Hvilke typer SSL-sertifikater finnes, og hvilket bør jeg velge?


velg-ssl

Det finnes en hav av ulike former for SSL-sertifikat ute på markedet, men hva er egentlig forskjellen mellom dem, hva bør jeg se etter, hvor sikre er de og hvilket bør jeg velge?

Hva er SSL og hva er formålet med SSL-sertifikatet?

SSL (Secure Socket Layers) er en global sikkerhetsstandard for å kryptere forbindelse mellom et nettsted og en brukers nettleser, epost- og ftp-klient, for å hindre innsyn fra uvedkommende.

SSL-sertifikatet viser nettbrukeren hvilket selskap som eier domenet. Før dette kan skje må eierskapet være validert og bekreftet av en betrodd tredjepart (sertifiseringsautoritet CA), for å være gyldig.

Om et SSL-sertifikat er gyldig kan surferne på Internett enkelt se i sin nettleser. Er SSL-sertifikatet gyldig vil du se en hengelås i adressefeltet til nettleseren. I eksemplet under ser du at nettsiden er sikret ved hjelp av et hengelås symbol. I tillegg vises firmanavnet i en grønn linje som en ytterligere bekreftelse på SSL-sertifikatets gyldighet. I tillegg kan du se at nettsiden benytter SSL ved å se på URLen. Den begynner med med https:// i adressefeltet i stedet for http://..

evssl

Hvordan velge riktig SSL sertifikat

Å velge rett SSL-sertifikat er ofte forvirrende, men det trenger ikke å være slik. Jeg vil derfor bruke resten av artikkelen til å se litt nærmere på hva du bør se etter og hvilke beslutningskriterier du bør vektlegge når valget skal tas.

Nettlesergjenkjennelse

– Rett sertifikat maksimerer andelen nettlesere som gjenkjenner ditt sertifikat.

Dersom et SSL sertifikat ikke gjenkjennes av brukerens nettleser, vil brukeren få et varsel om at nettsiden ikke er trygg. Dette er selvsagt til stor ulempe for eieren av nettsiden som kan miste verdifulle brukere. Hvor stor andel av nettleserne som har forhåndsinstallert roten til de ulike SSL sertifikatene varierer en god del. Et godt sertifikat har minst 99 % nettlesergjenkjennelse.

Hvem er sertifikatet utstedt til?

– Sertifikater utstedt til et selskap skaper alltid mest trygghet for brukeren –

Et sertifikat kan være utstedt til et selskap, en privatperson eller et domene. Dette kommer tydelig frem i sertifikatet. For å gi brukeren maksimal trygghet må man velge en type sertifikat som kan utstedes til et selskap. Når sertifikatet er utstedt til et selskap har brukeren en økonomisk og juridisk enhet å forholde seg til, i motsetning til når sertifikatet er utstedt til en privatperson eller et domene. Dette skaper økt trygghet, men koster også deretter.

Validering

– En streng validering tydeliggjør for sluttbruker hvem som eier sertifikatet

Hensikten med validering er å vise sluttbruker at en uavhengig tiltrodd tredjepart (CA) har kontrollert at sertifikatet er utstedt til en rettmessig instans. Det er fem nivåer av validering avhengig av type sertifikat.

Valideringsstyrke E-post WHOIS Selskaps-database Utvidet
       
1. NV – Non Validation – Ingen Validering        
       
2. DV – Domain Validation – Domenevalidering: På et domenevalidert (e-postvalidert) sertifikat vil det kun fremkomme hvilket domene sertifikatet er utstedt til og ikke hvem som eier domenet. Sertifikatet gir ikke noen trygghet for brukeren i forhold til hvem man sender informasjon til og anbefales derfor kun til testformål, til interne server-til-server løsninger og for enkle nettsteder. X      
       
3. RV – Registrant Validation – Eiervalidering: De fleste sertifikater blir utstedt til eieren av domenet, enten et selskap eller en privatperson. Denne informasjonen står oppført i sertifikatet, samt hvilken uavhengig og tiltrodd tredjepart som går god for forbindelsen. Denne type sertifikat gir ikke et grønt adressefelt. X X    
       
4. OV – Organisation Validation – Selskapsvalidering: Sertifikater som er utstedt til et selskap. Denne informasjonen står oppført i sertifikatet, samt hvilken uavhengig og tiltrodd tredjepart som går god for forbindelsen. Denne type sertifikat gir ikke et grønt adressefelt. X X X  
       
5. EV – Extended Validation – Utvidet Validering (EV): Den strengeste valideringen får man ved kjøp av EV SSL-sertifikat. EV er en forkortelse for Extended Validation (Utvidet validering) og er den eneste sertifikattypen som gir et grønt adressefelt. En uavhengig tredjepart bekrefter at selskapet eksisterer, er legitimt, at det er lokalisert på angitt forretningsadresse og at det er samsvar mellom offisielle selskapsregistre, offisielle domeneregistre og dataene i sertifikatet. X X X X

Grønt adressefelt – EV SSL

– Gir et umiddelbart klarsignal om et trygt nettsted, en grønn adresselinje –

EV SSL sertifikater er det eneste sertifikatet som gir et grønt adressefelt i brukerens nettleser og er et tydelig signal om et trygt nettsted. EV SSL sertifikatet er et resultat av CA/Browser Forumets arbeid. CA/B Forum inkluderer ledende CA’er og nettleserprodusentene, samt representanter fra ulike juridiske og sikkerhetovervåkingsinstanser. Disse har i nært samarbeid definert retningslinjer og implementeringsinstruksjoner for Extended Validation (EV) standarden. EV-standarden forbedrer sikkerheten for transaksjoner via internett og skaper en mer intuitiv metode for å vise sikre websider for brukere av internett. For at de ulike Certification Authorities (CA) skal kunne utstede EV SSL sertifikater, må de møte forumets retningslinjer. Disse retningslinjene er internasjonale, men likevel tilpasset hvert enkelt land. For andre typer sertifikater setter CA selv sine egne retningslinjer. Men med EV SSL sertifikater kan brukerne være helt sikre på hvem de sender informasjon til.

