“Vad finns det för SSL-certifikat och vilket ska man välja?”

SSL/HTTPS skolan 2 av 3

Cybersäkerhet , Publikation , Teknik , Tjänster

Detta är det andra av tre inlägg i vår satsning på att skapa medvetenhet och kunskap kring SSL-certifikat och HTTPS.

I det första inlägget diskuterade vi grundläggande SSL/HTTPS. Vår slutsats var att användandet av SSL-certifikat gått från att vara ett undantag till att bli en regel. Läs det här.

I denna del kommer vi ge dig en grundläggande lektion i vilken typ av SSL-certifikat som finns och varför skillnaderna dem emellan faktiskt är viktiga.

 

Olika typer av SSL-certifikat

Vanligtvis pratat man om tre nivåer av SSL-certifikat – DV, OV och EV. Men att inte ha ett SSL-certifikat är även ett tillstånd som måste inkluderas i diskussionen för att till fullo förstå värdet av SSL-certifikat. Det är viktigt att ha med sig att dessa tre nivåer av SSL-certifikat inte betyder att det är någon skillnad på krypteringen av den information de är menade att skydda, det betyder bara att valideringsprocessen skiljer sig från varje nivå. Ju högre nivå, ju mer rigorös valideringsprocess har föregått utfärdandet. Samtidigt innebär en högre nivå på certifikat en högre nivå av upplevt förtroende för varumärket från besökaren på sajten.

  1. Att inte ha något certifikat alls
    Att inte ha något certifikat alls på exempelvis en hemsida innebär att informationsflödet mellan besökaren och webbservern på vilken hemsidan ligger är totalt transparent. En liknelse så god som någon är den att inte använda ett SSL-certifikat är som att posta ett brev med ett genomskinligt kuvert, så alla kan se brevets innehåll.
  2. Domain Validation (DV)
    Detta är den lägsta av alla valideringar, vilket samtidigt innebär att det är enklaste att få utfärdad. Valideringsprocessen består av att utfärdaren verifierar att en kontakt på domänen i fråga godkänner beställningen. Vanligtvis sker detta via mail men kan även ske via alternativa metoder. Den enda fördelen med denna typen av certifikat är den snabba valideringen och den relativt låga kostnaden. Nackdelarna är en högre risk för ”phishing” och ”man in the middle” attacker. Vissa utfärdare har gått så långt att de slutat utfärda DV-certifikat på grund av inställningen att nackdelarna med att använda ett DV-certifikat långt överskrider dess fördelar.
  3. Organisation Validation (OV)
    OV-certifikat är nivån över DV-certifikat. Som namnet antyder är valideringsprocessen för ett OV-certifikat mer rigorös än ett DV-certifikat och inkluderar en verifiering av organisationen bakom beställningen. Detta utförs vanligtvis genom att utföra stegen i en validering för ett DV-certifikat, men med tillägget att utfärdaren kontaktar bolaget med andra kontaktuppgifter än dem från själva domännamnet. Denna information publiceras sedan på certifikatet, vilket gör certifikatet mer transparent och hemsidan det är utfärdat på mer trovärdig.
  4. Extended Validation (EV)
    Om du någonsin sett ett grönt adressfält i din webbläsare har du sett ett EV-certifikat i bruk. Som namnet antyder är valideringsprocessen för ett EV-certifikat den mest rigorösa av de tre. De tar lite längre tid att få utfärdare, men för organisationer som vill uppnå den högsta nivån av förtroende för sitt varumärke är EV-certifikat ett måste. De flesta EV-certifikat kommer även med funktioner som skanning efter skadlig kod och ”brickor” att lägga på sin sajt. Dessa extra funktioner kan vara väldigt värdefulla när man lanserar ett nytt varumärke, sajt eller expanderar till en ny marknad. Detta då de adderar trovärdighet från en redan etablerade och trovärdiga aktörer i den digitala världen. Det gröna adressfältet är numera utbytt till ett hänglås med mer specifik information vid en närmare titt. Klickar besökaren på hänglåset i adressfältet visas istället organisationens validerade namn och land. Detta visar att ett EV-certifikat är i bruk och vilken organissation som certifikatet är validerat till.

 

När det kommer till vilket SSL-certifikat som är mest lämpligt för just dina behov finns det tyvärr inget universellt certifikat. Valet av certifikat beror på en mängd faktorer. På en extern webb kan det exempelvis vara en god idé att använda ett SSL-certifikat av den högsta nivå, ett EV-certifikat (Extended Validation) då det skapar det högsta förtroendet för din sajt – och ditt varumärke. För andra ändamål, där krypteringen är det enda som är viktigt, kan en lägre nivå av validering passa era behov. På Ports Group har vi erfarenheten och expertisen att guida dig i ditt val av certifikat, såväl som den säkra hanteringen av dina certifikat.

 

Vill du kolla om ni har SSL?

Vi har nyligen lanserat ett gratis analysverktyg vid namn besafe.online. Verktyget kontrollerar först och främst om en sajt har SSL, men ger även ytterligare information relaterad till en sajts säkerhet. Exempelvis om den har DNSSEC och/eller DMARC implementerat.

 

Kicka här för att komma till verktyget:

 

Nästa inlägg

I det nästa och sista imlägget om SSL/HTTPS kommer vi att diskutera den kanske minst diskuterade aspekten av SSL-certifikat;

”Hur man säkrar upp hanteringen av dem för att undvika potentiellt affärskritiska konsekvenser”

Kontakta oss idag och få veta mer om hur vi kan hjälpa er

contact@portsgroup.com

+46 31 720 20 00

Kontakta oss