Et Secure Sockets Layer-certifikat er en vigtig del af enhver hjemmeside, da det beskytter mod uønskede angreb og sikrer, at data, der sendes til og fra hjemmesiden, er krypteret.
Browsere og søgemaskiner fraråder brugere at besøge sider, der ikke har SSL-certifikater, da de kan være usikre.
I denne blogpost vil vi forklare, hvorfor det er vigtigt at have et SSL-certifikat, samt give dig nogle tips til, hvordan du kan få det gratis.
Et SSL certifikat er en nødvendighed, hvis du ønsker en digital tilværelse.
Det beskytter nemlig mod en bestemt type hacker-angreb og sikrer, at al data, der er sendt til og fra hjemmesiden, er krypteret og sikkert.
Hvis du forsøger at besøge en side, som ikke har et SSL-certifikat i en moderne browser, vil der poppe en advarsel op i stedet for siden, og du skal herefter klikke gennem røde menuer, som er designet til at se farlige ud, hvis du vil ind på siden alligevel.
Med andre ord så sørger browseren for, at dine besøgende anser din side som et reelt scam, hvis du ikke har styr på SSL’en.
Derudover forsvinder siden også helt fra Google’s søgeresultater.
Google har ingen interesse i at foreslå en side, de ikke mener, er sikker, og alligevel har tænkt sig at råde dig til at forlade igen. Det er blot et af mange eksempler på, hvordan sikkerhed er det vigtigste, du kan gøre for din SEO.
Hvad er et SSL-certifikat, og hvorfor er det vigtigt?
Et SSL-certifikat er en digital signatur, der bekræfter, at din hjemmeside er sikker og pålidelig. Det beskytter mod en vis type angreb og sikrer, at data krypteres til og fra hjemmesiden.
Hvis du læser lægmandsbeskrivelser af SSL andre steder, så kan man få det indtryk, at SSL gør din hjemmeside sikker. Men som en sikkerhedssele i en bil, er det altså “bare” en utrolig vigtig komponent i en langt større kæde af sikkerhedssystemer. Din bil er ikke automatisk sikker, bare fordi der er en sikkerhedssele – den skal også bruges aktivt.
Vi vil meget gerne undgå, at folk anerkender en side som værende sikker, alene fordi den har et SSL certifikat!
Hvorfor fraråder browsere og Google brugere at besøge usikre sider?
Browsere og Google fraråder brugere at besøge sider, der ikke har SSL-certifikater, da de typisk kan vise sig at være usikre og udsætte brugernes data og personlige oplysninger for risici.
Når du besøger en hjemmeside, laver du et kald til siden, som indeholder både dens adresse og al den information I udveksler, såsom cookies, historik og andet.
Den information sender din browser til din internetudbyder, som gennem en serie af forbindelser på internettet ender med at finde ud af, hvor du skal hen.
Forestil dig, at du lægger et brev i en postkasse. Normalt er brevet forseglet, indtil den rigtige modtager åbner brevet. Men på usikre sider kan alle dem, der håndterer brevet undervejs både se adressen, afsenderadressen og hele brevets indhold.
Ved at bruge SSL-kryptering kan du sørge for, at kun den del af adressen, som er nødvendig, kan ses af dem, der håndterer det. De kan se, hvilken bygning brevet skal til, og så må den modtagende part i bygningen afkode, hvem i bygningen, der skal have brevet. Det er alt, hvad det gør.
Så hvis du er ved at sende dine kreditkortoplysninger til en svindler, så hjælper SSL dig altså ikke med andet end, at andre svindlere ikke kan kigge med undervejs.
Hvordan ved jeg om min side benytter SSL?
Generelt bliver du jo advaret af browseren, hvis du besøger en side, som ikke har SSL, men der er undtagelser. Hvis browseren mener, du er ved at opsætte en side eller et webhotel og faktisk måske er i gang med at tilknytte et SSL certifikat, så vil browseren ikke stå i vejen.
I adressefeltet i din browser er der en lille hængelås, som er låst, når du er på side med SSL-certifikat. Hvis den ikke har en hængelås, men derimod en åben lås eller en advarselstrekant, så er du ikke inde på en certificeret side.
En anden måde at tjekke, om du er inde på en certificeret side, er ved at kigge på hjemmesidens adresse. Starter din hjemmesides URL med HTTPS eller kun med HTTP? S’et står for SSL og indikerer, at du er på en sikker side.
Jeg bruger SSL, men browseren viser det ikke!
Det er et helt normalt problem, at man installerer et SSL-certifikat, og så alligevel bliver advaret mod at besøge siden, eller at man ikke kan se certifikatet.
Problemet er, at hjemmesiden eksisterer uden SSL-certifikat på den side, der starter med HTTP:// og med SSL certifikat på siden, der har samme adresse, men starter med HTTPS://.
Tricket er at lave en automatisk viderestilling, så folk der besøger HTTP adressen ryger videre til HTTPS adressen. Men pas på, når du gør det!
