Hem / Serverdrift / SSL-certifikat

Serverdrift

SSL-certifikat

Hänglåset i adressfältet är bara toppen av isberget. Så fungerar SSL-certifikat, vilka typer som finns och vad du behöver hålla koll på för att slippa en plötslig varningsskylt i besökarens webbläsare.

Hänglåsikon och certifikatinformation i en webbläsares adressfält

Ett SSL-certifikat, tekniskt sett numera oftast TLS även om SSL fortfarande är det vedertagna namnet, krypterar trafiken mellan besökarens webbläsare och din server. Utan det skickas allt i klartext, vilket gör det möjligt för en tredje part på samma nätverk att läsa eller manipulera det som överförs. Med HTTPS aktiverat ser besökaren ett hänglås i adressfältet, och webbläsaren varnar tydligt om en sida saknar kryptering, särskilt när sidan innehåller formulär eller inloggning. För en företagswebbplats i dag är HTTPS inte förhandlingsbart, det är grundläggande hygien.

DV, OV och EV – tre typer av certifikat

Domänvaliderade certifikat, förkortat DV, är vanligast. Utfärdaren kontrollerar bara att du äger eller kontrollerar domänen, till exempel via DNS-drift och namnservrar, processen är automatiserad och certifikatet kan normalt utfärdas inom kort tid. Organisationsvaliderade certifikat, OV, kräver att utfärdaren också verifierar att företaget bakom domänen faktiskt existerar som juridisk person, vilket tar längre tid men kan ge ett visst extra förtroende. Extended validation, EV, innebär den mest omfattande granskningen av företagets identitet. Tidigare visade en del webbläsare företagsnamnet i grönt i adressfältet för EV-certifikat, men de senaste åren har flera stora webbläsare tonat ner eller tagit bort den särskilda visuella markeringen. Exakt hur det visas kan skilja mellan webbläsare och ändras över tid, men själva valideringen finns kvar och kan vara relevant av andra skäl, till exempel för vissa finansiella tjänster.

Gratis eller betalt certifikat – spelar det roll?

För de allra flesta sajter räcker ett gratis, automatiskt förnyat DV-certifikat via Let's Encrypt eller motsvarande, vilket i dag är vanligt hos seriösa webbhotell utan extra kostnad. Krypteringen brukar i praktiken vara likvärdigt stark oavsett om certifikatet är gratis eller betalt, det som skiljer är valideringsnivån och eventuella tilläggstjänster som garantier eller support från utfärdaren. Ett betalt certifikat med organisationsvalidering kan vara motiverat om du av branschskäl eller kundkrav behöver kunna visa en verifierad företagsidentitet, men för en vanlig informations- eller e-handelssajt är det sällan avgörande. Kampanjpriser och paketupplägg för certifikat och webbhotell förekommer och varierar över tid, så kontrollera alltid aktuella villkor och prisinformation hos leverantören innan du bestämmer dig.

Vem ansvarar för certifikatet – webbhotell eller du själv?

Här skiljer det sig tydligt mellan olika typer av hosting. På ett delat webbhotell sköts certifikatet normalt automatiskt: det utfärdas, installeras och förnyas utan att du behöver göra något alls, det brukar helt enkelt ingå. Väljer du istället en VPS eller dedikerad server för att få mer kontroll över driften tar du samtidigt över ansvaret för certifikatet. Leverantörer som Wopsa och HostUp ger dig en egen server, men det är du eller den du anlitar som ansvarar för att certifikatverktyget är korrekt konfigurerat och att förnyelsen faktiskt sker, till exempel via ett automatiserat klientprogram som förnyar certifikatet innan det går ut. Är du ny på att sköta driften själv finns en genomgång av Linux-server för nybörjare, och om du fortfarande väger olika VPS-alternativ mot varandra kan vår genomgång av VPS vara ett bra nästa steg. Väljer du istället ett vanligt webbhotell med SSL inkluderat, som många av paketen hos Loopia, slipper du i regel tänka på detaljen själv.

Så kontrollerar du ditt certifikat: klicka på hänglåset i adressfältet i webbläsaren och välj att visa certifikatet. Där ser du vilken typ det är, vem som utfärdat det och framför allt vilket datum det slutar gälla.

Vad händer om certifikatet hinner gå ut

Om förnyelsen missas visar webbläsaren en varningssida istället för din sajt, med tydlig text om att anslutningen inte är privat eller säker. De flesta besökare stänger sidan direkt istället för att klicka sig förbi varningen, vilket i praktiken innebär att sajten är otillgänglig för nya besök så länge felet kvarstår. Gratis certifikat från Let's Encrypt har normalt en giltighetstid på 90 dagar och är byggda för att förnyas automatiskt långt innan dess, men om automatiseringen fallerar, till exempel efter en serveruppdatering som stör förnyelseskriptet, upptäcks det ofta först när en kund hör av sig om varningen. Har du en egen VPS är det därför klokt att antingen lita på ett väl beprövat automatiserat verktyg eller att aktivt bevaka utgångsdatumet, snarare än att anta att allt sköter sig självt.

Vanliga frågor

Vad är skillnaden mellan HTTP och HTTPS?

HTTPS är HTTP med kryptering via SSL/TLS tillagd, vilket skyddar trafiken mellan besökare och server. Webbläsare varnar tydligt om en sida saknar HTTPS.

Kostar SSL-certifikat pengar?

Inte nödvändigtvis. Gratis, automatiska DV-certifikat som Let's Encrypt är standard hos de flesta webbhotell och räcker för de allra flesta sajter.

Vem ansvarar för att certifikatet förnyas?

På delat webbhotell sköts det automatiskt av leverantören. På en egen VPS eller server är det du själv, eller den du anlitar, som ansvarar för installation och förnyelse.

Vad händer om certifikatet hinner gå ut?

Webbläsaren visar en tydlig säkerhetsvarning och de flesta besökare lämnar sidan direkt. Automatiserad förnyelse med god marginal är därför viktigt.

Annonslänkar: Cronaweb kan få provision om du går vidare via länkarna på sidan.