Hvorfor skal man have et SSL Certifikat
Hvad er et SSL certifikat egentligt?
Et SSL certifikat er noget som enhver e-forretning, hjemmeside eller internet applikation der håndterer personlige oplysninger bør have, for deres og deres brugere/kunders sikkerhed.
Hvis du er involveret i e-handel, har du sikkert hørt om termen ”SSL Certifikat”. Et SSL certifikat er en måde at forsikre besøgende om at din webshop er et sikkert sted at handle. SSL står for Secure Sockets Layer, SSL er en krypteringsprotokol der sikrer at kun afsender og modtager kan læse informationen der sendes der imellem. Et SSL certifikat udfører to primære tekniske opgaver:
- Den primære funktion, krypterer information imellem afsender og modtager, f.eks. under en online handel eller download af personlige oplysninger fra en webside. Dette betyder at andre ikke kan opsnappe denne information og udnytte den til andre formål end tiltænkt. Hvis nogen skulle få fat i informationen der sendes imellem websiden og kunden, vil du kun modtage en masse meningsløse numre og bogstaver hvis ikke de har de rigtige nøgler.
- Et SSL certifikat inkluderer også informationer om siden der besøges, f.eks. webbutikkens firma navn. Dette gør at kunden kan verificere at webbutikken eller hjemmesiden tilhører det firma som kunden regner med. Sidens identitet bliver altså bestemt og sikrer at kunden ikke indtaster informationer som kreditkort, cpr-nummer og telefonnummer til en falsk side der udgiver sig for at være et andet firma.
Hvis du har en online forretning bør du have et SSL certifikat, ellers kan du miste kunder fordi de ikke stoler på dit site eller at deres oplysninger er sikre når de sendes eller hentes fra din forretning. Det gælder også hvis du har en side hvor brugerne kan hente følsomme oplysninger som f.eks. e-mail eller interne firmaoplysninger der er følsomme, som ikke må kunne læses af andre end brugeren der anvender siden. Ellers risikerer du at andre kan opsnappe login koder, interne prislister eller anden følsomme informationer der kan udnyttes eller skade din virksomhed.
Hvordan virker et SSL certifikat?
Et SSL certifikat er lidt ligesom at anvende en sikker anbefalet konvolut til at beskytte private oplysninger. Forestil dig at du sender dine kreditkort oplysninger og underskrift til en virksomhed måske tilmed i et andet land på bagsiden af et postkort, det er sådan information på internettet normalt sendes. Ved at anvende et SSL certifikat er det som at ligge disse oplysninger ned i en sikker konvolut med en lille hængelås på så den ikke kan åbnes.
Der anvendes to nøgler i et SSL certifikat. Den første nøgle er en offentlig nøgle, denne er frit tilgængelig og et website vil automatisk vise sin nøgle til besøgende. Når en klient sender data til en webserver anvender den nøglen til at sikre at kun servere kan læse kommunikationen. Den anden nøgle er en privat nøgle, webserveren beskytter denne nøgle og ingen anden bør få adgang til den. Den private nøgle anvendes af webserveren til at åbne informationer krypteret til den offentlige nøgle. Der findes certifikater med forskellige størrelser af nøgler og derved sikkerhed. Nøglerne kommer fra 40bit kryptering (lav sikkerhed), 128bit kryptering (rimelig god sikkerhed) og helt op til 256bit kryptering (den bedste sikkerhed på nuværende tidspunkt).
Ved kommunikation på internettet anvendes porte til at beskrive hvor kommunikation skal sendes til. Den mest anvendte port er port 80 der anvendes ved normal ikke krypteret kommunikation til en webserver. Når SSL kryptering anvendes på en webside anvendes normalt port 443, det er muligt at anvende andre porte men som standard anbefales port 443. En webserver kan altså have et normalt ikke krypteret website på port 80 og et krypteret website på port 443, begge kørende på samme IP adresse. Det kan forstås lidt som at IP adressen er et telefon nummer og porten er et lokal nummer til dette nummer.
Det er vigtigt at huske at et krypteret website har brug for sin egen port og IP adresse, det er altså ikke muligt at have flere websites med forskellige SSL certifikater på en adresse. Dette er fordi webserveren skal svare med det rigtige certifikat inden forbindelsen kan laves, der kan altså ikke tages højde for hvad brugeren har skrevet og derved bestemme hvilket certifikat og website der skal vises til brugeren. Det kan man normalt godt med et ikke krypteret website, hvor flere websites kan dele samme IP adresse og port.
Begrænsninger ved SSL certifikater
Det er vigtigt at være klar over hvilke begrænsninger der er ved SSL certifikater. Selv om SSL certifikater giver en høj sikkerhed og beskyttelse, er der altid en vej rundt om næsten hvad som helst. Firmaet der udsteder certifikatet, niveauet af beskyttelse du betaler for, serverens egen sikkerhed og browseren der anvendes af kunden har alle indflydelse på sikkerheden. Men generelt er et SSL certifikat en god ide til en virksomhed fordi den giver beskyttelse af identitet og data. Selv hvis den beskyttelse ender med at være begrænset er den stadig bedre end ingen beskyttelse.
