SSL certifikat
Säkerhetsmedvetenheten hos sajtbesökare är högre än någonsin. En rapport från Google visar att 84% av alla besökta sidor är via HTTPS (skyddade av SSL). För fyra år sedan var det 40%, vilket innebär en ökad säkerhetsmedvetenhet jämfört med för fyra år sedan. Samma rapport visar att 90% av all tid som besökare vistas på sidor, är via HTTPS.
I den här artikeln går vi steg för steg igenom vad SSL certifikat är och hur det påverkar dig.
Vad är SSL?
SSL är förkortning för Secure Sockets Layer och är en säkerhetsteknologi för informationsöverföring på internet. SSL krypterar trafiken mellan din webbläsare och servern som hostar sidan du besöker. Denna kryptering säkerställer att ingen utomstående kan ”tjuvlyssna” på informationen som skickas, t ex när du anger användarnamn och lösenord för att logga in på banken, eller när du anger ditt kreditkortsnummer på en shoppingsajt.
SSL aktiveras och används automatiskt om sidan du besöker stöder det. Läs mer nedan om hur du kan se om en sida har SSL.
Varför ska jag ha SSL?
Trovärdighet
En sida med SSL-certifikat upplevs som mer trovärdig av besökaren.
Besökare kan direkt se att de är på den avsedda sidan, och inte en fejkad sida som försöker lura till sig information. De vet också att all information (e-postadresser, lösenord, kreditkortsnummer, etc) kommer att skickas på ett säkert sätt.
T ex om du har en e-handelssajt kan dina kunder känna sig trygga med att deras kreditkortsuppgifter inte kapas.
Sökresultat
Google arbetar kontinuerligt för att göra internet säkrare. För att motivera sajter att skydda sina besökare har de börjat att väga in SSL i sin rankningsalgoritm. Detta innebär att säkra sidor premieras framför de som saknar SSL i det organiska (icke-betalda) sökresultatet.
Hur vet jag om en sida har SSL?
I adressfältet kan du se att länken börjar med ”https://” istället för bara ”http://”. Det extra ”s”:et indikerar att trafiken kommer att vara skyddad med kryptering.
Vissa webbläsare ger en visuell indikering om en sida är säker eller inte. Till exempel visar webbläsaren Chrome ett hänglås direkt till vänster om adressfältet när man besöker en säker sida och texten ”Inte säker” om den inte är det.
SSL & SEO
Att byta från HTTP till HTTPS är i SEO-perspektiv likvärdigt med att byta till en ny hemsida. Om det inte görs på ett korrekt sätt riskerar sidan att förlora positioner i den organiska sökningen på Google. Därför är det viktigt att bytet till HTTPS sker på ett SEO-vänligt sätt för att behålla länkkraften för dina sidor.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Att tänka på när man byter till HTTPS
Vilken typ av certifikat behöver du? Har du flera domännamn? Kommer du att lägga till flera subdomäner i framtiden? Se över nuvarande och framtida behov innan du bestämmer dig.
Var får jag tag i ett SSL-certifikat? Det finns ett flertal certifikatutgivare som säljer SSL-certifikat. Priser och tjänster som ingår skiljer sig åt, därför kan det vara värt att jämföra flera utgivare. Det finns också gratis alternativ, till exempel den populära Let’s Encrypt.
När SSL-certifikatet är installerat på servern måste alla internlänkar som har HTTP ändras till HTTPS eller relativa sökvägar. Detta kan oftast göras med en sök-och-ersätt i databasen. Har man ingen databas får man söka igenom alla filer och göra ändringarna i dem.
Har du skapat sajten med en CMS har den troligtvis ändrat allt åt dig, om inte så finns det troligtvis en plugin som kan göra det.
Kontrollera också att eventuella externa HTTP-länkar (t ex bilder, scripts) går att byta till HTTPS.
Du behöver forcera all intrafik till HTTPS, vilket du gör genom att använda redirects. Hur detta görs beror på din server och hur den är konfigurerad.
Om du använder en CMS finns det troligtvis plugins för att ställa in redirects.
När du har gjort alla ändringar bör du gå igenom hela sajten för att säkerställa att den fungerar som den ska.
Det kan man göra genom att t ex:
- Låta ett verktyg (ex. ahrefs.com eller Screamingfrog) crawla sajten och se om den rapporterar några fel
- Inspektera sidorna manuellt med en webbläsare (ex. Chrome eller Edge) för att se om de ger en varning om ”mixed content”
Om sajten har Google Analytics behöver du ändra standardadressen i inställningarna för egendomen till ”https://”.
I Google Search Console behöver du numera inte ändra något.
Om du använder andra verktyg kan du behöva uppdatera dem med de nya HTTPS-länkarna. Glöm inte att uppdatera inlänkarna på alla sociala medier-profiler som du använder.
SSL certifikat & WordPress
För sajter som använder CMS-verktyget WordPress har vi sammanställt några punkter för att underlätta övergången från HTTP till HTTPS.
- Backup
Vi rekommenderar att du tar en backup på filerna och databasen innan du växlar över till HTTPS. Det kan du göra manuellt med en FTP-klient och en databasklient, eller så kan du använda en plugin. BackWPup är ett gratis backup-plugin till WordPress.
