Begreppet SSL står för Secure Socket Layer och är kort formulerat standardteknologin för att upprätthålla säker kommunikation mellan en webbserver / webbplats och en webbläsare. Det ser till att obehöriga inte kan komma åt, modifiera eller radera information som skickas mellan en webbsida och en besökare, exempelvis vid en beställning eller vid ett formulärinskick.
SSL-certifikat har ett nyckelpar, ett publikt och ett privat. Dessa arbetar tillsammans för att etablera en krypterad koppling till varandra. Certifikatet innehåller också det man kallar “subjektet”, vilket är webbplatsägarens identitet.
För att få ett certifikat behöver ett CSR (Certificate Signing Request) skapas på din server. Den här processen skapar den privata och publika nyckeln på din server. CSR-datat som du skickar till SSL-certifikatets utgivare innehåller den publika nyckeln, även kallad CA (Certificate Authority). CA använder CSR-datafilen för att skapa en datastruktur som matchar den privata nyckeln, dock utan att själv kunna se den privata nyckeln.
Alla webbläsare har funktionalitet för att interagera med säkra webbservrar som använder SSL-protokollet. Men oavsett detta krävs ett SSL-certifikat för att etablera den säkra uppkopplingen.
Om du använder ett standardiserat webbhotell så finns det ofta inställningar för att aktivera ett så kallat “Let’s Encrypt”-certifikat (mer om detta nedan). I det fall du använder en egen server behöver certifikatet installeras manuellt. Instruktionerna för hur du installerar certifikatet varierar mellan olika serverleverantörer och tekniker.
Om ett SSL-certifikat inte är installerat på en webbplats så sker all trafik från och till webbplatsen okrypterat. Om man sitter på ett kafé eller en flygplats så kan då exempelvis hackers stjäla information såsom bankuppgifter eller andra känsliga uppgifter när man skickar in dem.
Sedan juli 2018 märker webbläsaren Chrome upp alla webbplatser som inte är säkrade med ett SSL-certifikat genom att skriva ut “Inte säker” uppe i det vänstra hörnet. Rent tekniskt innebär detta inte att det är något fel på webbplatsen, men besökarna kan bli varnade och tappa det visuella förtroendet för sidan. Google vill att internet ska bli en säkrare plats och gör allt de kan för att alla webbplatser ska ha SSL. Genom märkningen i Chrome (som utvecklas av Google) kan de skynda på denna process. De har även gått ut med att webbplatser som är säkra premieras i resultatlistningarna vid sökningar, vilket gör detta till en viktig faktor att ta hänsyn till om du vill synas på Google.
Om webbadressen till en webbplats börjar med HTTP:// så indikerar detta att SSL-teknologin inte är aktiverad. Om det istället står HTTPS:// så vet du att ett SSL-certifikat är uppsatt.
Let’s Encrypt är en kostnadsfri CA som utvecklas av Internet Security Research Group (ISRG). De tillhandahåller två typer av certifikat. Dels standard singeldomän-SSL samt wildcard-SSL som inte bara täcker en enstaka domän utan även alla dess subdomäner. Båda SSL-typerna utges för 90-dagar åt gången och förnyas ofta automatiskt (beror på serverleverantör).
Mer information finns på Let’s Encrypts officiella webbplats.
När en webbläsare försöker få tillgång till en webbplats som är säkrad med SSL sätts en kommunikation upp i en process som kallas “SSL-handskakning”. Tre olika nycklar används för att sätta upp SSL-kommunikationen; den publika, den privata och sessionsnyckeln. All data som är krypterad med den publika nyckeln kan bara avkrypteras med den privata nyckeln, och vice versa.
Eftersom kryptering och avkryptering med privata och publika nycklar kräver en hel del processorkraft så används dessa enbart vid handskakningen för att skapa en symmetrisk sessionsnyckel. Efter att den säkra uppkopplingen är etablerad används sessionsnyckeln för att kryptera all överförd trafikdata.
Få ett förslag inom ett dygn från oss på webbyrån Generation.
