SSL/HTTPS

Håll er data säker - och era SSL-certifikat under kontroll.

Hantering av SSL-certifikat

För att hantering av SSL-certifikat är alldeles för affärskritiskt för att bli lämnat åt slumpen.

Det pågår just nu ett skifte på webben mot en allt mer säker webb. Det mest grundläggande sättet att hålla sin data säker är att kryptera den med ett SSL-certifikat. Detta har resulterat i en exponentiell ökning efterfrågan för SSL-certifikat. Samtidigt har behovet för att säkerställa hanteringen av SSL-certifikat ökat för att undvika affärskritiska konsekvenser.

Då registrering och hantering av domännamn är en av Ports Groups kärnverksamheter har hantering av SSL-certifikat länge varit en självklar del av vår verksamhet. På Ports Group har vi som mål att säkerställa en säker hantering av alla tillgångar vi förvaltar. Oavsett om vi hanterar era domännamn och varumärken, eller bevakningstjänster, hostingtjänster eller SSL-certifikat är ansvaret vi tar det samma.

SSL-certifikatshantering hos Ports Group ger er:

  • Holistisk lösning för domännamn, DNS och SSL
    I vårt gränssnitt ports.management får du en unik holistisk vy över era SSL-certifikat, domännamn, hostingtjänster och varmärken som förvaltas av oss.
  • Strategisk konsultation och expertis
    Vi har erfarenheten och expertisen som krävs för att vara en partner för den säkra hanteringen av era SSL-certifikat.
  • Full browser kompabilitet
    Alla våra certifikat har maximal browser kompabilitet.
  • Brett utbud av certifikat
    Ports Group tillhandahåller certifikat från Symantec, Digicert, Geotrust och Thawte vilket innebär att du som kund alltid kan få rätt certifikat för dina behov.
  • Minimering av risken att ett certifikat löper ut av misstag
    I vår SSL-certifikatshantering säkerställer vi att ni får rätt information gällande förnyelsen av era certifikat. På detta sätt ska inga certifikat kunna falla mellan stolarna, vilket annars är vanligt på stora organisationer.

 

Processen

Låt vårt expertteam hjälpa er med en plan för en säkrare certifikatshantering.

  1. Analysen
    I samråd med er analyserar vi nuläget för era certifikat. Vilka certifikat finns det? Från vilka utfärdare? Med mera. Analysen sammanfattas i ett dokument tillsammans med en rekommenderad handlingsplan för optimering av den rådande certifikatshanteringen.
  2. Skapa kontroll
    Baserat på handlingsplanen möjliggör vi för kunden att få alla certifikat under kontroll, med slutmålet att alla certifikat ska hanteras av Ports Group för total kontroll och säkerket (se Konsolidering).
  3. Löpande certifikat partnerskap med portföljhantering
    Ports Group är en guldpartner till Digicert, Symantec, Geotrust och Thawte – vi har därför möjligheten att tillhandahålla en smidig och säker certifikatshantering, med en dedikerad kontaktperson och säker förvaltning.

Konsolidera SSL-certifikat

SSL-certifikat är vanligtvis registrerade:

  • Vid olika tillfällen
  • På olika löptider
  • Hos olika utfärdare
  • Av olika personer inom organisationen

Detta gör att hanteringen av certifikat väldigt svår, även inom små organisationer. För att inte nämna hur komplext det blir när det kommer till stora organisationer.

Vårt mål är att säkerställa samma säkra hantering av SSL-certifikat som vi gör med domännamn och varumärken. För maximalt skydd mot att certifikat fallerar på grund av bristfällig hantering är vår rekommendation alltid att konsolidera era certifikat.

Konsolidering av SSL-certifikat är en process som vanligtvis görs i stadier, detta för att kunna behålla de löptider som man redan betalt för.

På basis av analysen av nuläget gällande era SSL-certifikat (se Analys) genomför vi en konsolidering av era certifikat i två stadier:

  1. Transfer av Digicert certifikat
    Certifikat som är utfärdade av Digicert kan omedelbart förflyttas till vår förvaltning, vilket även förflyttar det administrativa ansvaret från er till oss. I vårt gränssnitt ports.management får ni en total överblick på era SSL-certifikat, domännamn, varumärken och hostingtjänster som vi förvaltar åt er.
  2. Ersättning av externa certifikat när de löper ut
    Tillsammans med er ersätter vi löpande externa certifikat i god tid innan de löper ut för att uppnå huvudmålet med en total hantering av alla certifikat via oss.

MPKI för SSL

Powered by:

Genom Ports Group kan ni även få tillgång till MPKI (Managed Public Key Infrastructure) för SSL-certifikat genom Digicert.

MPKI möjliggör att ni själva kan installera, inspektera, avhjälpa och förnya certifikat i ett skalbart gränssnitt.

Med en MPKI hos Digicert genom Ports Group får ni total kontroll, men utan nackdelarna med att vara en direktkund.

Fördelar med MPKI genom Ports Group:

  • Istället för att behöva betala med kreditkort faktureras alla kostnader faktureras av Ports Group
  • Strategisk expertis gällande SSL-certifikat tillhandahålls av Ports Group
  • Ports Groups konsulter kan agera administratörer om/när det behövs
  • Enkel, centraliserad bulkhantering för alla certifikatstyper
  • Plattformen kan skräddarsys i enlighet med er organisations unika struktur

En kort historik om SSL/HTTPS

Bakgrund
Användandet av SSL-certifikat (Secure Sockets Layer) är lika gammalt som internet självt. När information började flöda online dröjde det inte länge förrän behovet av att kunna säkerställa att ingen kunde tjuvlyssna på potentiellt känslig information uppkom.

SSL-certifikat möjliggör att det krypterade HTTPS-protokollet används istället för det ”gamla” HTTP. SSL-certifikatet är alltså ”hur” medan HTTPS-protokollet (som bland annat kan ses i form av ett hänglås i adressfältet på en webbrowser när man besöker en krypterad sajt) är ”varför”. Detta är varför SSL och HTTPS ofta nämns i samma mening. För att förenkla och undvika onödiga missförstånd refererar vi ofta till det som SSL/HTTPS.

Att inte använda ett SSL-certifikat är som att lägga ett brev i ett genomskinligt kuvert och sedan posta det, vilket gör att alla kan se dess innehåll. Ett SSL-certifikat krypterar informationen mellan sändaren och mottagen och gör det omöjligt att snappa upp.

Traditionellt har rekommendationerna kring när man ska använda ett SSL-certifikat varit:

  • När man har en e-handel och hanterar orders och betalningar.
  • När man har ett login på sin sajt.
  • När man hanterar känslig data såsom personuppgifter.
  • När man strävar efter ett högt förtroende för sin verksamhet och sina produkter/tjänster.

Men i dagens värld ser det lite annorlunda ut.

SSL/HTTPS idag
De senaste årens exponentiella ökning i internetbaserade bedrägerier – tillsammans med ”fake news” fenomenet – har lett till den makrotrend vi ser just nu med ett skifte mot ett alltmer säkrare internet.

Det kanske tydligaste exemplet på är detta blogginlägg som Google postade 2014, i vilket de introducerade HTTPS som en rankingsignal. Detta inlägg har blivit en modern klassiker. Google har sedan dess utvecklat denna målsättning under namnet “HTTPS Everywhere” och håller med en kombination av morot och piska på att öka antalet sajter på Google sök som använder HTTPS. Syftet är att tillhandahålla ett mer trovärdigt innehåll för sina användare.

När det kommer till sökmotoroptimering är Google öppna med att om två webbsajter är likvärdiga vad gäller övriga rankingsignaler, men den ena har SSL så kommer den att rankas högre i sökresultatet. Men det kanske mest intressanta är att enligt en nyligen genomförd undersökning genomförd av HubSpot Research kommer upp till 85% av respondenterna inte gå vidare på en sajt som inte är säker (har SSL).

Som ett resultat har antalet registrerade SSL-certifikat skjutit i höjden de senaste åren.

Därför handlar inte längre diskussionen om när man ska använda ett SSL-certifikat, utan när man vågar att inte använda det.

Vanliga frågor kring SSL/HTTPS

 

“Vilka typer av certifikat finns det?”

Vanligtvis pratat man om tre nivåer av SSL-certifikat – DV, OV och EV. Men att inte ha ett SSL-certifikat är även ett tillstånd som måste inkluderas i diskussionen för att till fullo förstå värdet av SSL-certifikat. Det är viktigt att ha med sig att dessa tre nivåer av SSL-certifikat inte betyder att det är någon skillnad på krypteringen av den information de är menade att skydda, det betyder bara att valideringsprocessen skiljer sig från varje nivå. Ju högre nivå, ju mer rigorös valideringsprocess har föregått utfärdandet. Samtidigt innebär en högre nivå på certifikat en högre nivå av upplevt förtroende för varumärket från besökaren på sajten.

  1. Att inte ha något certifikat alls
    Att inte ha något certifikat alls på exempelvis en hemsida innebär att informationsflödet mellan besökaren och webbservern på vilken hemsidan ligger är totalt transparent. En liknelse så god som någon är den att inte använda ett SSL-certifikat är som att posta ett brev med ett genomskinligt kuvert, så alla kan se brevets innehåll.
  2. Domain Validation (DV)
    Detta är den lägsta av alla valideringar, vilket samtidigt innebär att det är enklaste att få utfärdad. Valideringsprocessen består av att utfärdaren verifierar att en kontakt på domänen i fråga godkänner beställningen. Vanligtvis sker detta via mail men kan även ske via alternativa metoder. Den enda fördelen med denna typen av certifikat är den snabba valideringen och den relativt låga kostnaden. Nackdelarna är en högre risk för ”phishing” och ”man in the middle” attacker. Vissa utfärdare har gått så långt att de slutat utfärda DV-certifikat på grund av inställningen att nackdelarna med att använda ett DV-certifikat långt överskrider dess fördelar.
  3. Organisation Validation (OV)
    OV-certifikat är nivån över DV-certifikat. Som namnet antyder är valideringsprocessen för ett OIV-certifikat mer rigorös än ett DV-certifikat och inkluderar en verifiering av organisationen bakom beställningen. Detta utförs vanligtvis genom att utföra stegen i en validering för ett DV-certifikat, men med tillägget att utfärdaren kontaktar bolaget med andra kontaktuppgifter än dem från själva domännamnet. Denna information publiceras sedan på certifikatet, vilket gör certifikatet mer transparent och hemsidan det är utfärdat på mer trovärdig.
  4. Extended Validation (EV)
    Om du någonsin sett ett grönt adressfält i din webbläsare har du sett ett EV-certifikat i bruk. Som namnet antyder är valideringsprocessen för ett EV-certifikat den mest rigorösa av de tre. De tar lite längre tid att få utfärdare, men för organisationer som vill uppnå den högsta nivån av förtroende för sitt varumärke är EV-certifikat ett måste.

 

“Vilken typ av SSL-certifikat ska vi ha?”

Det finns inget universellt certifikat. Att avgöra vilket certifikat som bäst passar era behov beror på en mängd faktorer. På en extern webb exempelvis kan det vara en god idé att använda ett SSL-certifikat av den högsta nivå, ett EV-certifikat (Extended Validation) då det skapar det högsta förtroendet för din sajt – och ditt varumärke. För andra ändamål, där krypteringen är det enda som är viktigt, kan en lägre nivå av validering passa era behov. På Ports Group har vi erfarenheten och expertisen att guida dig i ditt val av certifikat, såväl som den säkra hanteringen av dina certifikat.

 

“Vad händer om/när mina certifikat löper ut?”

När ett certifikat inte förnyas, är inte krypteringen längre säkrad och därför inte längre säker.

SSL-certifikat löper en förutbestämd tid, från ett till två år. En vanlig missuppfattning gällande SSL-certifikat är att de “förnyas”. I praktiken behöver ett SSL-certifikat bytas ut med ett nytt. Men det finns även situationer då ett certifikat måste bytas ut långt före dess utlöpsdatum.

Det mest uppenbara användningsområdet för ett SSL-certifikat är den tidigare nämnda migreringen från HTTP till HTTPS på en hemsida, som kan identifieras med en idag välkända hänglåsikonen i webbläsarens adressfält. Effekten av att icke-fungerande SSL-certifikat för en hemsida är smärtsamt uppenbar när det inträffar. Hela länkstrukturen på hemsidan är baserad på HTTPS, inte HTTP. När ett SSL-certifikat inte byts ut när det löper ut blir hela hemsidan onåbar för besökarna då protokollet inte längre stöds.

Men många glömmer att SSL-certifikat inte bara används för att kryptera trafik mellan en hemsida och en besökare. SSL-certifikat används faktiskt i en mängd olika sammanhang, för olika syften. Exempelvis för VPN-anslutningar, molnlösningar, server till serverkommunikation med mera. Att misslyckas med att hanteras sina SSL-certifikat kan påverka ett helt bolags infrastruktur.

 

”Vilka är de största riskerna associerat med certifikatshantering?”

  • Felaktig implementation
    Felaktig implementation kan faktiskt vara värre än att inte ha ett SSL-certifikat alls.
  • Otillräcklig certifikatshantering
    Otillräcklig hantering av SSL-certifikat kan ha affärskritiska konsekvenser. Allt från externa effekter såsom onåbara hemsidor och skadat renommé, till interna effekter som arbetsoförmögna medarbetare och/eller läckage av känslig information.

Är er sajt säker?

Vet du om din sajt har ett SSL-certifikat idag?

På vår sajt besafe.online har vi skapat ett analysverktyg där du enkelt kan testa om din sajt. Utöver SSL kollar analysverktyget även om sajten har DMARC (en grundläggande del av skyddet mot att er domän kan användas för epostbedrägerier) samt DNSSEC (en säkrare variant av DNS som säkrar upp för zonkapningar).

 

 

Vill du veta mer om SSL/HTTPS?

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

När du kontaktar Ports Group behandlas dina personuppgifter i enlighet med vår Integritetspolicy.