Hva er SSL/TLS, og hvorfor trenger jeg et SSL sertifikat?


Hva er SSL/TCI

Hva er SSL (Secure Sockets Layer)?

SSL står for Secure Sockets Layer og betyr at dataene som sendes mellom en brukermaskin (deg) og tjenermaskin (server/nettsted) er kryptert. Dette gjøres for at andre skal ikke skal kunne snappe opp og lese dataene som sendes mellom brukermaskinen og tjenermaskinen, gjennom å sette opp lytteposter eller tappe datalinjene.

Det foregår ved at tjenermaskinen (serveren/nettstedet) har en krypteringsnøkkel med to passord. Det ene kan bare brukes til å kryptere innholdet og kan derfor gis ut til alle (offentlig nøkkel).

Den andre kan brukes til å dekryptere innholdet og må selvsagt bare være kjent for eieren (privat nøkkel).

Når SSL brukes f.eks for å lese e-post så sender tjenermaskinen det offentlige passordet til brukermaskinen uten at brukeren av brukermaskinen trenger å vite om dette. Dette passordet (krypteringsnøkkelen) bruker så brukermaskinen til å lage meldingen uleselig (kryptert) for tredjeparter som ikke kjenner dekrypterings passordet (nøkkelen). Deretter sendes meldingen over nettet til tjenermaskinen. Tjenermaskinen mottar meldingen og dekrypterer den ved hjelp av sitt hemmelige passord (krypteringsnøkkel), og leverer meldingen videre inn i sitt lokale system. Dermed vil ingen mellom bruker og tjener kunne avlytte kommunikasjonen.

I denne sammenheng er det viktig å merke seg at det er kommunikasjonskanalen (linjen) som er kryptert, og ikke selve budskapet (dataene). Ønsker du maksimal sikkerhet mot uautorisert adgang bør også dataene som sendes og lagres krypteres.

Hva er TCL (Transport Layer Security)?

TLS står for Transport Layer Security, og er en nyere versjon av SSL, med mindre justeringer. Brukes bl.a. til å kryptere linjer som brukes til å sende/motta epost og filer.

Når trenger jeg SSL/TCL?

Hvis du kun har et nettsted som viser informasjon til de besøkende, uten at de trenger å oppgi noen som helst form for personlig eller sensitiv informasjon tilbake til nettsiden, trenger du ikke et SSL-sertifikat til ditt domene/nettsted. Samler du inn kundeopplysninger, påmeldinger til nyhetsbrev eller lignende trenger du absolutt et SSL-sertifikat for å sikre at ingen kan snappe opp informasjonen som sendes mellom brukeren (kunden) og ditt nettsted/server. At nettstedet har sikret linjen sin gjennom et SSL sertifikat er også i enkelte tilfeller lovpålagt. For eksempel er dette lovpålagt når det gjelder netthandel hvor det overføres kredittkortopplysninger i forbindelse med nettbetaling. Videre er dette lovpålagt i alle tilfeller hvor fødselsnummer eller andre sensitive data må oppgis. I tillegg bør alle virksomheter sørge for at alle sider hvor brukere må logge seg inn med et brukernavn og passord er sikret med et SSL-sertifikat. All sending og mottak av epost, samt overføring av filer bør skje ved hjelp av et SSL-sertifikat. Dette er et minimum.

Hvordan vet jeg om en linje benytter SSL?

Nettadresser som er sikret med SSL, begynner med https://: i stedet for http://, så enkelt er det f.eks. å sjekke om en nettside er sikret med SSL eller ikke. Av samme grunn kalles SSL også ofte for HTTPS.

Hva er et SSL-sertifikat?

Et SSL-sertifikat er et digitalt sikkerhetssertifikat som er utstedt til et domene, en organisasjon eller privatperson for å bevise at nettstedet er ekte. Det vil si at nettstedet er dem de utgir seg for å være og ikke er en «mann-in-middel».

Et SSL-sertifikat inneholder vanligvis:

  • Identiteten til den eller det som sertifikatet skal identifisere
  • En gyldighetsperiode
  • Et løpenummer som identifiserer sertifikatet unikt
  • Hvilket anvendelsesområde sertifikatet er utstedt for
  • En «offentlig nøkkel»

Hele sertifikatet er digitalt signert av en utsteder som bekrefter sertifikatets gyldighet.

Sertifikatene utstedes av en rekke alment anerkjente utstedere som kan bekrefte identiteten til den eller det som sertifikatet er utstedt til. Slike utstedere kalles en sertifikat-autoritet eller «CA» (Certificate Authority). En CA har i sin tur også et digitalt sertifikat. Når en CA signerer et sertifikat bruker den sitt eget sertifikat, som den igjen kan ha fått av en annen CA. En sertifikat-infrastruktur består av et hierarki hvor hver CA har et sertifikat som er signert av en CA høyere opp i hierarkiet. Øverst i hierarkiet står alltid en CA med et «rot-sertifikat«. Rot-sertifikatet er ikke signert av noen andre.

