Foto: Dan Jensen.

Guide: Sådan gør du din hjemmeside sikker med HTTPS

HTTPS-kryptering bliver stadig mere populært i sikringen af fortrolig trafik mellem brugere og hjemmesider. Læs her, hvordan du selv kommer i gang med krypteringen på nettet.

Annonce:
Annonce:
Krypterede hjemmesider pibler frem på nettet i takt med, at spioner, internetkriminelle og andre lyssky snushaner for alvor er begyndt at stikke næserne i vores færden på world wide web.

Snageriet har senest fået Google til at melde ud, at søgeselskabet vil rangere krypterede sider højere i sine søgeresultater grundet et ønske om øget sikkerhed på nettet. Samtidig har alle it-giganterne i de seneste år bevæget sig mod at køre deres hjemmesider via den såkaldte HTTPS-protokol.

Kort fortalt benyttes HTTPS på sites, hvor der er udveksling af fortrolige oplysninger som brugernavne, passwords, kreditkortoplysninger. Det kunne eksempelvis være i webshops, i netbanken og hos din webmail-udbyder.

Kom selv i gang
Hvis du selv overvejer at kaste dig over HTTPS-kryptering til din hjemmeside for at styrke din sikkerhed, er der flere måder at angribe udfordringen på.

Seniorkonsulent og frontend-udvikler Jakob Løkke Madsen fra digitalbureauet Creuna forklarer, at HTTPS-implementeringen kræver to relativt simple skridt, før man er i gang:

Anskaffelse af et SSL/TLS-certifikat og dernæst installationen af certifikatet på din webserver.

Hvad er HTTPS?

Rent teknisk er HTTPS - eller Hypertext Tranfer Protocol Secure - ikke i sig selv en protokol, men en kombination af internettets hjemmesideprotokol HTTP og krypteringsprotokollen TLS (transport Layer Security), som har afløst forgængeren SSL (Secure Sockets Layer).

I praksis er sikringen med HTTPS et SSL/TLS-certifikat, som man tilknytter til sin webserver, hvilket krypterer trafikken mellem dig og en browser(-bruger).

De fleste browsere kender de gængse certifikater, hvilket gør HTTPS-oplevelsen forholdsvis umærkelig over for brugerne.

Ved anskaffelsen af et SSL/TSL-certifikat er der mange forskellige muligheder. Man kan eksempelvis hente et gratis certifikat hos Rapid SSL, og man kan i den anden ende også ende med at betale flere tusinde kroner for Symantecs Verisign-certifikat.

"I sidste ende er anskaffelsen af det specifikke certifikat et spørgsmål om tillid til udbyderen. Eksempelvis køber man jo også sikringen af, at certifikatudstederen ikke bliver hacket, så din dekrypteringsnøgle havner i de forkerte hænder," forklarer Jakob Løkke Madsen.

Hos en udbyder som Verisign er der også forskellige certifikat-niveauer.

Det laveste niveau kræver blot en mailadresse, det midterste fordrer, at man kan fremvise sit pas, mens et firma med ønske om det højeste niveau af SSL/TLS-certifikater afkræves mere detaljerede oplysninger som virksomhedens regnskab og andre beviser på, at virksomheden rent faktisk eksisterer.

Mange teknologier - mange løsninger

Når SSL-/TLS-certifikatet er anskaffet, skal det installeres på webserveren, så det udfører sit hovedjob: At kryptere trafikken mellem din webserver og en besøgende browser.

"Hvordan certifikatet bliver installeret, kommer helt an på den webteknologi, som din virksomhed benytter sig af," forklarer Jakob Løkke Madsen.

Han fremhæver via et link, hvordan det kan gøres på Microsofts IIS (Internet Information Services), hvor IIS version 8 i det linkede eksempel kører på Windows Server 2012 og Windows 8.

Annonce:

Fordele ved HTTPS

Banker og webshops har kørt med HTTPS-kryptering i flere år, efter den hedengangne browser Netscape Navigator introducerede teknologien helt tilbage i 1994.

Det skyldes, at HTTPS har den fordel, at du som bankkunde kan være nogenlunde sikker på, at det rent faktisk er din egen bank, du besøger og ikke en hjemmeside, der udgiver sig for at være din bank.

Du skal dog stadig være opmærksom på, at du er på det rette webdomæne - minbank.dk frem for minhacketbank.dk.

Derudover kan du også være ret sikker på, at ingen kan aflytte og opsnuse de pengetransaktioner, som du foretager dig på bankens hjemmeside, da al trafik mellem din browser og bankens HTTPS-certifikat vil være krypteret.

Såfremt du sidder med IIS 7-teknologi, der kører på Windows Server 2008 og Windows 7, kan du finde inspiration i denne video, hvor brugeren genererer sit eget certifikat til HTTPS-krypteringen.

Skabelsen af sit eget krypteringscertifikat har dog den ulempe, at ingen browsere kender til det, hvorefter de besøgende brugere på dit website vil blive spurgt, om de har tillid til sikkerhedscertifikatet. Har de ikke tillid til certifikatet, vil de forsvinde fra din hjemmeside igen.

Hvis du benytter dig af andre webteknologier som eksempelvis Apache, er det gode råd at google sig frem til konkrete løsninger for, hvordan du får implementeret SSL/TLS-certifikatet. 

