Hva er Secure Sockets Layer (SSL)?
SSL står for Secure Sockets Layer. SSL-protokollen var en sikkerhetsprotokoll for Internett som ble utviklet for å etablere en kryptert forbindelse mellom webservere og klienter. I dag er SSL erstattet av TLS (Transport Layer Security), men mange refererer fortsatt til denne teknologien med SSL-akronymet.
Et SSL-sertifikat inneholder en privat og en offentlig nøkkel, noe som gjør det mulig å sikre nettbaserte transaksjoner og beskytte kundeinformasjon.
Sikkerhetskontrollen starter når en bruker prøver å koble seg til et nettsted som er sikret med SSL. Nettleseren ber om at nettstedets server identifiserer seg, og den mottar en kopi av SSL-sertifikatet. Etter å ha validert at SSL-sertifikatet er pålitelig, opprettes en sikker forbindelse, slik at krypterte data kan sendes mellom nettleseren og serveren.
I moderne nettlesere vet du at et nettsted er sikkert hvis URL-en i adressefeltet inneholder HTTPS. Visuelt kommuniseres dette med et lite hengelåsikon. Du kan klikke på dette symbolet på alle HTTPS-nettsteder for å lese sertifikatet selv.
Vanlige begreper knyttet til SSL
Hvis du er ny i en verden av internettsikkerhet, kan det hende at du også er forvirret over noen andre vanlige begreper.
Her kan du lese kort om hvordan SSL skiller seg fra vanlige websikkerhetsbegreper som TLS og HTTPS:
- TLS: Transport Layer Security er etterfølgeren til SSL. Det er en mer avansert protokoll for å opprettholde personvern, sikkerhet og autentisitet på nettet ved hjelp av sertifikater.
- HTTP: HyperText Transfer Protocol er det opprinnelige applikasjonslaget som ligger til grunn for Internett i en klient-server-modell. HTTP-nettsteder og nettadresser mangler et sikkert sertifikat.
- HTTPS: HyperText Transfer Protocol Secure er den sikre varianten av HTTP, som brukes av mer enn 79 % av nettstedene, ifølge W3Techs.com. Disse nettstedene bruker vanligvis TLS-sertifikater.
Hvorfor er SSL viktig?
Så hvordan påvirker SSL nettstedets SEO?
Vel, teknisk sett er SSL ikke involvert. Nå som SSL er utdatert og erstattet av TLS, driver teknologien HTTPS, den sikre varianten av HTTP som de fleste nettsteder bruker.
Her er kort fortalt hvorfor HTTPS er viktig for SEO:
- HTTPS er et lett rangeringssignal: Google inkluderer HTTPS som en rangeringsfaktor.
- HTTPS gir bedre sikkerhet og personvern: Krypterer data som utveksles mellom brukere og nettsteder.
- HTTPS bevarer henvisningsdata: Sikrer nøyaktige henvisningsdata i Google Analytics.
- HTTPS kan øke hastigheten på nettstedet når det brukes med moderne protokoller: Støtter HTTP/2, noe som kan øke hastigheten på nettstedet.
På den andre siden er det viktig å tenke på hvordan mangelen på HTTPS kan påvirke nettstedet ditt i søk.
Googles algoritme inkluderer HTTPS-protokollen som et rangeringssignal, noe som i teorien kan gi nettstedet ditt et løft. Men med tanke på hvor vanlig HTTPS er nå, er det mer sannsynlig at nettstedet ditt vil lide i søkeresultatene hvis du ikke har det.
Husk at brukerengasjement er et viktig rangeringssignal, så når folk klikker seg inn på nettstedet ditt i søkeresultatene, er det viktig at de blir værende på siden og interagerer med den, i stedet for å hoppe av med en gang.
Et usikkert nettsted vil ofte vise en "Ikke sikker"-advarsel som kan skremme innkommende brukere og ødelegge nettstedets målinger av brukerengasjement. Nettopp av den grunn vil SEO-en din dra nytte av et TLS-sertifikat.
