Hopp til innholdet

Hva er HTTPS?

HyperText Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, hvor alt innhold som blir sendt og mottatt mellom din nettleser og nettsiden er kryptert. Her kan du lese mer om hva dette betyr.

https-ssl.jpg – Nettrafikk
En fremgangsmåte for overføring av informasjon

Hva er HTTP?

For å forstå hva HTTPS er kreves det først en rask innføring i HTTP.

HTTP er en forkortelse for HyperText Transfer Protocol. Det er rett og slett en fremgangsmåte for overføring av informasjon samt lenking til andre kilder med informasjon.

Protokollen har en spørsmål- og svar-funksjon. Det betyr i praksis at du som bruker sender en forespørsel om å få se for eksempel http://www.google.no, og Google svarer med å vise deg innholdet på siden.

Imidlertid er HTTP kun fokusert på at innholdet som etterspørres presenteres på riktig måte hos brukeren, uten å «bry seg» om hvordan dataene forflytter seg fra punkt A til punkt B.

http-https.jpg – Nettrafikk
Få en trygg nettside

HTTPS vs HTTP

Hva betyr så den S-en i HTTPS?

HyperText Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, hvor alt innhold som blir sendt og mottatt er kryptert.

Dersom du for eksempel fyller ut et skjema med passord, vil nettsiden være den eneste som kan lese dette. Dette gjelder også den andre veien, hvor en nettside trygt kan sende deg sensitiv informasjon.

I tråd med Googles egen anbefaling om å alltid benytte HTTPS er dette det foretrukne alternativet når man driver med å utvikle nettsider.

https.jpg – Nettrafikk
En beskyttelse på nett

Hvorfor kryptering?

Uten kryptering kan personer som har tilgang til infrastrukturen mellom deg og serveren til nettsiden se alt innhold som sendes.

Krypteringen løser dermed dette problemet ved å omforme data slik at det du sender kun kan leses av serveren og det serveren sender kun kan leses av deg.

Graden av beskyttelse avhenger av hvor korrekt implementasjonen av HTTPS er i nettleseren, tjeneren og hvilken krypteringsalgoritme som er brukt.

HTTPS er ingen egen protokoll, men en kombinasjon av vanlig HTTP over en kryptert SSL- (Secure Sockets Layer) eller TLS-kopling (Transport Layer Security). Dette skaper også beskyttelse mot avlytting, mellomleddsangrep og endring av sendte data.

HTTPS for beskyttelse mot passordtyveri

Det finnes også tilfeller hvor den eller de som har kontroll over infrastrukturen utgir seg for å være en nettside du er i kontakt med. Dette skjer spesielt på åpne trådløse nettverk, hvor alle kan lese informasjonen som sendes.

Hensikten kan være å fange opp passord til en nettside du bruker. For å løse dette problemet bruker HTTPS en tredjepart som bekrefter at nettsiden du sender kryptert informasjon til faktisk er den som nettsiden utgir seg for å være.

sikker-nettside-ssl.jpg – Nettrafikk
Gjør din nettside sikker med et SSL-sertifikat

Hva er SSL og hvordan får du det?

Når en webtjener skal settes opp for å akseptere HTTPS-forbindelser for å bevise at et domene er sikkert og ekte, må administratoren opprette et digitalt sertifikat. For nettsider kalles dette et SSL-sertifikat (Secure Sockets Layer).

Disse sertifikatene må så signeres av en sertifikatautoritet, som beviser at sertifikateieren virkelig er entiteten den oppgir å være – for eksempel en organisasjon eller en person. Nettlesere er generelt distribuert med signeringssertifikatene til kjente sertifikatautoriteter for å kunne verifisere at sertifikatene virkelig er signert av dem.

Hvilket SSL-sertifikat er best?

Det finnes mange ulike typer SSL-sertifikater på markedet, både betalte og kostnadsfrie. Det finnes fordeler og ulemper ved begge, så du må vurdere hva som passer deg best.

Betalte SSL-sertifikater passer gjerne best dersom du har en stor nettside og behandler mye sensitiv informasjon. For en mindre personlig blogg vil en gratisversjon av et SSL-sertifikat, eksempelvis Let's encrypt, fungere fint.

Organisasjoner kan også drive sin egen sertifikatautoritet til sitt intranett. Der kan de legge egne signeringssertifikater til dem som allerede fulgte med nettleseren. Noen sider, spesielt de som er drevet av hobbybrukere, bruker selv-signerte sertifikater på offentlige nettsider.

Ved å gjøre dette sikrer de seg mot enkel avlytting, men det kan ikke stoppe et mellomleddsangrep slik et godkjent sertifikat kan.

Google verdsetter HTTPS – Nettrafikk

Google verdsetter HTTPS

Google setter sikkerhet høyt. Selv benytter de HTTPS som standard. I tillegg ønsker de at nettsteder som besøkes fra deres søkeside også skal være trygge. HTTPS er allerede en rangeringsfaktor som Google vurderer å styrke i tiden fremover.

Varsler om usikre sider

Googles nettleser Chrome varsler fra og med versjon 56 brukerne når de går inn på sider uten SSL-sertifikat.

Gmail varsler også brukeren dersom e-post sendes via en ikke-kryptert forbindelse. Varselet er forholdsvis diskret, og kommer i form av et hengelås-ikon som vises sammen med meldingene man mottar eller vil sende.

Ansatte i Nettrafikk – Nettrafikk

Få hjelp med HTTPS

Har du spørsmål angående HTTP/HTTPS, eller ønsker du bistand til å sette opp et godkjent sertifikat?

Ta gjerne kontakt via våre nettsider, eller ring oss på +47 21 39 94 11, så hjelper vi deg!