Foto: Dan Jensen.

Guide: Sådan gør du din hjemmeside sikker med HTTPS

HTTPS-kryptering bliver stadig mere populært i sikringen af fortrolig trafik mellem brugere og hjemmesider. Læs her, hvordan du selv kommer i gang med krypteringen på nettet.

Krypterede hjemmesider pibler frem på nettet i takt med, at spioner, internetkriminelle og andre lyssky snushaner for alvor er begyndt at stikke næserne i vores færden på world wide web.

Snageriet har senest fået Google til at melde ud, at søgeselskabet vil rangere krypterede sider højere i sine søgeresultater grundet et ønske om øget sikkerhed på nettet. Samtidig har alle it-giganterne i de seneste år bevæget sig mod at køre deres hjemmesider via den såkaldte HTTPS-protokol.

Kort fortalt benyttes HTTPS på sites, hvor der er udveksling af fortrolige oplysninger som brugernavne, passwords, kreditkortoplysninger. Det kunne eksempelvis være i webshops, i netbanken og hos din webmail-udbyder.

Kom selv i gang
Hvis du selv overvejer at kaste dig over HTTPS-kryptering til din hjemmeside for at styrke din sikkerhed, er der flere måder at angribe udfordringen på.

Seniorkonsulent og frontend-udvikler Jakob Løkke Madsen fra digitalbureauet Creuna forklarer, at HTTPS-implementeringen kræver to relativt simple skridt, før man er i gang:

Anskaffelse af et SSL/TLS-certifikat og dernæst installationen af certifikatet på din webserver.

Ved anskaffelsen af et SSL/TSL-certifikat er der mange forskellige muligheder. Man kan eksempelvis hente et gratis certifikat hos Rapid SSL, og man kan i den anden ende også ende med at betale flere tusinde kroner for Symantecs Verisign-certifikat.

"I sidste ende er anskaffelsen af det specifikke certifikat et spørgsmål om tillid til udbyderen. Eksempelvis køber man jo også sikringen af, at certifikatudstederen ikke bliver hacket, så din dekrypteringsnøgle havner i de forkerte hænder," forklarer Jakob Løkke Madsen.

Hos en udbyder som Verisign er der også forskellige certifikat-niveauer.

Det laveste niveau kræver blot en mailadresse, det midterste fordrer, at man kan fremvise sit pas, mens et firma med ønske om det højeste niveau af SSL/TLS-certifikater afkræves mere detaljerede oplysninger som virksomhedens regnskab og andre beviser på, at virksomheden rent faktisk eksisterer.

Mange teknologier - mange løsninger

Når SSL-/TLS-certifikatet er anskaffet, skal det installeres på webserveren, så det udfører sit hovedjob: At kryptere trafikken mellem din webserver og en besøgende browser.

"Hvordan certifikatet bliver installeret, kommer helt an på den webteknologi, som din virksomhed benytter sig af," forklarer Jakob Løkke Madsen.

Han fremhæver via et link, hvordan det kan gøres på Microsofts IIS (Internet Information Services), hvor IIS version 8 i det linkede eksempel kører på Windows Server 2012 og Windows 8.

Såfremt du sidder med IIS 7-teknologi, der kører på Windows Server 2008 og Windows 7, kan du finde inspiration i denne video, hvor brugeren genererer sit eget certifikat til HTTPS-krypteringen.

Skabelsen af sit eget krypteringscertifikat har dog den ulempe, at ingen browsere kender til det, hvorefter de besøgende brugere på dit website vil blive spurgt, om de har tillid til sikkerhedscertifikatet. Har de ikke tillid til certifikatet, vil de forsvinde fra din hjemmeside igen.

Hvis du benytter dig af andre webteknologier som eksempelvis Apache, er det gode råd at google sig frem til konkrete løsninger for, hvordan du får implementeret SSL/TLS-certifikatet. 

"Der er simpelthen så mange teknologier i spil, at det er umuligt at give en generel step-by-step-guide til, hvordan man installerer certifikatet på en virksomheds webserver," erkender Jakob Løkke Madsen.

Køb HTTPS i en boks
Du behøver dog ikke nødvendigvis at sidde og bøvle med certifikater og webservere selv.

"Hvis man har købt eller køber en standard-webshop, følger HTTPS-krypteringen automatisk med i mange tilfælde," forklarer Jakob Løkke Madsen.

