Frem til rundt 2015 var det vanlig at websider begynte med «http» i stedet «https», som i dag er nesten enerådende. Faktisk vil moderne nettlesere vise en advarsel om man besøker en nettside som begynner med kun «http»: de vil vise meldingen «Not Secure» / «Ikke sikker».
De aller fleste av kundene våre bruker Sikker HTTP (HTTPS) på websider og webtjenester. Hvordan dette virker og hvordan man setter dette opp kan være innviklet. Av ulike årsaker oppstår det ofte problemer med HTTPS som gjør at websiden eller webtjenesten slutter å fungere.
I dette nyhetsbrevet gir vi en oversikt over det viktigste du trenger å vite om HTTPS.
Hvorfor Sikker HTTP (HTTPS)
HTTPS er akkurat det samme som HTTP, men den legger på sikkerhet som gir oss to fordeler:
- Overføringen mellom klient og server er kryptert. Om du for eksempel bestiller server på https://kundepanel.deploi.no, kan ingen andre enn Deploi tolke informasjonen du sender til oss, og kun du kan tolke informasjonen du mottar fra oss.
- Du vet at websiden er det den utgir seg for å være. Om du besøker https://kundepanel.deploi.no, vet du for eksempel at du får offisiell informasjon fra Deploi, og ikke fra noen som utgir seg for å være Deploi.
For at disse fordelene skal gjelde må både server og klient/nettleser være satt opp riktig. Dette nyhetsbrevet tar for seg server-biten, da det kun er denne Deploi leverer.
Nøkler og Sertifikater
For å oppnå disse to fordelene brukes to verktøy: Nøkler og sertifikater.
- Nøkler opprettes automatisk når man aktiverer HTTPS, og brukes til å kryptere dataene som overføres.
- Sertifikater inneholder et godkjentstempel. Dette lages av en tredjepart som går god for nøklene som benyttes. Når du for eksempel besøker https://kundepanel.deploi.no, vil nettleseren sjekke med en tredjepart om nøkkelen som benyttes faktisk er Deploi sin.
Å få en tredjepart til å gå god for en nøkkel var tidligere en betalt tjeneste. For rundt 10 år siden gikk store aktører i IT-bransjen sammen og dannet organisasjonen «Let’s Encrypt» for å tilby denne tjenesten gratis. Når du benytter Chrome, Safari, Edge eller annen nettleser eller klient, har de en liste med tredjeparter de sjekker godkjentstempelet med.
Utløpsdato og fornyelse
Når tredjeparten setter godkjentstempel kommer det alltid med en utløpsdato. «Let’s Encrypt» setter den for eksempel altlid om tre måneder. Hvis man ikke fornyer godkjennelsen innen den tid, vil websiden eller webtjenesten slutte å fungere, og man får feilmeldinger om at tilkoblingen er usikker. Kommersielle tredjeparter har ofte utløpsdato lenger frem i tid, som ett til tre år.
Man har derfor to valg: Man kan enten sette det i kalenderen sin at man skal fornye godkjennelsen, eller så må man passe på at godkjennelsen fornyes automatisk. Let’s Encrypt leverer løsninger for automatisk fornyelse.
I Deploi sine administrerte løsninger som WordPress og Kubernetes, kommer tjenestene alltid ferdig satt opp med Let’s Encrypt og automatisk fornyelse av sertifikater.
Mange kombinasjoner
Et svært vanlig problem er at når man skal bruke domenet eksempel.no til en webside, må man sørge for at fire forskjellige adresser fungerer. Hvis en av disse er satt opp feil, vil noen besøkende til nettsiden ikke få opp siden.
- http://eksempel.no
- http://www.eksempel.no
- https://eksempel.no
- https://www.eksempel.no
Et korrekt oppsett som gir best resultat er som følger:
- eksempel.no – pek til serverens IP-adresse
- www.eksempel.no – pek til serverens IP-adresse
- http://eksempel.no – videresend til https://eksempel.no
- http://www.eksempel.no – videresend til https://eksempel.no
- https://eksempel.no – Sett opp HTTPS og bruk som hovedadresse
- https://www.eksempel.no – Sett opp HTTPS og videresend til https://eksempel.no
Hjelp
Hvis du har spørsmål om HTTPS, er det bare å ta kontakt. Trenger du råd eller bistand i forbindelse med dette, er det som alltid mulig å kontakte oss på chat, telefon eller e-post.
Kommende nyhetsbrev:
- august: Hva er vendor lock-in og hvordan unngå det?
- september: Sending, mottak og lagring av filer
- oktober: Sikkerhet, neste nivå