SSL certifikater kan udstedes fra en certifikatudsteder eller selvudstedes. Hvis du selvudsteder certifikatet vil du få kryptering imellem webserveren og klienten, men du vil ikke få beskyttelse af din identitet og browsere vil komme med en stor advarsel om at websitet kan være usikkert. Køber du et SSL certifikat fra en certifikatudsteder, er det vigtigt at vælge et certifikat der passer til ens behov. Der er mange certifikatudstedere, certifikater og egenskaber at vælge imellem og priserne er lige så varierede.
Hvorfor har jeg brug for et SSL certifikat til min webshop?
De fleste der starter en webshop er klar over at de har brug for et website med varer, services, informationer og en måde at bestille og betale for varerne. De færreste tænker på at de har brug for at gøre kunden tryg og sikre den information der kommer imellem kunden og webshoppen. Usikkerhed og utryghed for en kunde betyder som oftest at kunden ikke gennemfører handlen, så alle skridt der kan tages for at gøre kunden tryg ved webshoppen, øger antallet af gennemførte salg. Det kan være alt fra fysisk adresse og telefon nummer, til et SSL certifikat der beviser firmaets identitet og sikrer data imellem kunden og firmaet.
Derudover sikrer du også dig selv og kunden imod misbrug af informationer der deles imellem jer og at nogen kan lave et falsk website der ligner dit.
Hvorfor har jeg brug for et SSL certifikat til mit firmas webmail/intranet?
De fleste virksomheder ønsker et niveau af sikkerhed på deres data, de færreste ønsker at andre kan læse intern e-mail, dokumenter, interne prislister, marketingsplaner, osv. Når man har adgang til denne data fra eksterne maskiner over internettet, f.eks. igennem et intranet eller webmail adgang, er det vigtigt at være klar over om kommunikationen er beskyttet imellem klienten og serveren.
Oftest er intranet servere som Sharepoint og webmail klienter som Outlook Web Access ikke sikret eller beskyttet af et internt udstedt SSL certifikat. Et internt udstedet certifikat giver problemer for eksterne maskiner der forsøger at tilgå siden, med fejl og advarsler til brugeren og for mobile klienter er det oftest slet ikke muligt uden manuelt at lave ændringer på mobiltelefonen.
Med et SSL certifikat får du sikret data med kryptering, inkl. brugerens login og kode når de går på sitet. Derudover får du understøttelse til dine mobile enheder (afhængigt af valgt certifikat) og undgår fejlbeskeder i din browser. Du får altså både bedre beskyttelse og lettere adgang.
Valget af et certifikat afhænger meget af hvilken server der skal bruge certifikatet, om flere domæner skal bruges på en server og om mobile enheder skal tilgå siden. Men det kan sjældent betale sig at anvende et selvudstedt certifikat i forhold til f.eks. et billigt AlphaSSL eller GlobalSign Domain SSL certifikat.
4 Niveauer af beskyttelse
Du kan vælge imellem 4 niveauer af tryghed for dine kunder, valget afhænger både af dit budget men også af dine kunder. Hvis du har et produkt som kunden vil købe uanset trygheden betyder det ikke det store, men hvis du konkurrerer med andre webshops der sælger det samme, eller handler med kunder der ikke stoler på internettet eller ukendte webshops kan det have en kæmpe betydning for dine salg.
De 4 niveauer af beskyttelse beskrives herunder:
- Ingen SSL beskyttelse
Hvis du er sikker på folk stoler på din webshop og dens identitet og du ikke har konkurrenter der kan give en større tryghed, behøver du ikke et SSL certifikat. Men husk at du ikke bør overføre følsomme oplysninger til og fra kunden og oplysninger som kreditkort, cpr-numre og lignende skal udføres af en betalingsudbyder der anvender et sikkert SSL certifikat.
- Domæne valideret SSL certifikat
Et domæne valideret certifikat beskytter med fuld kryptering alt data der sendes til og fra kunden. Certifikatet kan udstedes til den som ejer domænet der besøges uden yderligere godkendelse. Det beskytter altså ikke kunden ved at sikre hvilken virksomhed der ejer domænet og SSL certifikatet. Hvis kryptering af følsomme oplysninger er den primære bekymring, men identiteten af virksomheden ikke har betydning er dette certifikat tilstrækkeligt.
- Firma valideret SSL certifikat
Et firma valideret certifikat beskytter både data med fuld kryptering og sikrer at websitet og SSL certifikatet tilhører den virksomhed der står på certifikatet. Der er altså både beskyttelse af følsomme data og identitet i dette certifikat.
- Udvidet firma valideret SSL certifikat
Et udvidet firma valideret certifikat, kræver en længere godkendelse af virksomheden, ejeren af virksomheden og evt. fysiske adresser. Til gengæld får virksomheden et Extended Validation SSL certifikat, der i nyere browsere som f.eks. IE7 vises med en grøn adressebar. Den ekstra visuelle bekræftelse af identiteten og at sitet bruger beskyttelse giver den største sikkerhed og tryghed for kunden. Dette certifikat gør en stor forskel i forhold til at udskille sig fra andre på markedet, som en virksomhed der lægger vægt på kundens tryghed.