Beste praksis for TLS/SSL-sertifikater
1. Skaff sertifikatet ditt fra en pålitelig sertifikatutsteder (CA)
Hele hensikten med sertifikater er å gi folk som surfer på nettet, pålitelig sikkerhet. For å gjøre dette mulig må du kjøpe sertifikatet ditt fra en autorisert sertifikatutsteder.
Kjente sertifikatutstedere er for eksempel Symantec, GoDaddy, DigiCert og GeoTrust. De fleste anerkjente sertifiseringsinstanser tilbyr også teknisk støtte for å sikre at du installerer sertifikatet på riktig måte.
2. Ikke betal for mye for sertifikatet du ikke trenger
Det finnes ulike typer sertifikater, blant annet DV, OV og EV. Hovedforskjellen ligger i garantien du får fra CA.
- Domenevalidert (DV): Krever minimal innsats for validering - vanligvis ikke noe mer enn å bevise eierskap av domenet ditt via en e-post eller telefonsamtale. Dette er best for blogger eller informasjonsnettsteder som ikke trenger å samle inn mye personlig informasjon fra de besøkende.
- Organisasjonsvalidert (OV): Utviklet for kommersielle nettsteder og bedrifter som samler inn og lagrer kundeinformasjon via nettstedene sine.
- Utvidet validering (EV): Den høyest rangerte og mest omfattende sertifikattypen, som krever verifisering av den anmodende enhetens juridiske identitet. Denne typen sertifikat egner seg best for nettsteder som krever mye sensitiv personlig informasjon fra besøkende, spesielt medisinske nettsteder eller banknettsteder.
Hvis du har en vanlig blogg, bør et DV-sertifikat være tilstrekkelig.
Avhengig av hvor mange nettsteder og/eller underdomener du ønsker å dekke med ett enkelt sertifikat, kan det imidlertid hende at du må velge mellom et jokertegnsertifikat (best for flere underdomener) og et SAN-sertifikat (Subject Alternative Name) (best for flere nettsteder).
- Wildcard-sertifikat: Utviklet for å sikre flere underdomener på samme nettsted, noe som er billigere enn å kjøpe et dedikert sertifikat for hvert underdomene separat.
- SAN-sertifikat: Utviklet for å sikre flere domenenavn eller nettsteder samtidig, noe som kan spare mye tid og penger.
3. Ikke glem at sertifikater utløper
SSL/TLS-sertifikater utløper etter 398 dager og må fornyes i tide. Det er mulig å fornye sertifikatet innen 30 dager etter utløpsdatoen.
Vær oppmerksom på at TLS-sertifikater ikke fornyer seg selv, og konsekvensen av et utløpt TLS-sertifikat er at nettstedet ditt ikke lenger vil bli sett på som sikkert - noe som kan sette både nettstedets data og de besøkendes informasjon i fare.
Se etter en e-post fra CA og følg trinnene for å fornye.
Vanlige spørsmål
Dekker SSL/TLS-sertifikater underunderdomener?
Nei. Selv jokertegnsertifikater dekker bare ett nivå for underdomener, så du trenger et annet sertifikat, eller du kan bruke et SAN-sertifikat.
Hva er SSL/TLS-sertifikatets maksimale levetid?
Siden 1. september 2020 er den maksimale levetiden for et SSL- eller TLS-sertifikat 398 dager. Etter utløpet må du erstatte det utløpte sertifikatet.
Kan jeg få et SSL/TLS-sertifikat gratis?
Ja, det kan du. LetsEncrypt og Cloudflare tilbyr for eksempel sertifikater, men bare domenevaliderte (DV) sertifikater er gratis. Dette er den vanligste typen sertifikat, og det verifiseres kun gjennom domenenavnet.
De fleste leverandører av webhotell tilbyr gratis sertifikater når du kjøper hosting fra dem.