Gratis HTTPS til folket!
HTTPS innebærer at trafikken mellom din nettleser og websiden du besøker er kryptert og beskyttet. Det betyr at ingen tredjepart, f.eks. en nysgjerrig nabo, internettleverandør eller overivrige myndigheter, kan se informasjon du sender (f.eks. passord eller kortdata), eller modifisere og sensurere deler av innholdet på websiden.
Dersom du er ute på reise og bruker et åpent WiFi-nett, så har du ingen garanti mot at eieren av WiFi-nettet, eller til og med andre brukere på det samme nettet, kan se alt du gjør på ubeskyttede HTTP-sider du besøker.
Dette er blant grunnene til at NSM (Nasjonal Sikkerhetsmyndighet) anbefaler at alle offentlige tjenester på web alltid skal benytte HTTPS.
Korrekt oppsatt HTTPS gir deg også den karakteristiske låsen, ofte grønn, på websidene du besøker, og dette gir deg en trygghet om at all trafikk til websiden er kryptert.
De siste par årene har det vært en eksplosiv vekst i antallet websider som serveres over en kryptert tilkobling. Fra januar 2016 til i dag har antallet websider som er beskyttet av HTTPS økt med over 50%, fra omtrent 40% til 61% i følge statistikk hentet fra Firefox-brukere.
I hovedsak kan man peke på to årsaker til denne store økningen, nemlig tilgjengelighet og bevisstgjøring.
Tilgjengelighet
Å anskaffe seg et HTTPS-sertifikat på sine websider har historisk sett vært en tidkrevende og i noen tilfeller også svært kostbar prosess, med krav til teknisk kunnskap om CSR-filer, sertifikatutstedere, validering av domeneeierskap, manuelt installasjonsarbeid og ikke minst vanligvis også en betaling til sertifikatutstederen. Dette har begrenset utbredelsen.
Det var før Internet Security Research Group (ISRG) kom på banen og stod for utviklingen av Let’s Encrypt (merkenavnet) og den bakenforliggende ACME-protokollen (den tekniske standarden).
Let’s Encrypt er en gratis, automatisk og åpen sertifikatutsteder, som fjerner den møysommelige delen av å få utstedt, aktivert og fornyet et HTTPS-sertifikat for dine websider. Sammen med ACME muliggjør dette helautomatisert utstedelse, installasjon og fornyelse av HTTPS-sertifikater på webhoteller hos Domeneshop.
I vår startet Domeneshop å tilby testing av gratis HTTPS via Let’s Encrypt for våre webhotellkunder. I begynnelsen av September ble dette tilgjengelig for alle webhotellkunder som har Webhotell Medium og større. Tjenesten kan i dag med et enkelt klikk aktiveres fra Webhotell-fanen i kontrollpanelet for det aktuelle domenet.
Se her for nærmere informasjon om hvordan dette aktiveres.
I fremtiden er planen å automatisk aktivere HTTPS for alle nyopprettede webhotell.
I vår ble det også annonsert at den norske sertifikatutstederen Buypass jobber med å tilby gratis HTTPS-sertifikater, med sin egen implementasjon av ACME-protokollen. Det er spennende å se at en norsk leverandør er i front i denne utviklingen.
Selv om et gratis HTTPS-sertifikat fra Let’s Encrypt vil dekke de aller fleste behov kan det fremdeles være tilfeller hvor det er ønskelig å kjøpe et eget SSL-sertifikat. Sertifikatutstedere tilbyr blant annet såkalte EV-sertifikater (Extended Validation), hvor sertifikatet også inneholder informasjon om identiteten til selskapet/firmaet ditt. EV-sertifikater har den unike egenskapen at det validerte firmanavnet også dukker opp i adresselinjen sammen med den grønne låsen:
Se våre spørsmål og svar for nærmere informasjon om eget sertifikat hos Domeneshop.
Bevisstgjøring
2017 har så langt vært det store jubelåret når det gjelder bevisstgjøring rundt bruk av HTTPS, ved at både nettleseren Google Chrome (i januar) og Mozilla Firefox (i mars) begynte å vise et varsel i nettleseren om at websiden er usikret dersom man besøker en webside uten HTTPS som ber deg fylle inn passord eller kredittkortinformasjon.
(Bilde: Google)
Google Chrome har også lagt slagplanen for tiden fremover. I oktober vil Google Chrome bli enda strengere ved at varselet også vises for alle websider som inneholder vanlige input-felter (f.eks. et søkefelt), samt at alle ukrypterte websider som vises i Chromes Incognito-modus skal vises som usikre. På sikt skal dette varselet vises for absolutt alle websider som ikke har et gyldig HTTPS-sertifikat aktivt.
(Bilde: Google)
Hva med websidene mine?
Dersom du benytter Wordpress, Joomla eller et annet CMS, eller websidene dine håndterer bruker-login, passord eller annen personlig eller sensitiv informasjon, så anbefaler vi på det sterkeste at du aktiverer gratis HTTPS for å beskytte deg selv og dine besøkende.
I tillegg til sikkerhetsaspektet, så er det også andre fordeler ved å aktivere HTTPS.
-
HTTP/2. Alle webhoteller hos Domeneshop som bruker HTTPS får også HTTP/2 på kjøpet. HTTP/2 er en etterlengtet modernisert utgave av HTTP-protokollen som ble utviklet på 90-tallet, og har i dag støtte i de fleste moderne nettlesere. HTTP/2 gir potensielt store forbedringer i lastetiden av websidene, spesielt for websider som laster mange mindre ressurser (bilder, stilskjemaer, osv). For å se et (noe kunstig) eksempel på forskjellen mellom HTTP og HTTPS, se https://www.httpvshttps.com/, og klikk på HTTP og HTTPS øverst til høyre.
-
Søkemotorer. Google tar blant annet HTTPS i betrakning når søkemotoren indekserer dine websider. Du kan altså potensielt forbedre din websides rangering i søkemotorer ved å aktivere HTTPS.
Dersom du skal aktivere, eller allerede har aktivert, HTTPS på dine websider, så anbefaler vi i tillegg at du aktiverer “Tving HTTPS” i kontrollpanelet slik at alle besøkende til HTTP-sidene automatisk blir videresendt til HTTPS-sidene i stedet. Det sørger også for at søkemotorer indekserer HTTPS-varianten av websidene. Se våre spørsmål og svar for nærmere informasjon.