Her nævner han blandt andre ScanNets webshop, hvor HTTPS-sikringen er en del af standardproduktet.

En anden og måske mere eksotisk løsning er at købe sig ind på et såkaldt CDN (Content Delivery Network), der kort fortalt er en server, som lægges ind mellem den besøgende browser og din egen webserver, som videresender al trafik til den indlagte server.

Den indlagte server præsenterer din hjemmeside, som den hele tiden holder øje med, så selv de mindste ændringer kommer med i denne "spejlede" version af din hjemmeside.

På den måde er der ingen browsere, der direkte besøger din hjemmeside, med mindre de kender dens IP-adresse. Når folk indtaster dit domænenavn, bliver de videresendt til den "spejlede" server.

Specifikt har Jakob Løkke Madsen selv erfaring med selskabet Cloudfares service, som præsenter en cached version af hans hjemmeside på selskabets egne webservere.

Da Cloudflare har forhandlet sig frem til en aftale hos diverse SSL/TLS-certifikat-udbydere, har Cloudflare-kunderne altså mulighed for at tilkøbe sig HTTPS-kryptering.

"Nogle mener dog ikke, at det er ægte HTTPS, da eksempelvis trafikken mellem min egen webserver og Cloudflares webserver jo ikke er krypteret," lyder det fra webudvikleren.

"HTTPS er kun basis-sikkerhed"

HTTPS er dog langtfra nok til at gøre hjemmesiden sikker for din egen virksomhed eller dine besøgende brugere.

Det fortæller områdedirektør Rasmus Kærsgaard Theede fra KMD, hvor han er ansvarlig for it-gigantens sikkerhed.

"SSL/TLS er i sig selv ikke lavet til at beskytte webserveren, og derfor er det ikke nok til at beskytte sig mod hackeres udnyttelse af sårbarheder, malware eller noget andet," siger KMD's sikkerhedschef.

Uden at ville gå i detaljer med sikkerheden hos KMD nævner Rasmus Kærsgaard Theede, at selskabet har opstillet flere forskellige sikringsværktøjer lige fra netværksovervågning til stresstests af selskabets egen hjemmeside og kundernes applikationer.

Også malware-angreb gør KMD en dyd ud af at blokere.

Eksempelvis bliver trafikken mod KMD's webservere stoppet allerede ved selskabets gateway for at blive dekrypteret, scannet for virus og siden krypteret igen, inden det kan blive sendt det sidste stykke vej ind mod selskabets webservere.

"HTTPS vil jeg betegne som basissikkerhed, når man sender fortrolige oplysninger over nettet. Men der skal altså flere og andre sikkerhedstiltag til," fastslår Rasmus Kærsgaard Theede.

Læs også: 
Sådan kommer dit website sikkert til tops i Google-søgninger

Google lytter til cloud-kritik og tester HTTPS




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Kæmpeopdatering af Windows 10 i næste uge: Disse nye features og ændringer på vej
Microsoft udsender i næste uge en stor opdatering af Windows 10 under navnet 'Anniversary Update,' som kommer til at indeholde flere nyheder. Se nogle af de vigtigste her.
CIO
PornDroid låste 10.000 telefoner - masser af ny, avanceret mobil ransomware på vej
Klumme: Ransomware er i stigende grad en sikkerhedstrussel på mobile enheder. Det gælder især Android-enheder, men lige om lidt bliver iOS-enheder også ramt. Sådan kan du beskytte virksomheden og dig selv mod angreb.
Comon
Manden bag verdens største torrent-site anholdt
Den formodede hjerne bag verdens største torrentsite KickassTorrents er blevet anholdt i Danmarks naboland Polen. Herfra forsøger amerikanske myndigheder at få ham udleveret til retsforfølgelse i USA. Læs her, hvad han står anklaget for.
Channelworld
Nordmænd køber dansk software-hus - medarbejderne bliver
Norske Amesto Solutions har købt det det danske CRM-firma Adwiza, der har haft svært ved at opnå tilstrækkelig lønsomhed. Men det skal der laves om på nu, lyder det fra Norge.
White paper
Case: Uafhængig rådgivning bragte uventet navn på banen for Icopal
Icopal lyttede til uafhængig rådgivning fra Kompetera, og det bragte et uventet navn inden for storage på banen, da man skulle udskifte det gamle storagesystem.