SSL-certifikat

SSL står för Secure Sockets Layer och är den teknik som gör det möjligt att kryptera kommunikation mellan en server och en webbläsare. SSL har har två viktiga säkerhetsfördelar där den första är autentisering för hemsidor och den andra är möjligheten att kryptera trafik mellan en server och en webbläsare, vilket innebär en säkrare miljö för dig som användare.

Enkelt uttryckt kan man säga att ett SSL-certifikat är en typ av elektronisk legitimation. Med SSL kan en webbplats legitimera sig på samma sätt som du kan legitimera dig med Bank-ID. Tekniken innebär en typ av legitimationskontroll där det kontrolleras vem som innehar certifikatet. Hemsidor med ett SSL-certifikat känns igen genom att de använder HTTPS i stället för HTTP.

Varför SSL?

Den främsta anledningen till att använda sig av SSL-certifikat är att för att skapa en säker miljö för besökare på en webbsida. SSL säkerställer att all data mellan en webbläsare och en server är krypterad. Skulle någon komma över trafiken skulle den vara omöjlig att tolka. Således finns ingen risk att personuppgifter eller kreditkortsuppgifter hamnar i fel händer.

Ett SSL-certifikat visar att en webbsida är säker och i alla större webbläsare visas detta tydligt med hjälp ett lås i adressfältet. I Chrome blir hemsidor utan SSL rödmarkerade med texten “Inte säker” och i Safari visas texten “Inte säker” tillsammans med ett utropstecken. Utöver detta bestraffar sökmotorer såsom Google webbsidor utan SSL-certifikat i sökrankingar.

Hur fungerar SSL?

Enkelt förklarat skapas genom SSL en offentlig och en privat nyckel. Den offentliga nyckeln möjliggör för vem som helst att kryptera data som därefter enbart kan avkrypteras av den som innehar den privata nyckeln. Motsatt kan data som har krypterats med den privata nyckeln bara tolkas när den har avkrypterats med hjälp av den offentliga nyckeln.

När du besöker en webbsida som innehar ett SSL-certifikat upprättar din webbläsare en säker anslutning mot webbservern. Den granskar SSL-certifikatet, kontrollerar att det inte gått ut och skapar därefter en säker anslutning. Utöver webbläsaren och webbservern kan ingen ta del av den data som skickas. Allt sker dessutom utan någon manuell inblandning – anslutningen upprättas och säkras automatiskt.

Valideringsnivåer

Du kan skapa ett certifikat själv, men det är då ett självsignerat certifikat som inte har alla de fördelar ett officiellt utfärdat certifikat har. När ett självsignerat certifikat används får webbsidans besökare upp en varning, vilket kan skada förtroendet för webbsidan. För att undvika detta krävs ett certifikat som är utfärdat av en Certificate Authority – en godkänd utfärdare.

En Certificate Authority kan utfärda tre olika typer av certifikat: domänvaliderade (DV), organisationsvaliderade (OV) och certifikat med en utökad validering (EV). Domänvalidering innebär att det endast genomförs en kontroll av huruvida den som söker certifikatet har kontroll över domännamnet, medan organisationsvalidering innebär att det dessutom görs en kontroll av att uppgifterna för den organisationen som beställer SSL-certifikatet stämmer.

EV-certifikat ovanligare

EV-certifikat är ovanligare, men oerhört viktiga i sammanhang där säkerheten är av extra stor betydelse. EV står för Extended Validation och har en hög nivå av kontroll vid utfärdandet. Med ett EV-certifikat är företagets namn grönt i webbläsarens adressrad, vilket innebär att du som besökaren lätt kan se att du besöker rätt webbplats. Som exempel har många internetbanker denna certifikattyp.

Vem använder SSL och vad ska man tänka på?

Normalt sett kanske du inte reflekterar över huruvida en sida du besöker innehar ett SSL-certifikat eller inte – men vad händer den dagen du stöter på en säkerhetsvarning? När en webbläsare varnar om avsaknad av SSL-certifikat bör du ta det på allvar. Pålitliga webbsidor använder tillförlitligt utfärdade certifikat – och är noggranna med att hålla dessa aktuella.

Leave a Reply

Your email address will not be published. Required fields are marked *