Har du brukt nettbanker, nettbutikker eller sosiale medier på nettet vet du at enkelte nettadresser starter med «https» i stedet for «http». Dessuten får disse en grønn hengelås foran nettadressen.
Men det du kanskje ikke var klar over er at alle nettsteder både trenger «https» for sikkerhetens skyld og enkelt kan få det.
Hva gjør et TLS-sertifikat?
TLS står for datatransportsikkerhet eller «Transport Layer Security». TLS betegnes også SSL, en egentlig foreldet betegnelse.
Kort fortalt er et TLS-sertifikat primært et offentlig dokument som garanterer at nettstedet det brukes på er det det utgir seg for å være, verifisert domene (nivå 1) eller også riktig juridisk organisasjon (nivå 2+). Det er lesbart og forståelig for både applikasjoner (programmer på maskiner) og mennesker. Riktignok er det de færreste av mennesker som leser slike, men stoler på at applikasjonen man bruker leser dem og sier fra hvis det ikke er gyldig.
Men det er en annen viktig egenskap ved slike sertifikater, nemlig den at de gjør det mulig med sikker kommunikasjon mellom din applikasjon, nettleseren på den «dings» du nå har foran deg, og tjenermaskinen som nettstedet ligger på («serveren»).
Med «sikker» menes at:
- kommunikasjonen, det som utveksles av tekst og data, ikke kan avlyttes av noen «mellommann», dvs. ikke noe system eller noen avlyttende person på den ofte lange og kronglete vei mellom din «dings» og tjenermaskinen
- kommunikasjonen kan ikke manipuleres, forandres på eller herpes med, uten at det straks fører til at den forkastes som ugyldig, før den i det hele tatt brukes til noe eller fører til noe
- kommunikasjonen kan ikke forfalskes
Hvorfor er TLS så viktig?
For å forklare det trenger vi se for oss en potensiell, uvedkommende «mellommann» og hva denne kan få se og gjøre uten TLS.
Han kan:
- se alt du sender inn til tjenermaskinen, som sider du besøker, innholdet av en privat melding du sender via et kontaktskjema, epost-adressen, kredittkortnummer, fødselsnummer, brukernavn og passord når du logger inn
- se alt som sendes fra tjenermaskinen tilbake til deg, som noen ganger er rent privat informasjon bare ment for dine øyne, f.eks private meldinger eller en saldo
- forandre på alt det ovennevnte i det det passerer, herunder blokkere f.eks sikkerhets-advarsler eller bekreftelser på at du godtar noe
- sende falsk informasjon begge veier, f.eks bestille ting du ikke har ønsket, i ditt navn, uten at noen egentlig kan oppdage at det ikke kan ha kommet fra deg
Hva kan så denne uvedkommende, alt fra en nysgjerrigper til en «hardcore» svindler, så gjøre med den stjålne eller forfalskede informasjonen i neste omgang, og da også på nettsteder som har TLS (https)?
Han kan:
- sørge for at enda mer sensitiv informasjon, f.eks kredittkortnummer, blir samlet inn fra intetanende som opplever at det er eller har blitt «obligatorisk»
- ta over din (brukerens) konto og benytte seg av eventuelle fordeler du, eller din bruker, har oppnådd
- ta over hele nettstedet ditt og legge ut svært uheldig materiale, alt fra reklame, spam, virus, utpressingsprogramvare og drive svindel, ofte helt uten at du, som eier nettstedet, er klar over hva det blir misbrukt til
- stenge deg ute fra, f.eks, din Facebook-konto og poste ubehagelige statusoppdateringer overfor dine følgere (særlig om du har brukt samme passord på ulike tjenester)
- foreta en fullstendig identitetstyveri, og slik handle varer og låne penger i ditt navn
Trenger vi virkelig TLS hos oss?
Ja. Det er en utbredt feiloppfatning at TLS og kryptering bare er nødvendig når man driver bank, behandler sensitive privatopplysninger eller driver netthandel. Alle nettsteder som har:
- noen form for tilbakemelding, «input» eller
- innlogging, herunder administrativ innlogging, trenger TLS.
Nær sagt hele «The World Wide Web», hele internett, trenger TLS. Det er kampanjer der ute for å bevisstgjøre nettstedseiere og brukere om nødvendigheten. Etterhvert som flere og flere beskytter seg konsentreres manipulasjonene, avlyttingene og svindelen til de som ikke har.
Den gode nyhet
TLS-sertifikater er nå tilgjengelig for en ganske rimelig penge, fra ca kr 200,- til 2 000,- pr år og domene, alt etter hva man trenger eller ønsker, fra enkleste validering til utvidet validering av den offisielle organisasjonen bak nettstedet.
Med WordPress, liggende på et solid webhotell og de verktøy vi besitter, er det heller ikke så stor jobb å konvertere alle interne lenker og adresser fra http til https. Det siste er nødvendig for å unngå såkalt «blandet innhold», der enkelte innbygde bokser med innhold er http, på en side som i utgangspunktet er https.
Be om tilbud
Har du WordPress, og ikke allerede har mottatt et tilbud fra oss, kontakt oss nedenfor