Transaksjonsforsikring

– Økonomisk beskyttelse av verdifull informasjonsutveksling –

SSL sertifikater ivaretar i hovedsak to funksjoner; sikker kryptering av informasjon og identifisering av eier av websiden. Transaksjonsforsikringen er ment å være nettbrukerens økonomiske garanti for at krypteringen ikke blir brutt under sesjonen og at informasjonen i sertifikatet er korrekt. Ved valg av forsikringsbeløp i sertifikatet må man ta stilling til hvilke økonomiske konsekvenser det vil ha dersom utvekslet informasjon kommer til feil mottaker eller blir tappet. Transaksjonsforsikring vil være med på å dekke økonomiske krav fra brukere som har blitt påført tap som et resultat av å ha blitt tappet for informasjon under en kryptert sesjon på din nettside.

SGC

 Aldri lavere enn 128 bit kryptering –

Sertifikater med SGC gjør at brukere med eldre, 40/56 bits nettlesere automatisk får sin informasjonsutveksling oppgradert til normal, sikker 128/256 bits kryptering. Sertifikater uten SGC vil, i slike tilfeller, kun kryptere med 40/56 bits. 40/56 bits er ikke tilstrekkelig sikker kryptering.

Rotleverandør

– En kjent rotleverandør skaper ekstra trygghet –

SSL sertifikater blir verifisert gjennom en tillitskjede. Tillitsankeret for SSL sertifikatet er rotleverandøren (Root Certificate Authority eller CA). Dersom rotleverandøren er kjent for brukeren er det større sannsynlighet for at vedkommende tar i bruk de tjenestene som websiden tilbyr, enn om det er en ukjent rotleverandør. Årsaken er at brukeren vil anse det som mindre sannsynlig at dette er et svindelforsøk fordi vedkommende stoler på rotleverandøren. Velg derfor sertifikater med mest mulig kjent og tiltrodd rotleverandør. Et godt eksempel på en velkjent rotleverandør er Verisign.

Hvor sikkert er et SSL sertifikat?

Frem til sommeren 2013 trodde de fleste, inkludert undertegnede, at de anerkjente og dyre SSL-sertifikatene var 100% trygge. Nå vet vi bedre.

Showden avsløringen har avdekket at NSA for lengst har knekket alle de sentrale krypteringteknologiene på Internett, inkludert SSL og VPN, og skulle de ikke klare å knekke krypteringsnøklene kan de gå til hemmelige domstoler og få hemmelige rettskjennelser som pålegger utvikleren av SSL sertifikatet til å utlevere krypteringsnøklene til NSA, forutsatt at leverandøren av SSL-sertifikatet er et amerikansk firma.

Dette har gjort at tilliten til amerikanske SSL-sertifikat og andre sikkerhetsløsninger har fått seg en kraftig knekk. Spesielt blant dem som overfører svært sensitive data som myndighetene og Forbes500 selskapene kan ha interesse av.

Dette betyr ikke at SSL-sertifikatene ikke er en trygg måte å overføre data på. «Normale» hackere og konkurrenter som driver med industri-spionasje har ikke tilgang til krypteringsnøklene til de ulike SSL-standardene, slik NSA har. Har du ikke noe å skjule for NSA og andre etterretningsorganisasjoner, er dataene du overfører via SSL/TSL sikre.

Et alternativ er å kjøpe et «ikke-amerikansk» SSL-sertifikat, men det er ikke sikkert at dette er så mye mer sikkert enn de amerikanske SSL-sertifikatene. Kina og Russland er for eksempel to land som er kjent for å overvåke sine innbyggere, spesielt gjelder dette Kina som har 2 millioner statsansatte som kun overvåker kinesernes Internett bruk. Kinesiske myndigheter har garantert også tilgang til alle kinesiske krypteringsnøkler, uten at dette er blitt bekreftet av noen.

Er det sammenheng mellom pris og kvalitet?

Når vi handler noe er vi vant til at det er en sammenheng mellom pris og kvalitet. Slik er ikke tilfelle med SSL-sertifikater. Utstederne står fritt til å sette sine priser, og dem har ingenting å gjøre noe med hvor godt kryptert informasjonen er eller hvor høyt de scorer på de andre evalueringskriteriene vi skisserte over.

Prisen er hovedsakelig avhengig av utstederens «merkevare verdi». Det vil si hvor anerkjent leverandøren er. Du betaler med andre ord ekstra bare for å «ha en stjerne på panseret», for å bruke en kjent uttrykk fra bilindustrien. Det er med andre ord mye å spare på å sjekke ut prisene og spesifikasjonene til de ulike utstederne.

Kilde: Confidens Norge AS

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: