Når noen besøker en nettside, utveksler nettleseren og serveren informasjon. Et SSL-sertifikat krypterer denne informasjonen slik at ingen kan snoke underveis, og det bekrefter at nettsiden faktisk er ekte og ikke en falsk kopi.
Uten denne beskyttelsen ligger passord, betalingsinformasjon og andre private data åpent for dem som vil stjele det. De fleste har sett hengelåsen i adressefeltet eller lagt merke til «https» foran nettadressen – det er synlig bevis på at SSL er aktivt.
Nettsider uten SSL-sertifikat vises med advarselen «Ikke sikker» i Chrome og Firefox – noe som skremmer bort besøkende og skader tilliten til merkevaren din.
Et SSL-sertifikat lager en kryptert forbindelse mellom nettleser og server ved hjelp av offentlige og private nøkler. Prosessen starter med et SSL-håndtrykk, der nettleseren sjekker at webserveren er ekte og at dataene vil bli sendt trygt.
SSL står for Secure Sockets Layer og ble opprinnelig laget for å kryptere data mellom nettleser og server, men TLS (Transport Layer Security) har tatt over som den nyere og sikrere standarden. Folk bruker fortsatt ordet SSL-sertifikat i dagligtalen, selv om det egentlig er TLS som gjelder nå.
HTTPS (Hypertext Transfer Protocol Secure) er den sikre utgaven av HTTP – når en nettside har et SSL-sertifikat, bytter adressen fra http til https. HTTP sender data i klartekst, mens HTTPS beskytter personopplysninger, påloggingsinformasjon og betalingsdetaljer med kryptering.
Nettleseren starter med å be serveren om å starte en sikker tilkobling, og serveren svarer med sitt SSL-sertifikat – inkludert offentlig nøkkel og informasjon om identiteten. Nettleseren sjekker sertifikatet mot en pålitelig Certificate Authority (CA) for å bekrefte at alt er legitimt.
Hvis alt stemmer, lager nettleseren en tilfeldig symmetrisk nøkkel, krypterer den med serverens offentlige nøkkel og sender den tilbake. Serveren bruker sin private nøkkel for å dekryptere meldingen, og fra nå av krypterer den symmetriske nøkkelen all kommunikasjon – hele prosessen tar bare noen millisekunder.
SSL bruker asymmetrisk kryptering under håndtrykket og symmetrisk kryptering for selve dataoverføringen – en kombinasjon som gir både sterk sikkerhet og høy hastighet. CA-en sjekker hvem som eier nettstedet før de utsteder SSL-sertifikatet, og sertifikatet inneholder en digital signatur som beviser at det er ekte.
Autentisering sørger for at nettleseren faktisk snakker med riktig server og ikke med en inntrenger. Symmetrisk kryptering er mye raskere enn asymmetrisk og passer for de store datamengdene som overføres under normale nettsidebesøk.
Det mest kjente tegnet på sikker tilkobling er hengelåsikonet i adressefeltet, rett ved siden av URL-adressen, og https-prefikset som erstatter http. Brukere kan klikke på hengelåsen for å se detaljer om sertifikatet, inkludert hvem som har utstedt det og hvilket domene det gjelder.
Hvis SSL-sertifikatet er ugyldig eller utløpt, viser nettleseren advarsler – enten en rød varseltrekant eller en hel side med sikkerhetsadvarsel. Slike varsler skremmer bort besøkende og er spesielt skadelig for nettbutikker og kommersielle nettsteder der tillit er avgjørende.
De fleste nettsteder trenger SSL-sertifikat i dag – særlig nettbutikker og sider som samler inn personopplysninger. Hvilket sertifikat du bør velge, avhenger av formålet med nettsiden, sikkerhetsnivå og budsjett. Les mer om å starte nettbutikk for å forstå hvilke krav som gjelder deg.
SSL-sertifikater beskytter brukernes data mot identitetstyveri og sikkerhetsbrudd ved å kryptere all informasjon som sendes. GDPR krever at personopplysninger beskyttes med sikker tilkobling, og nettsider uten SSL bryter med personvernreglene og kan få store bøter.
Google har gitt HTTPS-sider høyere rangering siden 2014 – SSL-sertifikat gir altså bedre synlighet i søk i tillegg til bedre sikkerhet. En nettside uten SSL risikerer å miste besøkende til konkurrenter som har tatt sikkerhet på alvor.
DV-sertifikat (Domain Validation) er det enkleste og bekrefter bare at søkeren eier domenet – utstedes raskt, gjerne på minutter, og passer for blogger og enkle informasjonssider. OV-sertifikat (Organization Validation) krever at organisasjonen valideres i tillegg til domenet, noe som tar noen dager men gir høyere sikkerhet.
EV-sertifikat (Extended Validation) har den grundigste sjekken av organisasjonen, viser bedriftsnavnet i adressefeltet og gir høyeste tillit. Det passer best for banker, store nettbutikker og bedrifter som håndterer sensitiv informasjon, og gir et sterkt signal om seriøsitet til kundene.
En enkel blogg eller infoside klarer seg med DV-sertifikat eller gratis SSL inkludert i webhotellet – det gir grunnleggende kryptering og er enkelt å sette opp. Nettbutikker og bedrifter bør velge OV-sertifikat eller høyere, da kunder forventer verifisert sikkerhet når de legger igjen betalingsinformasjon.
Har du mange underdomener, er Wildcard SSL det praktiske valget, mens Multi-Domain-sertifikater beskytter flere domener med ett sertifikat. Husk å sjekke gyldighetsperiode og utløpsdato – et utløpt SSL-sertifikat er like skadelig som intet sertifikat.
E-handel kan ikke fungere trygt uten SSL-sertifikater – kundene legger igjen personlig informasjon, betalingskort og adresser som absolutt må beskyttes. GDPR artikkel 32 sier at vi må bruke passende tekniske tiltak, og kryptering er en sentral del av dette kravet.
PCI DSS-standarden krever at alle som håndterer betalingskort bruker SSL, og betalingsleverandører nekter å samarbeide hvis sikkerheten ikke er på plass. SSL er med andre ord ikke lenger et valg – det er et absolutt krav for alle nettsteder som ønsker å behandle betalinger og personopplysninger.
SSL-sertifikat er i dag grunnleggende infrastruktur for alle seriøse nettsider, ikke et valgfritt tillegg. Det beskytter brukernes data, bygger tillit, forbedrer rangeringen i Google og er et juridisk krav etter GDPR og PCI DSS. De fleste webhotell tilbyr SSL inkludert i pakken – sjekk at nettstedet ditt bruker HTTPS, og at sertifikatet ikke er utløpt. Kombiner med jevnlig vedlikehold og oppdateringer for et trygt og pålitelig nettsted.
Tenker du på å starte eller oppgradere en nettbutikk? Da er SSL-sertifikat – gjerne et OV- eller EV-sertifikat – en forutsetning for å møte kundenes forventninger og kravene fra betalingsleverandørene. Husk at et gyldig SSL-sertifikat er ett av de sterkeste tillitssignalene du kan gi besøkende: hengelåsen i nettleseren forteller dem at de er trygge, og det er gull verdt i en tid der nettsvindel er utbredt.