Tacka inte nej till HTTPS

Photo by Jason Briscoe on Unsplash

Nu har kryptering skyddat din information i många år och du kanske använder något VPN-program för att säkra din uppkoppling till internet och skydda dina personuppgifter mot obehöriga ögon. Det är utmärkt, men i och med att tusentals webbplatser ännu använder det okrypterade protokollet HTTP i stället för HTTPS som använder kryptering, riskerar dina uppgifter att ändå komma på avvägar.

Även om din VPN-leverantör krypterar all trafik som lämnar din egen dator och sedan på ett säkert sätt vidarebefordrar denna till servern är dina data oskyddade om inte HTTPS är aktiverat. Informationen som överförs mellan VPN-leverantörens server och den okrypterade webbservern du besöker är inte krypterad över huvud taget.

Det här handlar inte om att vi på något sätt avråder från att använda VPN – använd det gärna! Det är till stor hjälp, i synnerhet när du använder publik Wi-Fi. Men vi råder dig verkligen att alltid använda HTTPS på dina egna webbplatser och se till att inte skriva in några lösenord eller andra personuppgifter på webbplatser som inte använder HTTPS.

Vad är HTTPS?

HTTP Secure, eller HTTPS, är en utökning av protokollet HTTP, Hypertext Transfer Protocol. Det utformades med syftet att säkra kommunikationen med hjälp av kryptering och autentisering av webbservern. Man aktiverar HTTPS på en webbserver genom att installera ett SSL-certifikat, en liten datafil som bekräftar webbserverns identitet för användaren och informerar webbläsarprogrammet att servern är tillförlitlig och aktivera kryptering av kommunikationen mellan webbläsaren och servern.

För en tid sedan växte den genomsnittliga mängden krypterad trafik på internet slutligen förbi mängden okrypterad internet-trafik så att alltså mer än 50 % av all information som passerar över internet var krypterad. Detta är i sig självt en stor framgång, men det finns fortfarande mycket kvar att göra, eftersom den andra hälften av all internet-trafik ännu är okrypterad. HTTPS är i sig självt inte perfekt, men långt mycket bättre än HTTP både vad gäller hastighet och säkerhet.

Vi hoppas att vi någon dag får se all internettrafik är krypterad. Därför ger vi alla våra kunder gratis SSL-certifikat som skapas och installeras automatiskt på deras WordPress-webbplats när de börjar använda våra webbhotells- och drifttjänster för WordPress.

Om du har installerat ett SSL-certifikat och HTTPS fungerar på din webbplats kan det fortfarande hända att du får säkerhetsvarningar i vissa webbläsare. Detta beror på blandat innehåll, alltså att vissa filer på din webbplats fortfarande levereras via en okrypterad HTTP-uppkoppling. Det händer ofta att om en webbplats börjar använda HTTPS efter att innehållet redan laddats upp via HTTP så behöver det befintliga innehållet som levereras via HTTP styras om till HTTPS. I WordPress kan detta lösas t.ex. med tillägget SSL Insecure Content Fixer eller genom att man via SSH söker och ersätter berörda URL:er.

Firefox blockerar blandat innehåll som är aktivt. Det innebär att exempelvis skript, länkar och inlänkat innehåll av typen iframe blockeras av besökarens webbläsare om man besöker en webbplats som inte är korrekt skyddad med HTTPS. Något som är ännu värre för webmasters som saknar SSL-certifikat eller inte har konfigurerat HTTPS-anslutningen på rätt sätt är att Firefox-användare kan välja att aktivera en extra säkerhetsfunktion som även blockerar passivt blandat innehåll. I så fall blockerar webbläsaren inte bara länkar och skript utan även passivt innehåll, såsom bilder, videoklipp och ljudfiler.

Google Chrome har sedan version 62 flaggat webbplatser som ”osäkra” om de frågar efter användaruppgifter över okrypterad HTTP-anslutning. Den utgåvan släpptes som stabil version i oktober 2017. Och version 68 (juli 2018) flaggar alla webbplatser som inte använder HTPPS som osäkra. På samma sätt som Firefox, blockerar även Chrome osäkra element och delar av webbplatsen.

Varför behöver din webbplats HTTPS?

Att ha HTTPS aktiverat på din webbplats innebär att dina användares information är skyddad, att dina egna inloggningar är säkrade och att dina webbplatsbesökare inte får några varningar i sin webbläsare om att din webbplats inte är säker, för att bara ge några skäl.

Det innebär också att din webbplats har möjlighet att använda protokollet HTTP/2, en uppdaterad och snabbare version av HTTP. Utöver den högre säkerheten blir din webbplats då snabbare och rankas därmed högre av Google, eftersom Google uppger att både användning av HTTPS och webbplatsers hastighet är faktorer som påverkar rankningen.

Så frågan blir om det finns någon anledning att inte använda HTTPS?

Skydd med HTTPS är en de funktioner som Seravo erbjöd tidigt. Sedan år 2016 har vi utan extra kostnad tillhandahållit SSL-certifikat, installerade och klara, för alla WordPress-webbplatser på våra servrar. Vissa webbhotell tar extra betalt för detta och hos vissa kan du behöva installera dem på egen hand.

I vår kunskapsbas kan du läsa mer om hur även du kan aktivera HTTPS på din WordPress-webbplats!

Men varken ”Jag vill inte betala extra för det” eller ”Jag vet inte hur jag installerar det” är numer några skäl att inte börja använda HTTPS. Seravo investerar i informationssäkerhet och skydd via HTTPS är ett av många sätt att förbättra säkerheten hos en webbplats. Läs mer om Seravos olika funktioner för informationssäkerhet.


Comments

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *