Hva er et SSL-sertifikat – definisjon og forklaring

Hva er et SSL-sertifikat?

SSL-sertifikat er et digitalt sertifikat som autentiserer nettstedets identitet og muliggjør kryptert tilkobling. SSL står for «Secure Sockets Layer», en sikkerhetsprotokoll som oppretter en kryptert forbindelse mellom en webserver og en nettleser.

Selskaper og organisasjoner må legge til SSL-sertifikater på nettstedene sine for å ivareta sikkerheten ved Internett-transaksjoner og holde kundeinformasjon trygg og privat.

For å oppsummere: SSL sørger for at Internett-tilkoblinger er sikre, og hindrer kriminelle i å lese eller endre informasjon som overføres mellom to systemer. Når du ser et hengelåsikon ved siden av URL-adressen i adressefeltet, betyr det at nettstedet er beskyttet med SSL.

Siden den først dukket opp for rundt 25 år siden, har det kommet flere versjoner av SSL-protokollen, som alle støtte på sikkerhetsproblemer etter hvert. Til slutt ble det lansert en fullstendig oppdatert versjon med et nytt navn – TLS (Transport Layer Security), som fremdeles er i bruk i dag. Initialene SSL hadde imidlertid festet seg, så den nye versjonen av protokollen omtales fremdeles som regel med det gamle navnet.

Hvordan fungerer SSL-sertifikater?

SSL fungerer ved å sørge for at eventuelle data som overføres mellom brukere og nettsteder, eller mellom to systemer, ikke kan leses. Det benytter krypteringsalgoritmer til å kode dataene som overføres, slik at de ikke kan leses av hackere mens de sendes over tilkoblingen. Disse dataene omfatter potensielt sensitive opplysninger, som navn, adresse, kredittkortinformasjon eller andre økonomiske opplysninger.

Prosessen fungerer på følgende måte:

1. En nettleser eller server prøver å koble til et nettsted (dvs. en webserver) som er sikret med SSL.
2. Nettleseren eller serveren ber webserveren om å identifisere seg.
3. Webserveren sender nettleseren eller serveren en kopi av SSL-sertifikatet som svar.
4. Nettleseren eller serveren kontrollerer SSL-sertifikatet for å avgjøre om den stoler på det eller ikke. Hvis den gjør det, sender den et signal om dette til webserveren.
5. Deretter returnerer webserveren en bekreftelse med en digital signatur om at det skal opprettes en SSL-kryptert økt.
6. Krypterte data deles mellom nettleseren eller serveren og webserveren.

Denne prosessen omtales noen ganger som et «SSL-håndtrykk». Selv om det høres ut som en langtekkelig prosess, tar det bare noen sekunder.

Når et nettsted er sikret med et SSL-sertifikat, vises forkortelsen HTTPS (som står for «HyperText Transfer Protocol Secure») i URL-adressen. Hvis det ikke finnes noe SSL-sertifikat, vises bare bokstavene HTTP, uten S for «Secure». Det vises også et hengelåsikon i adressefeltet. Dette vekker tillit og er betryggende for dem som besøker nettstedet.

Hvis du vil se detaljene for et SSL-sertifikat, kan du klikke på hengelåssymbolet i nettleserfeltet. Følgende detaljer er vanligvis oppgitt i et SSL-sertifikat:

• navnet på domenet sertifikatet ble utstedt for
• hvilken person, organisasjon eller enhet det ble utstedt til
• hvilken sertifiseringsinstans det ble utstedt av
• den digitale signaturen til sertifiseringsinstansen
• tilknyttede underdomener
• sertifikatets utstedelsesdato
• sertifikatets utløpsdato
• den offentlige nøkkelen (den private nøkkelen vises ikke)

Derfor trenger du et SSL-sertifikat

Nettsteder trenger SSL-sertifikater for å holde brukerdata trygge, verifisere nettstedets eierskap, hindre angripere i å opprette en falsk versjon av nettstedet og vekke tillit hos brukerne.