Den som skal kontrollere gyldigheten av et sertifikat må på forhånd enten kjenne den offentlige delen av sertifikatet som skal kontrolleres eller den offentlige delen av sertifikatet til en CA lengre opp i hierarkiet. En vanlig bruk er å velge å ha tillit til et CA-sertifikat som er høyt oppe i hierarkiet og som tilhører en kjent utsteder. Man velger da i praksis å stole på at alle sertifikater som er lengre ned i hierarkiet også er gyldige.

Produsentene av nettlesere (Internet Explorer, Chrome, Firefox, Safari og Opera) har i dag lagt inn alle CA rot-sertifikater på forhånd i nettleserne du kan laste ned og installere på din maskin.

Dette er gjort for at nettleserne skal kunne kontrollere SSL-sertifikatet før nettleseren viser nettsiden til brukeren. Er sertifikatet falskt får brukeren en advarsel i nettleseren sin dersom sertifikatet ikke kan spores tilbake til en kjent utsteder.

Lov om elektronisk signatur (esignaturloven) § 4 stiller for øvrig krav til kvalifiserte sertifikater (CA). Post- og teletilsynet vedlikeholder en liste over registrerte tilbydere av kvalifiserte sertifikater.

Dersom slike sertifikater benyttes til å signere dokumenter, ved hjelp av et sikkert signaturfremstillingssystem, vil resultatet være en kvalifisert signatur. Kvalifiserte signaturer vil alltid kunne oppfylle eventuelle formkrav til underskrifter, for disposisjoner som kan gjennomføres elektronisk, jf. esignaturloven § 6.

Hvordan går jeg frem for å få SSL/TLS?

Hvis du ikke har SSL og må implementere dette på én eller flere sider på nettstedet ditt, så anbefaler Google at du gjør det på følgende måte:

  1. Anskaff et SSL-sertifikat til nettstedet ditt. Et SSL-sertifikat er et elektronisk dokument som bekrefter identiteten til domenet/nettstedet ditt og tillater at det opprettes en forbindelse med sikker kryptering mellom en tjenermaskin og nettleseren til en besøkende (brukermaskin).
  2. Installer SSL-sertifikatet på nettjeneren. Installasjonsmetoden varierer avhengig av tjenermaskinen og hvilken type SSL-sertifikat du velger. Spesifikke installasjonsinstruksjoner, ressurser og støtte tilbys vanligvis av sertifikatleverandøren eller av hosting leverandøren.
  3. Identifiser sider på nettstedet som du vil sikre med SSL. De sikreste nettstedene bruker SSL på hele nettstedet, men dette er i prinsippet opp til deg. Sørg bare for at alle sider pålogginssider og sider som samler inn brukerinformasjon er besknyttet bak et SSL-sertifikat.
  4. Rediger koblinger til sidene (og sideelementer) du vil laste inn på en sikker måte. For sider du vil laste inn på en sikker måte endrer du koblingene til disse sidene ved å bruke https:// i begynnelsen i stedet for http://. Hvis du for eksempel vil endre http://checkout.google.com/login.htm til en sikker nettside, endrer du alle koblingene til denne siden på nettstedet ditt til https://checkout.google.com/login.htm. Det kan også være lurt å opprette tjenerviderekoblinger som automatisk ruter folk som prøver å gå til en usikker nettadresse, for eksempel http://checkout.google.com/login.htm, til en sikker tilkobling, for eksempel https://checkout.google.com/login.htm.
  5. Test for å bekrefte at sidene dine er sikre. Prøv å gå til alle de nye sikre sidene ved hjelp av minst to forskjellige vanlige nettlesere. Hvis du ser et hengelåsikon i nettleseren din, klikker du på det for å få mer informasjon og bekrefte at tilkoblingene dine er sikre. Den vanligste feilen er å ha «blandet innhold» på en https:-side. Det betyr at en eller flere elementer (vanligvis bilder, flash-filer eller CSS-filer) blir lastet inn på en https:-side som bruker en usikret http://-nettadresse. De fleste moderne nettlesere vil vise usikre ressurser på sider med blandet innhold i Javascript-konsollen (i noen nettlesere kan det kalles «Javascript-feilsøkeren»). Du løser disse problemene ved å undersøke HTML-koden for siden og gjøre følgende:
    • Søk etter http://
    • Erstatt alle forekomster du finner, med //
    • Lagre endringene i nettjeneren, og prøv å teste på nytt.

Hvis du fremdeles har problemer ved at du får advarsler om blandet innhold på siden, er det sannsynligvis på grunn av problemer i Javascript- eller flash-koden.

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden – innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

– Kunnskapssenteret.com
– Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.

Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter – små og store – fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.

Fyll ut skjemaet under for å tipse oss om en nyhet.





Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift («emne»), med nærmere informasjon («melding»).

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 

Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: