Hoppa direkt till innehåll

Säker anslutning och HTTPS

2017-11-04
Som en del av er har märkt så har vissa webbläsare blivit striktare vad gäller säker anslutning, och vissa varnar besökaren så fort dom besöker en webb utan säker anslutning.
Säker anslutning i det här avseendet gäller kryptering av webbtrafiken. Om man surfar på webben så har standard varit väldigt länge att trafiken inte är krypterad annat än på sidor med inloggning som banker eller liknande, och i många fall så är det här inget behov i sig. En webbplats innehåller i regel inga hemligheter eller saker som bör krypteras.
Däremot så har detta kommit att handla mer om personlig integritet och att skydda sin egen aktivitet på webben, oavsett. Så därför har fokus blivit mer på att kryptera mer och mer. Samt att Google numera rankar krypterade webbsidor högre än okryperade vid sökningar.
Atlas har haft SSL/HTTPS stöd väldigt länge, och ni som kunder har länge kunnat skicka över era certifikatfiler så har vi installerat dem åt er. Dock så är det bara ett par få som gjort det, medan många av er har poängterat att era webbläsare börjar klaga på era Atlas-sidor, vilket har fått er att tro att det är något fel i vår ände.
Ett "problem" med certifikat är att dom är knutna till en eller flera domäner, och det finns en maxgräns för hur många domäner man kan ha på ett certifikat, så därför är det inget vi har kunnat köpa in till "Atlas" som sedan gör alla era domäner säkra. Varje webbplats kräver sitt eget certifikat, och eftersom certifikat kostat en del så är det inget vi har haft en rutin för att skaffa åt er. Tills nu.

Letsencrypt

Men nu har vi en ny funktion i Atlas - automatiska certifikat som till och råga på allt är helt gratis! I och med det större trycket på kryptering så har en gratistjänst som heter "letsencrypt" blivit populär. Fördelen med den är att utöver att den är gratis så är den också enkel att använda, allt sker automatiskt; signering, registrering och så vidare. Och så får man ett certifikat, nyckel, kedjefil samt ett så kallat intermediate-certifikat. Allt som krävs för att er site ska bli korrekt krypterad.

Vad är då nackdelarna?

Certifikat har hittills köpts på ställen som Verisign eller liknande, och kostar en del samt har en rätt så bökig beställningsprocess. Dock har dom fördelen att du kan få Organisationsvalidering och Utökad validering (det som ger en liten grön text med ert företagsnamn i adressfältet). Det kan inte Letsencrypt eftersom dom delarna inte går att automatisera. Så den enda valideringen Letsencrypt erbjuder är Domänvalidering, vilket är grundvalideringen.
Det betyder att ni får en liten "lås"-ikon i adressfältet när man surfar till httpS-versionen av sidan, dock ingen sådan grön "Trusted"-text. Dessa gröna texter betyder med andra ord att den som utfärdat certifikatet har även validerat er som företag och organisation, inte enbart att den här domänen är säkrad.

Ska jag använda detta?

Vår rekommendation är att du absolut ska använda detta. Inte nödvändigtvis Letsencrypt och vår automatiska gratisversion, utan om ni redan har ett certifikat för en annan webbplats så se till att få den utökad att inkludera även er Stadsnätswebb och skicka filerna till oss.
Annars så hjälper vi er gärna att sätta upp ett Letsencrypt-certifikat på er sida, hör av er via supporten! Vi har redan ett admingränssnitt för detta och i förlängningen så är tanken att ni ska kunna sätta upp detta själva, men tills dess så hjälper vi er. Att implementera detta i Atlas var lite bökigt så vi vill ha lite koll på processen än så länge.
Nästa steg i detta är att om ni har ett certifikat så kommer Atlas automatiskt skicka webbläsaren till den säkra versionen av sidan, vilket idag är ett val man kan göra i inställningarna. Men det valet kommer tas bort och den krypterade versionen är det enda man kommer kunna använda.
Letsencrypt-certifikaten är så kallade korttids-certifikat och behöver förnyas var tredje månad, men den biten kommer vi att ta hand om automatiskt åt er, så ni kommer inte behöva bry er om det.