seoraporu.co

HTTPS/SSL og websidesikkerhed

Hvad er HTTPS/SSL?

HTTPS (HTTP Secure) er en protokol, der krypterer dataudvekslingen mellem et websted og den besøgendes browser. Denne kryptering sikres via et SSL/TLS-certifikat, som webstedet besidder; certifikatet fungerer som et digitalt dokument, der bekræfter webstedets identitet over for browseren. Låsesymbolet i adresselinjen i browseren viser, at forbindelsen er krypteret, og at certifikatet er gyldigt.

Data, der sendes via HTTP, overføres som klartekst (plaintext); det betyder, at en tredjepart på det samme netværk (f.eks. et offentligt Wi-Fi-netværk) kan læse dataene. HTTPS krypterer disse data, så de kun kan læses af afsenderen og modtageren.

SSL-certifikater er normalt gyldige i en bestemt periode (f.eks. et år) og skal fornyes, når de udløber; i dag har mange hostingudbydere automatiseret denne proces, så certifikatet fornyes automatisk, hvilket mindsker behovet for manuel opfølgning.

Hvorfor er det vigtigt?

HTTPS sikrer, at brugerdata (formularindtastninger, loginoplysninger, betalingsoplysninger) beskyttes mod man-in-the-middle-angreb. Google betragter brugen af HTTPS som et let rangordningssignal, og browsere viser en »Ikke sikker«-advarsel for HTTP-websteder; dette påvirker brugertilliden direkte.

Et usikkert websted mindsker besøgernes lyst til at blive på siden; især brugere, der udfylder formularer eller foretager betalinger, kan forlade siden uden at fuldføre transaktionen, når de ser advarslen »Ikke sikker«. Dette er et tillidsproblem, der direkte påvirker konverteringsraten.

Desuden fungerer de fleste moderne browserfunktioner (f.eks. lokaliseringstjenester, notifikationer, visse betalings-API'er) kun via HTTPS; et websted, der fortsat bruger HTTP, kan slet ikke udnytte disse funktioner og bliver teknisk set stadig mere begrænset.

Hvordan løses det?

Eksempel

# .htaccess-eksempel
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Dårligt eksempel: At glemme at opdatere gamle <img src="http://example.com/logo.png"> absolutte HTTP-links på siden; dette medfører en advarsel om blandet indhold i browseren, selvom siden generelt ser sikker ud.

Almindelige fejl