Tving WordPress til at bruge SSL-versionen af siden
Hvis du besøger din WordPress-side, og du ikke kan se hængelåsen, så er der et simpelt trick, der kan hjælpe dig. Det er et overset trick, som du finder i dit WordPress-kontrolpanel. Her skal du først gå ind i “indstillinger”, hvorefter du skal klikke på “generelt”. I felterne “WordPress-adresse” og “Websteds-adresse” skal du indsætte et “s” efter “http”, så der står “https”. Gør det i begge felter og gem dine ændringer.
Du bliver nu logget ud af dit kontrolpanel, og din browser glemmer dit password!
Sådan ser det i hvert fald ud.
Den side, du besøgte, eksisterer nemlig ikke mere – og derfor er du logget ud. Din browser kan ikke genkende adressen, nu hvor der er introduceret et “s” i adressen. Derfor laver den en ny “session” med serveren og glemmer altså, at du allerede havde logget dig ind.
Når den skal huske dit password, så finder den det ikke automatisk; igen fordi den ikke har et password til siden med dette “s” i adressen. Men hvis du åbner din password-manager ved eksempelvis at gå til passwords.google.com hvis du bruger Chrome, så kan du sagtens fremsøge dit brugernavn og password og anvende det til at logge ind igen og arbejde videre. Nu vil browseren huske passwordet for den nye adresse og alle dine besøgende, der anvender SSL-versionen af siden.
Undgå WordPress-plugins som Really Simple SSL
Der er en uheldig tendens, hvor folk forsøger at løse deres hjemmeside-problemer ved at installere et WordPress-plugin uden at overveje, hvad det i virkeligheden kan, eller hvordan det skal indstilles.
Really Simple SSL er et godt eksempel på et plugin, der anvendes på utroligt mange WordPress sider, som slet ikke bliver brugt.
Det er nemlig ikke WordPress-installationen, der skal have SSL-certifikatet – men derimod dit webhotel.
Langt de fleste webhoteller tilbyder gratis SSL-certifikater. Hvis det webhotel, du kigger på, tilbyder gratis SSL-certifikater til deres kunder, så skal du også have det.
I nogle tilfælde kan der dog være forskel på, hvordan man sætter SSL op, alt efter om man vil betale for det eller ej.
Hvis du læser denne artikel, skal du vide, at der absolut ingen grund er til, at du skal betale for det!
Sådan får du gratis SSL-certifikat af dit webhotel
Så hvis du åbner SSL-menuen i dit webhotels kontrolpanel og kun kan vælge betalte løsninger, så fortvivl ikke.
Kært barn har mange navne, og du leder efter noget. der enten hedder SSL, TLS eller HTTPS. Det dækker alt sammen over det samme. Når du har fundet et sted, hvor du kan sætte det op med “Let’s Encrypt”, så er du på det rette sted. Let’s Encrypt er en verdensomspændende udbyder af gratis SSL-certifikater. Der findes også andre, men Let’s Encrypt er klart den mest udbredte.
Hvis de lover dig SSL-certifikater på siden, men du ikke kan finde det i menuen, så kontakt deres kundeservice – de skal jo holde, hvad de lover!
Sådan får du gratis SSL-certifikat udenom dit webhotel
Hvis dit webhotel insisterer på, at SSL er en betalt løsning, så fortvivl ikke. Dér, hvor du kan vælge mellem de betalte certikater, kan du også vælge at uploade dit eget.
Du kan generere sådan et fra Let’s Encrypt – enten ved hjælp af CloudFlare, eller WordPress Pluginnet Really Simple SSL.
Men frarådede vi ikke lige det plugin?
Jo!
For det her bør absolut ikke være nødvendigt – og vi kender i skrivende stund ikke til nogen danske udbydere, som ikke tilbyder gratis SSL-certifikater, hvis man følger førnævnte trin. Derfor er dette afsnit udelukkende ment som en sidste udvej.
Skulle du være endt i denne situation, kan du altid kontakte os hos NetRaket.
Vi vil meget gerne guide dig!
Hvor tit skal det gøres?
Der er mange faktorer, der spiller ind i svaret her. Et SSL-certifikat varer ikke evigt. De gratis certifkater kommer som regel fra Let’s Encrypt og gælder i ca. 4 måneder.
Mange webhoteller kan dog opdatere certifikatet automatisk, når du har sat det op første gang, eller “nøjes” med at bede dig fornye det en enkelt gang om året.
Er det ikke mega besværligt?
Hos nogle webhoteller er det.
Helt bestemt.
Hos andre er det simpelt.
NetRaket eksisterer for at eliminere alle denne type hovedpiner for små virksomheder.
I alle vores serviceplaner er det inkluderet, at vi står for alt, hvad der har med sikkerhed at gøre – det inkluderer altså også at opdatere dine SSL certifikater.