur SSL fungerar och varför det är viktigt… eller ens vad SSL står för i första hand!

Medan vi redan gått igenom vad förkortningen betyder, gräver vi lite djupare i det här inlägget och berättar vad SSL är, liksom hur det fungerar för att göra webben till en bättre plats för både dig och dina webbplatsbesökare.

Vad står SSL för? Hur SSL fungerar

Bara för att upprepa – SSL står för Secure Sockets Layer. Det är ett protokoll som används för att kryptera och autentisera data som skickas mellan ett program (som din webbläsare) och en webbserver. Detta leder till en säkrare webb för både dig och besökarna på din webbplats. SSL är nära anknutet till en annan förkortning – TLS. TLS, kort för Transport Layer Security, är efterföljaren och den mer aktuella versionen av det ursprungliga SSL-protokollet.

Numera refererar man ofta till SSL och TLS som en grupp – t.ex. SSL/TLS — eller utbytbart. Let’s Encrypt (som vi kommer att diskutera mer längre ner) annonserar till exempel att de erbjuder ”gratis SSL/TLS-certifikat.” Men du hittar också massor av webbplatser som helt enkelt diskuterar SSL-certifikat, även när de faktiskt menar TLS.

Ett exempel på att kombinera SSL och TLS
Ett exempel på att kombinera SSL och TLS

Så var kom SSL först ifrån och hur kom vi dit vi är idag med TLS? SSL version 1.0 utvecklades av Netscape i början av 1990-talet. Men på grund av säkerhetsbrister släpptes det aldrig till allmänheten. Den första offentliga utgåvan av SSL var SSL 2.0 i februari 1995. Även om det var en förbättring jämfört med den outgivna SSL 1.0, hade SSL 2.0 också sin egen uppsättning säkerhetsbrister, vilket ledde till en fullständig omdesign och en ny utgåva av SSL, version 3.0, ett år senare.

SSL version 3.0 var den sista offentliga utgåvan och överskuggades helt år 1999 när TLS introducerades som ersättning. Nuförtiden är SSL 3.0 avvecklat och anses inte längre säker på grund av dess sårbarhet mot POODLE-attacken. När det gäller TLS är vi nu inne på TLS 1.3 som erbjuder ett antal förbättringar för prestanda och säkerhet. Kinsta stöder TLS 1.3 på alla våra servrar och vår Kinsta CDN.

Varför använder vi inte TLS-certifikat allihop då?

Det gör du sannolikt. Även om webbgemenskapen i allmänhet hänvisar till dem som SSL-certifikat av bekvämlighet, beror certifikaten faktiskt på vilket specifikt protokoll som det är uppkallat efter. Istället är det din server som avgör vilket protokoll som används. Vilket innebär att även om du tror att du har installerat något som kallas ett SSL-certifikat, använder du sannolikt faktiskt det mer aktuella och säkra TLS-protokollet.

Tills webbgemenskapen antar TLS-terminologin, kommer dock certifikaten fortfarande kallas SSL-certifikat för enkelhetens skull.

Hur hör HTTPS och SSL ihop?

De som byggde Internet älskar sina förkortningar – en annan term som du ofta ser när man talar om SSL/TLS är HTTPS. HTTP (utan S) står för Hypertext Transfer Protocol.

HTTP och dess efterträdare HTTP/2 är två olika applikationsprotokoll som ligger till grund för hur information överförs via Internet. De är i princip grunden för datakommunikation på Internet. När du lägger till bokstaven S blir helt enkelt Hypertext Transfer Protocol Secure (eller HTTP över TLS eller HTTP över SSL).

I princip ansvarar SSL/TLS för att säkra den information som skickas och tas emot via HTTP. Detta har ett antal fördelar…

Vilka är fördelarna med att använda SSL/TLS?

Många webbansvariga missförstår SSL/TLS och tror att det endast erbjuder fördelar för webbplatser som behandlar känslig information som kreditkorts- eller bankuppgifter. Och medan SSL/TLS verkligen är viktigt för dessa webbplatser är dess fördelar inte på något sätt begränsade till dessa områden.

En av de viktigaste fördelarna med SSL/TLS är kryptering. När du eller dina användare anger information på din webbplats kommer dessa data passera genom flera punkter innan de når sin slutdestination. Utan SSL/TLS skickas dessa data som vanlig text och skadliga aktörer kan tjuvlyssna eller ändra dessa data. SSL/TLS erbjuder punkt-till-punkt-skydd för att säkerställa att uppgifterna är säkra under transport. Även en WordPress-inloggningssida borde krypteras! Om det finns ett SSL-certifikat som inte är giltigt kan dina besökare möta felet ”din anslutning är inte privat”.

En annan viktig fördel är autentisering. En fungerande SSL/TLS-anslutning säkerställer att data skickas till och tas emot från rätt server, snarare än en skadlig mellanhand. Det hjälper till att förhindra att skadliga aktörer felaktigt imiterar en webbplats.

Den tredje viktiga fördelen med SSL/TLS är dataintegritet. SSL/TLS-anslutningar säkerställer att det inte förekommer någon förlust eller ändring av data under transport genom att inkludera en meddelandeautentiseringskod, eller MAC. Detta säkerställer att de data som skickas tas emot utan några ändringar eller skadliga modifieringar.