Hvis et nettsted ber brukerne om å logge på, angi personlig informasjon, som kredittkortnumre, eller vise konfidensiell informasjon, som helsestønader eller økonomiske opplysninger, er det helt avgjørende at dataene holdes konfidensielle. SSL-sertifikater bidrar til å holde interaksjoner på Internett private og forsikrer brukerne om at nettstedet er ekte, og at det er trygt å dele private opplysninger.

Dessuten er et SSL-sertifikat en forutsetning for å få en HTTPS-adresse, noe som er enda mer relevant for bedrifter. HTTPS er den sikre versjonen av HTTP, hvilket betyr at trafikken på HTTPS-nettsteder krypteres med SSL. De fleste nettlesere merker HTTP-nettsteder – det vil si nettsteder uten SSL-sertifikater – som «ikke sikret». Dette sender et tydelig signal til brukerne om at nettstedet kanskje ikke er til å stole på, og gir bedrifter et incentiv til å gå over til HTTPS hvis de ikke allerede har gjort det.

Et SSL-sertifikat bidrar til å sikre informasjon som

• påloggingsinformasjon
• kredittkorttransaksjoner eller bankkontoinformasjon
• personlig identifiserbar informasjon, som fullt navn, adresse, fødselsdato eller telefonnummer
• juridiske dokumenter og kontrakter
• pasientjournaler
• rettighetsbeskyttet informasjon

Typer SSL-sertifikater

Det finnes ulike typer SSL-sertifikater med forskjellige valideringsnivåer. De seks hovedtypene er

1. EV SSL-sertifikater (Extended Validation)
2. OV SSL-sertifikater (Organization Validated)
3. DV SSL-sertifikater (Domain Validated)
4. Wildcard-SSL-sertifikater
5. MDC SSL-sertifikater (Multi-Domain Certificate)
6. UCC-sertifikater (Unified Communications Certificate)

EV SSL-sertifikater (Extended Validation)

Dette er den høyest rangerte og dyreste typen SSL-sertifikat. Den brukes som regel på høyt profilerte nettsteder som samler inn data og involverer betalinger over Internett. Når det er installert, viser dette SSL-sertifikatet hengelåsen, HTTPS, navnet på bedriften og landet i adressefeltet i nettleseren. Det at det vises informasjon om eieren av nettstedet i adressefeltet, gjør at nettstedet skiller seg ut fra skadelige nettsteder. For å få et EV SSL-sertifikat må eieren av nettstedet gå gjennom en standardisert identitetsverifiseringsprosess for å bekrefte at vedkommende har de eksklusive juridiske rettighetene til domenet.

OV SSL-sertifikater (Organization Validated)

Denne versjonen av SSL-sertifikatet har et tilsvarende trygghetsnivå som EV SSL-sertifikater, ettersom eieren av nettstedet må gå gjennom en omfattende valideringsprosess for å få det. Denne sertifikattypen viser også informasjon om eieren av nettstedet i adressefeltet, slik at nettstedet skiller seg ut fra skadelige nettsteder. OV SSL-sertifikater er som regel den nest dyreste typen (etter EV SSL-sertifikater), og hovedformålet med denne typen er å kryptere brukernes sensitive opplysninger under transaksjoner. Kommersielle eller offentlige nettsteder må installere et OV SSL-sertifikat for å sørge for at eventuell kundeinformasjon som deles, holdes konfidensiell.

DV SSL-sertifikater (Domain Validated)

Valideringsprosessen for å få denne typen SSL-sertifikat er minimal. Som følge av dette gir DV SSL-sertifikater et lavere trygghetsnivå og minimal kryptering. De brukes som regel til blogger og informative nettsteder – det vil si nettsteder som ikke omfatter datainnsamling eller betalinger over Internett. Denne typen SSL-sertifikat er blant de som koster minst, og som det tar kortest tid å få. Valideringsprosessen krever bare at eieren av nettstedet dokumenterer eierskapet til domenet ved å svare på en e-post eller en telefonoppringning. Adressefeltet i nettleseren viser bare HTTPS og en hengelås uten noe bedriftsnavn.

