Beskyt hele webstedet med SSL
De fleste CA'er (certifikatudgivere) anbefaler at man ikke kun bruger SSL til siderne hvor fortrolige oplysninger indsamles, men at man beskytter hele webstedet med SSL. Dette sker blandt andet allerede med store organisationer som Google, Twitter og Facebook. Det er ikke kun sikrere, men øger også dit websites placering i Googles søgeresultater. I denne artikel beskriver vi, hvad man skal passe på med for at undgå negative konsekvenser.
Anmod om og installer et SSL-certifikat
- For det første skal du bruge et SSL certifikat til at oprette SSL forbindelsen. Du kan anmode om det online.
Anmod om et certifikat - Certifikatet, du modtager fra os, skal installeres på webserveren sammen med root- og mellemcertifikaterne.
Installationsvejledninger - For maksimal sikkerhed er det vigtigt at optimere SSL-indstillingerne på din webserver.
SSL-indstillingerne
Tilpas interne og eksterne links
Tilpas alle links på dit websted til at bruge https://, f.eks. i menuen, henvisninger til andre sider og billeder, for at forhindre at besøgende får fejlmeddelelser om blandede indhold. Sørg for, at eksterne links til dit websted, f.eks. fra eksterne publikationer eller sociale medier, men også backlinks sker via https://.
SSL og søgemaskiner
Følgende tips forhindrer at https:// konverteringen af hele webstedet får negative konsekvenser for webstedets søgbarhed via de forskellige søgemaskiner. Hvis du ikke gør det korrekt, kan der være to versioner af dit websted hos søgemaskiner med samme indhold; en sikker version og en ubeskyttet version. Søgemaskiner som Google straffer indholdsduplikater. I dette tilfælde vil du altid lede kunden via søgemaskinen til din SSL-beskyttede hjemmeside. Dette problem kan løses på flere måder:
- Fortæl søgemaskinen hvilket indhold der skal indekseres
Vi kan fortælle søgemaskinen hvilket indhold de bør indeksere ved at gøre https-sider en kanonisk webadresse. En kanonisk side er den foretrukne side, når du har flere sider, der har omtrent samme indhold. Dette kan konfigureres på følgende måde: Tilføj et rel = "canonical" link til hver HEAD segment for de HTML-sider, der bør have forrang for de samme sider med lignende indhold. Linket som skal tilføjes i HEAD segment vil se ud som dette: <Link rel = "canonical" href = "https://www.ditdomaene.dk/eksempel" />.
- Indstil sitemap for at pege på HTTPS-versionen af indholdet
Et sitemap sikrer at en crawler (søger websider for søgemaskinerne) vil finde de sikre sider bedre end den usikre når de er opført i sitemapen.
Disse ændringer sikrer, at de besøgende straks overføres fra søgemaskine til https sitet. På den måde vil besøgende komme ind på hjemmesiden hurtigere og "mand i midten" angreb er forhindret, fordi dit websted ikke tilbydes via http.
Ved at bruge HTTPS kunne det være, at der er to versioner af dit websted kendt til søgemaskiner: en til HTTP og en for HTTPS. Med en robots.txt-fil kan du sikre at de crawlere, som søgemaskiner bruger, undlader at indeksere visse dele af dit websted, for eksempel, de dele hvor dine kunder indtaster fortrolige oplysninger.
- Lav omdirigering til din HTTPS-hjemmeside
Send al website trafik fra http til https via en permanent (301) omdirigering. For apache servere kan du indstille dette ved at bruge en .htaccess fil.
- Sæt et foretrukket domæne i Google
Du kan angive et foretrukket domæne ved hjælp af Google Search Console (tidligere Webmaster Tools). Det foretrukne domæne er den version af dit websted som bliver indekseret af Google. Her kan du indstille den til https versionen af dit website.
Sociale medier
For sociale medier er der også konsekvenser. Facebook kan lide at vende tilbage til 0, når urlen er ændret. For at undgå det skal du tilføje og:url tag til header på dit websted.
Loading tider
Et argument imod at sikre hele hjemmesiden med HTTPS er, at det kan påvirke indlæsningstiden af hjemmesiden. En sikret side indlæses langsommere end en usikrede side fordi browseren skal vente på bekræftelse fra CA, at SSL certifikatet er gyldigt.
Men alle CA'er arbejder på at gøre denne forsinkelse så kort som muligt, og dermed reducere tidsforskellen mellem sikre og usikre sider. En metode til at forkorte overførselstiden kan opnås ved brug af OCSP Stapling. Her bliver gyldigheden af et certifikat, kontrolleret af browseren, så browseren undgår at skulle bruge tid på at oprette en separat forbindelse til CAen. Flere oplysninger om OCSP Stapling findes her.
Sikker Cookies
Cookies er små filer som placeret på computeren når en hjemmeside besøges. Cookies er primært beregnet til at differentiere brugere fra hinanden og giver for eksempel mulighed for at en besøgende på hjemmesiden forbliver logget ind eller at produkter er holdt i en indkøbsvogn. Desuden giver de en måde for annoncører at skræddersy annoncer til brugere.
Besøgende bruger ofte ikke https når de indtaster en webadresse i adresselinjen og derfor er deres oplysninger ikke beskyttet når de foretager den første forbindelse. Når du beskytter dit website med HTTPS, er det tilrådet også at sende cookies over den sikkre forbindelse.
Tvungen HTTPS
Stellen Sie daher HTTP-Weiterleitungen auf HTTPS ein um sicherzustellen, dass Besucher Ihrer Website immer eine sichere Verbindung verwenden.
Når du gør brug af HTTP Strict Transport Security (HSTS) instrueres browseren til at forbinde direkte med en SSL sikker side i stedet for en usikker side. Hvis en sikker forbindelse ikke er muligt, vil de besøgende se en fejlmeddelelse, og forbindelsen nægtes. Brug af HSTS kan beskytte brugerne fra "manden i midten 'angreb, fordi besøgende på din hjemmeside ikke kan viderestilles til en usikker side.
Har du brug for hjælp?
Ring til os +45 898 719 39
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.