- Ändra WordPressadressen och Sajtadressen
Det här är det som växlar över sajten från HTTP till HTTPS.
Logga in som administratör och välj ”Inställningar -> Allmänna” i menyn. Där letar du upp inställningarna för ”WordPressadress (URL)” och ”Webbplatsadress (URL)”. Ändra båda adresserna så att det står”https://” först istället för ”http://” och klicka på ”Spara”.
- Uppdatera alla internlänkar
När sajten är ändras till HTTPS uppdateras inte alla internlänkar i databasen automatiskt, t ex brukar inte alla bildlänkar uppdateras.
Uppdatera länkarna i databasen manuellt med en databasklient, eller installera ett WordPress-plugin som gör det automatiskt. Om du i WordPress använder ett verktyg för att bygga sidorna, t ex Elementor, kan det ha en sådan funktion inbyggd.
- Vanliga problem med WordPress & SSL
Om sajten inte fungerar efter bytet med felmeddelandet ”ERR_TOO_MANY_REDIRECTS” kan man behöva ändra i .htaccess-filen eller config.php. Båda filerna finns i sajtroten och kan enkelt redigeras med hjälp av en FTP-klient.
.htaccess
Lägg till följande rader:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
config.php
Lägg till följande rader innan slutet i filen:
if
(strpos($_SERVER[’HTTP_X_FORWARDED_PROTO’], ’https’) !== false)
$_SERVER[’HTTPS’]=’on’;
Typer och valideringsnivåer
Det finns tre olika typer av certifikat och tre olika valideringsnivåer. De valideras och utfärdas av vissa certifikatutfärdare (CA).
Säkerheten i de olika certifikattyperna är i sig densamma för alla alternativen. Skillnaden mellan dem är kostnaden för att skydda det antal domäner/subdomäner man har.
De här certifikaten är till för att sajternas besökare ska kunna känna sig trygga med att deras personliga information inte hamnar i orätta händer. Valideringsalternativen är till för att inge trovärdighet och en känsla av trygghet hos besökarna. Certifikat validerade med OV och EV visar dessutom företagets namn i certifikatet, för en ökad trovärdighet hos besökarna.
Valideringsnivåer
Domain Validation (DV)
Domain Validation, domänvalidering, är den enklaste och snabbaste typen av certifikatsvalidering. Valideringen sker på domännivå och är automatiserad. Ofta räcker det med att svara på ett email som CA skickar till den som är registrerad som domänägare.
Valideringsprocessen tar som regel bara några minuter.
Organization Validation (OV)
Organization Validation, organisationsvalidering, är en högre nivå av validering än DV. CA utför en manuell verifiering och granskning av den som ansöker innan OV-certifikatet utfärdas.
Namnet på den som ansöker (företag eller privatperson) står i certifikatet.
Valideringsprocessen kan ta flera dagar.
Extended Validation (EV)
Extended Validation, utökad validering, är den högsta nivån av validering. Liksom för OV krävs att CA gör en manuell granskning, men för EV är den ännu mer noggrann och rigorös.
Liksom för OV står namnet på den som ansöker (företag eller privatperson) i certifikatet.
Valideringsprocessen kan ta flera dagar, oftast ännu längre än för OV.
Olika typer av certifikat
Enskilt domäncertifikat
Enskilt domäncertifikat är ett SSL-certifikat som är giltigt för exakt en domän. Det är inte giltigt för domänens eventuella subdomäner.
Passar bäst för de som har en sajt som inte har subdomäner.
Finns för valideringsnivåerna DV, OV och EV.
Multidomäncertifikat
Multidomäncertifikatet är giltigt för många domäner, vanligtvis 100 eller fler. Det här alternativet är bra för dem som har två eller flera olika domännamn. En begränsning är att alla domäner måste ha samma ägare, samt att certifikatet måste förnyas för varje domän som läggs till.
Finns för valideringsnivåerna DV, OV och EV.
Wildcard SSL-certifikat
Wildcard-certifikat är giltigt för en domän och alla dess subdomäner. Till skillnad från multidomäncertifikatet behöver man inte lägga till subdomänerna i certifikatet, utan med wildcardcertifikatet kan man lägga till och ta bort subdomäner efter behov utan extra administration.
Den här typen av certifikat passar sajter som har, eller lägger till, många subdomäner.
Finns för valideringsnivåerna DV och OV.
Multidomän Wildcard SSL-certifikat
Multidomän Wildcard SSL-certifikat är som en kombination av de två ovanstående certifikaten, med deras respektive för- och nackdelar. Multidomän Wildcard SSL-certifikatet är giltigt för många domäner, vilka dessutom kan ha obegränsat antal subdomäner.
Finns för valideringsnivåerna DV och OV.
Läs mer om vad
vi kan hjälpa dig med
IT-lösningar
- Nätverk
- Server & Molnbackup
- Telefoni & Växel
- Office 365
IT-support
- Drift av IT-miljö
- Supportavtal
- Fjärr- & telefonsupport
- Drift Office 365
- På-platsen-service
- Möjlighet till jour