Utöver kryptering, autentisering och integritet finns det också andra mindre tekniska fördelar som:

Hur kan du se om en webbplats använder SSL/HTTPS?

Det enklaste sättet att se om en webbplats använder SSL/TLS är att titta på din webbläsare. De flesta webbläsare markerar säkra anslutningar med ett hänglås och/eller ett meddelande. I Google Chrome kan du till exempel leta efter ett grönt hänglås och ”Säker”-meddelandet:

Hur Google Chrome behandlar HTTPS
Hur Google Chrome behandlar HTTPS

Medan du är i Firefox ser du bara ett grönt hänglås:

Hur Firefox behandlar HTTPS
Hur Firefox behandlar HTTPS

I Microsoft Edge ser du faktiskt inte en färg, utan ett enkelt grått och vitt hänglås.

Hur Edge behandlar HTTPS
Hur Edge behandlar HTTPS

Kommer Google att straffa webbplatser som inte använder SSL?

Nyligen har Google lanserat en alltmer allvarlig uppsättning påföljder/varningar i Google Chrome för webbplatser som inte installerar SSL-certifikat. Dessa påföljder började i januari 2017 med införandet av en Inte Säker-varning på sidor som bad om kreditkortsuppgifter eller lösenord utan SSL-certifikat:

Chromes
Chromes ”Inte Säker”-varning, januari 2017

Den förändringen var den första knuffen framåt i Googles strävan för att öka SSL och HTTPS-användningen. Men nyligen har de trappat upp takten ännu mer.

Ökade Inte Säker-varningar, oktober 2017

I oktober 2017 rullade Google ut ännu mer aggressiva aviseringar. Från och med Chrome 62 (som släpptes 17 oktober 2017) lade Google till Inte Säker-varningen till:

  • Alla HTTP-sidor där användare skriver in någon typ av data, inklusive något så enkelt som en sökruta. Vanligen visas det inte vid den första sidladdningen, men visas när som helst när en användare börjar mata in data i ett fält.
  • Alla HTTP-sidor i Chromes Inkognitoläge
Chrome Inte Säker-varning Oktober 2017
Chrome Inte Säker-varning Oktober 2017

Google kommer bara att bli mer aggressiva

Googles långsiktiga plan är att så småningom markera alla HTTP-sidor som Inte Säker. Det betyder att även om du inte ber användarna att fylla i någon typ av formulärfält, kommer du så småningom att fångas av varningen oavsett vad. Av den anledningen är det viktigt att du börjar planera att flytta över till SSL/TLS och HTTPS redan nu.

År 2020 började Chrome visa ERR_SSL_OBSOLETE_VERSION-varningsmeddelanden när webbplatser använde TLS 1.0 eller TLS 1.1 (äldre versioner).

Så installerar du ett SSL-certifikat på din webbplats

Många hostar gör det enkelt att installera ett kostnadsfritt SSL / TLS-certifikat. Här på Kinsta skyddas alla verifierade domäner automatiskt av vår Cloudflare-integrering, som inkluderar ett kostnadsfritt SSL-certifikat med wildcard-stöd. Andra hostar kan använda en tjänst som heter Let’s Encrypt, som erbjuder ett kostnadsfritt SSL / TLS-certifikat. Du kan se en fullständig lista över hostar som stöder Let’s Encrypt här.

Om din host inte erbjuder ett kostnadsfritt SSL-certifikat, eller om du vill ha en annan typ av SSL-certifikat, kan du även köpa ditt eget certifikat från en tredjepartsleverantör.

Du kan läsa den här guiden för instruktioner om hur du lägger till ett SSL-certifikat på din webbplats på Kinsta. Du kan göra det med ett enda klick!

Vad du bör göra efter att ha installerat ett SSL-certifikat

Ja – det finns både tekniska och icke-tekniska åtgärder du behöver utföra efter installationen av ett SSL-certifikat. För det första är det på teknisk nivå viktigt att du omdirigerar all HTTP-trafik till HTTPS. Du bör också se till att du inte laddar några tillgångar via HTTP. Vanligtvis kommer det att vara dina egna bilder eller externt innehåll du hämtar, som skript eller externa annonstjänster. Detta hjälper dig att undvika Varning för blandat innehåll.

Utöver dessa två tekniska detaljer är det också bra att utföra följande uppgifter, beroende på vilka verktyg du använder:

  • Lägg till HTTPS-versionen av din webbplats i Googles Webmaster Tools.
  • Se till att spårningsskript som Google Analytics eller andra är konfigurerade för att fungera med HTTPS.
  • Kontrollera att du inte får några SSL-anslutningsrelaterade felmeddelanden.

Sammantaget är SSL/TLS ett viktigt protokoll för att skapa en trygg och säker webb. Och nu när du vet hur SSL fungerar uppmuntrar vi dig att överväga att installera ett SSL/TLS-certifikat och flytta din webbplats till HTTPS, om du inte redan har gjort det.

Vi har en mycket detaljerad HTTP till HTTPS-migreringsguide så se till att du läser den och följ stegen!