"Der er simpelthen så mange teknologier i spil, at det er umuligt at give en generel step-by-step-guide til, hvordan man installerer certifikatet på en virksomheds webserver," erkender Jakob Løkke Madsen.

Køb HTTPS i en boks
Du behøver dog ikke nødvendigvis at sidde og bøvle med certifikater og webservere selv.

"Hvis man har købt eller køber en standard-webshop, følger HTTPS-krypteringen automatisk med i mange tilfælde," forklarer Jakob Løkke Madsen.

Her nævner han blandt andre ScanNets webshop, hvor HTTPS-sikringen er en del af standardproduktet.

En anden og måske mere eksotisk løsning er at købe sig ind på et såkaldt CDN (Content Delivery Network), der kort fortalt er en server, som lægges ind mellem den besøgende browser og din egen webserver, som videresender al trafik til den indlagte server.

Den indlagte server præsenterer din hjemmeside, som den hele tiden holder øje med, så selv de mindste ændringer kommer med i denne "spejlede" version af din hjemmeside.

På den måde er der ingen browsere, der direkte besøger din hjemmeside, med mindre de kender dens IP-adresse. Når folk indtaster dit domænenavn, bliver de videresendt til den "spejlede" server.

Specifikt har Jakob Løkke Madsen selv erfaring med selskabet Cloudfares service, som præsenter en cached version af hans hjemmeside på selskabets egne webservere.

Hjerteblødning i SSL/TLS

Da den såkaldte Heartbleed-fejl i foråret blev opdaget i open source-krypteringsbiblioteket OpenSSL blev det betegnet som en af internettets værste sårbarheder nogensinde

For fejlen i protokollen åbnede for, at nysgerrige sjæle og ondsindede personer kunne få adgang til webserveres hukommelse og dermed også passwords, krypteringsnøgler og andre filer på hjemmesider, der benyttede OpenSSL.

Senest menes det, at Heartbleed-fejlen har åbnet for adgangen til, at it-kriminelle har kunnet slippe af sted med 4,5 millioner patienters data fra en amerikansk hospitalskæde.

Da Cloudflare har forhandlet sig frem til en aftale hos diverse SSL/TLS-certifikat-udbydere, har Cloudflare-kunderne altså mulighed for at tilkøbe sig HTTPS-kryptering.

"Nogle mener dog ikke, at det er ægte HTTPS, da eksempelvis trafikken mellem min egen webserver og Cloudflares webserver jo ikke er krypteret," lyder det fra webudvikleren.

"HTTPS er kun basis-sikkerhed"

HTTPS er dog langtfra nok til at gøre hjemmesiden sikker for din egen virksomhed eller dine besøgende brugere.

Det fortæller områdedirektør Rasmus Kærsgaard Theede fra KMD, hvor han er ansvarlig for it-gigantens sikkerhed.

"SSL/TLS er i sig selv ikke lavet til at beskytte webserveren, og derfor er det ikke nok til at beskytte sig mod hackeres udnyttelse af sårbarheder, malware eller noget andet," siger KMD's sikkerhedschef.

Uden at ville gå i detaljer med sikkerheden hos KMD nævner Rasmus Kærsgaard Theede, at selskabet har opstillet flere forskellige sikringsværktøjer lige fra netværksovervågning til stresstests af selskabets egen hjemmeside og kundernes applikationer.

Også malware-angreb gør KMD en dyd ud af at blokere.

Eksempelvis bliver trafikken mod KMD's webservere stoppet allerede ved selskabets gateway for at blive dekrypteret, scannet for virus og siden krypteret igen, inden det kan blive sendt det sidste stykke vej ind mod selskabets webservere.

"HTTPS vil jeg betegne som basissikkerhed, når man sender fortrolige oplysninger over nettet. Men der skal altså flere og andre sikkerhedstiltag til," fastslår Rasmus Kærsgaard Theede.

Læs også: 
Sådan kommer dit website sikkert til tops i Google-søgninger

Google lytter til cloud-kritik og tester HTTPS




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Sommeren bliver varm for danske film-pirater: Nu ruller retssagerne
Knap et år efter de første opkrævningsbreve for ulovlig fildeling blev sendt ud er antipirat advokaterne Opus Law på vej i retten.
CIO
"Over halvdelen af mine ledere i it-afdelingen er folk uden en it-baggrund"
Morten Gade landede et af Danmarks største it-projekter til tiden og uden skandaler. Hør ham fortælle om ledelse, tillid, kontraktstrukturer, og hvorfor hans it-ledere ofte ikke har en it-baggrund.
Comon
Alle bør opdatere omgående: Apple lukker alvorligt sikkerhedshul i Airport-routere
Apple lukker i al hast en alvorlig sikkerhedsbrist i sine trådløse AirPort-routere. Se her, hvilke Apple-routere, der er ramt.
Channelworld
27 offentligt ansatte sigtet i stor razzia: Mistænkes for at have modtaget it-bestikkelse
Bagmandspolitiet har i stor aktion anholdt 26 it-folk for bestikkelse i forbindelse med den store bestikkelsessag i Region Sjælland. Udenrigsministeriet, DSB og Rigsadvokaten er blandt de ramte.
White paper
Betydningen af virtualiseringssikkerhed for dit VDI miljø
I dette white paper: Virtualisering giver virksomheder en mulighed for at opnå omkostningsbesparelser og øge deres forretningsagilitet.