seoraporu.co

HTTPS/SSL och webbplatssäkerhet

Vad är HTTPS/SSL?

HTTPS (HTTP Secure) är ett protokoll som krypterar datautbytet mellan en webbplats och besökarens webbläsare. Krypteringen sker med hjälp av ett SSL/TLS-certifikat som webbplatsen har; certifikatet fungerar som ett digitalt dokument som bekräftar webbplatsens identitet för webbläsaren. Låssymbolen i webbläsarens adressfält visar att anslutningen är krypterad och att certifikatet är giltigt.

Data som skickas via HTTP överförs som klartext (plaintext), vilket innebär att en tredje part på samma nätverk (t.ex. ett offentligt Wi-Fi-nätverk) kan läsa informationen. HTTPS krypterar denna data så att den endast kan läsas av avsändaren och mottagaren.

SSL-certifikat är vanligtvis giltiga under en viss tid (t.ex. ett år) och måste förnyas när de löper ut; idag har många webbhotell automatiserat denna process så att certifikatet förnyas automatiskt, vilket minskar behovet av manuell uppföljning.

Varför är det viktigt?

HTTPS skyddar användardata (formulärinmatningar, inloggningsuppgifter, betalningsuppgifter) mot man-in-the-middle-attacker. Google betraktar användningen av HTTPS som en svag rankningsfaktor, och webbläsare visar varningen ”Inte säker” för HTTP-webbplatser, vilket direkt påverkar användarnas förtroende.

En osäker webbplats minskar besökarnas vilja att stanna kvar på webbplatsen; särskilt användare som fyller i formulär eller genomför betalningar kan lämna webbplatsen utan att slutföra transaktionen när de ser varningen ”Inte säker”. Detta är ett förtroendeproblem som direkt påverkar konverteringsgraden.

Dessutom fungerar de flesta moderna webbläsarfunktioner (t.ex. platstjänster, aviseringar, vissa betalnings-API:er) endast via HTTPS; en webbplats som fortfarande använder HTTP kan inte dra nytta av dessa funktioner alls och blir tekniskt sett alltmer begränsad.

Hur åtgärdar man detta?

Exempel

# Exempel på .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Dåligt exempel: Att glömma att uppdatera gamla absoluta HTTP-länkar på sidan, t.ex. <img src="http://example.com/logo.png">; detta leder till en varning om blandat innehåll i webbläsaren, även om sidan i övrigt verkar säker.

Vanliga misstag