Wildcard-SSL-sertifikater

Med et wildcard-SSL-sertifikat kan du sikre et basisdomene og et ubegrenset antall underdomener. Hvis du har flere underdomener som skal sikres, er det mye billigere å kjøpe et wildcard-SSL-sertifikat enn å kjøpe individuelle SSL-sertifikater for hvert underdomene. Wildcard-SSL-sertifikater har en stjerne (*) som en del av fellesnavnet. Stjernen representerer alle gyldige underdomener som har samme basisdomene. Ett wildcard-sertifikat for *nettsted kan for eksempel brukes til å sikre følgende domener:

• dittdomene.no
• dittdomene.no
• dittdomene.no
• dittdomene.no
• dittdomene.no

MDC SSL-sertifikat (Multi-Domain Certificate)

Et MDC-sertifikat kan brukes til å sikre mange domener og/eller underdomenenavn. Det omfatter kombinasjoner av helt unike domener og underdomener med ulike toppdomener (TLD-er), bortsett fra lokale/interne domener.

For eksempel:

• eksempel.com
• org
• dette-domenet.net
• hvasomhelst.com.au
• eksempel.com
• eksempel.org

MDC-sertifikater støtter ikke underdomener som standard. Hvis du trenger å sikre både www.eksempel.com og eksempel.com med ett MDC-sertifikat, må du angi begge vertsnavnene når du skaffer sertifikatet.

UCC-sertifikat (Unified Communications Certificate)

UCC-sertifikater anses også for å være MDC SSL-sertifikater. UCC-sertifikater ble opprinnelig utviklet for å sikre Microsoft Exchange- og Live Communications-servere. I dag kan eieren av et hvilket som helst nettsted bruke et slikt sertifikat til å sikre flere domenenavn med ett enkelt sertifikat. UCC-sertifikater er organisasjonsvaliderte og viser en hengelås i nettleseren. UCC-er kan brukes som EV SSL-sertifikater for å gi det høyeste trygghetsnivået for besøkende på nettstedet med det grønne adressefeltet.

Det er svært viktig å kjenne til de forskjellige typene SSL-sertifikater for å velge den riktige typen sertifikat for ditt nettsted.

Slik skaffer du et SSL-sertifikat

SSL-sertifikater kan skaffes direkte fra en sertifiseringsinstans. Sertifiseringsinstanser utsteder flere millioner SSL-sertifikater i året. De spiller en avgjørende rolle i måten Internett fungerer på, og for hvordan transparente, pålitelige interaksjoner kan foregå på Internett.

Prisen på et SSL-sertifikat kan variere fra gratis til hundrevis av dollar avhengig av hvilket sikkerhetsnivå du trenger. Når du har bestemt deg for hvilken type sertifikat du trenger, kan du se etter sertifikatutstedere som tilbyr SSL-sertifikater på det nivået du trenger.

Når du skal få et SSL-sertifikat, må du gjøre følgende:

• Gjøre deg klar ved å konfigurere serveren og sørge for at WHOIS-oppføringen din er oppdatert og samsvarer med det du sender inn til sertifiseringsinstansen (den må vise riktig informasjon om virksomhetens navn, adresse osv.).
• Generere en CSR (Certificate Signing Request) på serveren. Dette er noe vertstjenesteleverandøren din kan hjelpe deg med.
• Sende inn dette til sertifiseringsinstansen for å validere informasjonen om domenet og virksomheten din.
• Installere sertifikatet du mottar når prosessen er fullført.

Når du har fått sertifikatet, må du konfigurere det på webverten eller på dine egne servere hvis du drifter nettstedet selv.

