Hva er HTTP?
For å forstå hva HTTPS er kreves det først en rask innføring i HTTP.
HTTP er en forkortelse for HyperText Transfer Protocol. Det er rett og slett en fremgangsmåte for overføring av informasjon samt lenking til andre kilder med informasjon.
Protokollen har en spørsmål- og svar-funksjon. Det betyr i praksis at du som bruker sender en forespørsel om å få se for eksempel http://www.google.no, og Google svarer med å vise deg innholdet på siden.
Imidlertid er HTTP kun fokusert på at innholdet som etterspørres presenteres på riktig måte hos brukeren, uten å «bry seg» om hvordan dataene forflytter seg fra punkt A til punkt B.
HTTPS vs HTTP
Hva betyr så den S-en i HTTPS?
HyperText Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, hvor alt innhold som blir sendt og mottatt er kryptert.
Dersom du for eksempel fyller ut et skjema med passord, vil nettsiden være den eneste som kan lese dette. Dette gjelder også den andre veien, hvor en nettside trygt kan sende deg sensitiv informasjon.
I tråd med Googles egen anbefaling om å alltid benytte HTTPS er dette det foretrukne alternativet når man driver med å utvikle nettsider.
Hvorfor kryptering?
Uten kryptering kan personer som har tilgang til infrastrukturen mellom deg og serveren til nettsiden se alt innhold som sendes.
Krypteringen løser dermed dette problemet ved å omforme data slik at det du sender kun kan leses av serveren og det serveren sender kun kan leses av deg.
Graden av beskyttelse avhenger av hvor korrekt implementasjonen av HTTPS er i nettleseren, tjeneren og hvilken krypteringsalgoritme som er brukt.
HTTPS er ingen egen protokoll, men en kombinasjon av vanlig HTTP over en kryptert SSL- (Secure Sockets Layer) eller TLS-kopling (Transport Layer Security). Dette skaper også beskyttelse mot avlytting, mellomleddsangrep og endring av sendte data.
HTTPS for beskyttelse mot passordtyveri
Det finnes også tilfeller hvor den eller de som har kontroll over infrastrukturen utgir seg for å være en nettside du er i kontakt med. Dette skjer spesielt på åpne trådløse nettverk, hvor alle kan lese informasjonen som sendes.
Hensikten kan være å fange opp passord til en nettside du bruker. For å løse dette problemet bruker HTTPS en tredjepart som bekrefter at nettsiden du sender kryptert informasjon til faktisk er den som nettsiden utgir seg for å være.
Hva er SSL og hvordan får du det?
Når en webtjener skal settes opp for å akseptere HTTPS-forbindelser for å bevise at et domene er sikkert og ekte, må administratoren opprette et digitalt sertifikat. For nettsider kalles dette et SSL-sertifikat (Secure Sockets Layer).
Disse sertifikatene må så signeres av en sertifikatautoritet, som beviser at sertifikateieren virkelig er entiteten den oppgir å være – for eksempel en organisasjon eller en person. Nettlesere er generelt distribuert med signeringssertifikatene til kjente sertifikatautoriteter for å kunne verifisere at sertifikatene virkelig er signert av dem.
Hvilket SSL-sertifikat er best?
Det finnes mange ulike typer SSL-sertifikater på markedet, både betalte og kostnadsfrie. Det finnes fordeler og ulemper ved begge, så du må vurdere hva som passer deg best.
Betalte SSL-sertifikater passer gjerne best dersom du har en stor nettside og behandler mye sensitiv informasjon. For en mindre personlig blogg vil en gratisversjon av et SSL-sertifikat, eksempelvis Let's encrypt, fungere fint.
Organisasjoner kan også drive sin egen sertifikatautoritet til sitt intranett. Der kan de legge egne signeringssertifikater til dem som allerede fulgte med nettleseren. Noen sider, spesielt de som er drevet av hobbybrukere, bruker selv-signerte sertifikater på offentlige nettsider.
Ved å gjøre dette sikrer de seg mot enkel avlytting, men det kan ikke stoppe et mellomleddsangrep slik et godkjent sertifikat kan.
Google verdsetter HTTPS
Google setter sikkerhet høyt. Selv benytter de HTTPS som standard. I tillegg ønsker de at nettsteder som besøkes fra deres søkeside også skal være trygge. HTTPS er allerede en rangeringsfaktor som Google vurderer å styrke i tiden fremover.
Varsler om usikre sider
Googles nettleser Chrome varsler fra og med versjon 56 brukerne når de går inn på sider uten SSL-sertifikat.
Gmail varsler også brukeren dersom e-post sendes via en ikke-kryptert forbindelse. Varselet er forholdsvis diskret, og kommer i form av et hengelås-ikon som vises sammen med meldingene man mottar eller vil sende.
Få hjelp med HTTPS
Har du spørsmål angående HTTP/HTTPS, eller ønsker du bistand til å sette opp et godkjent sertifikat?
Ta gjerne kontakt via våre nettsider, eller ring oss på +47 21 39 94 11, så hjelper vi deg!