Hvor raskt du mottar sertifikatet, avhenger av hvilken type sertifikat du skal ha, og hvilken sertifikatleverandør du bruker. Tiden det tar å fullføre valideringen, varierer fra valideringsnivå til valideringsnivå. Et enkelt DV SSL-sertifikat kan utstedes i løpet av noen minutter etter at det er bestilt, mens den utvidede valideringen for EV SSL-sertifikater kan ta en hel uke.

Kan et SSL-sertifikat brukes på flere servere?

Det er mulig å bruke ett SSL-sertifikat for flere domener på samme server. Avhengig av leverandøren kan du også bruke ett SSL-sertifikat på flere servere. Dette er på grunn av MDC SSL-sertifikater, som vi har beskrevet ovenfor.

Som navnet tilsier, fungerer MDC SSL-sertifikater (Multi-Domain Certificate) med flere domener. Antallet bestemmes av sertifiseringsinstansen som utsteder sertifikatet. Et MDC SSL-sertifikat er forskjellig fra et SSL-sertifikat for ett domene, som – igjen, som navnet tilsier – er laget for å sikre ett domene.

For å gjøre det hele enda mer forvirrende kan du også oppleve at MDC SSL-sertifikater omtales som SAN-sertifikater. SAN står for «Subject Alternative Name». Hvert MDC-sertifikat har ekstra felt (dvs. SAN) der du kan angi flere domener som skal dekkes under ett sertifikat.

UCC-sertifikater og wildcard-SSL-sertifikater gir også mulighet for flere domener, og sistnevnte kan brukes for et ubegrenset antall underdomener i tillegg.

Hva skjer når et SSL-sertifikat utløper?

SSL-sertifikater utløper – de varer ikke evig. CA/Browser Forum, som i praksis fungerer som reguleringsmyndighet for SSL-bransjen, oppgir at SSL-sertifikater skal ha en levetid på inntil 27 måneder. Det betyr to år, pluss at du kan overføre opptil tre måneder hvis du fornyer før det forrige SSL-sertifikatet har utløpt.

SSL-sertifikater utløper fordi informasjonen må valideres på nytt med jevne mellomrom for å kontrollere at den fremdeles er riktig – som med alle former for autentisering. Ting forandrer seg på Internett etter hvert som bedrifter og nettsteder blir kjøpt og solgt. Når de får nytt eierskap, endres også informasjonen som er relevant for SSL-sertifikater. Formålet med utløpsperioden er å sørge for at informasjonen som brukes til å autentisere servere og organisasjoner, er så oppdatert og nøyaktig som mulig.

Tidligere kunne SSL-sertifikater utstedes for hele fem år. Dette ble redusert til tre og deretter to år med en mulighet for tre ekstra måneder. I 2020 kunngjorde Google, Apple og Mozilla at de skulle begynne å kreve ett års SSL-sertifikater, til tross for at dette forslaget ble nedstemt av CA/Browser Forum. Dette trådte i kraft fra september 2020. Det er mulig at gyldighetsperioden reduseres enda mer i fremtiden.

Når et SSL-sertifikat utløper, blir det aktuelle nettstedet utilgjengelig. Når brukerens nettleser lander på nettstedet, kontrollerer den SSL-sertifikatets gyldighet i løpet av noen millisekunder (som en del av SSL-håndtrykket). Hvis SSL-sertifikatet har utløpt, får besøkende en tilsvarende melding som dette: «Dette området er ikke sikkert. Potensiell risiko.»

Selv om brukeren kan fortsette, anbefales det ikke med tanke på nettsikkerhetsrisikoene det medfører, som omfatter muligheten for skadelig programvare. Dette har betydelig innvirkning på fluktfrekvensen for eieren av nettstedet, siden brukere raskt klikker seg bort fra hjemmesiden og besøker et annet nettsted.

Det å følge med på når SSL-sertifikater utløper, byr på utfordringer for større virksomheter. Små og mellomstore bedrifter (SME) administrerer kanskje bare ett eller noen få sertifikater, mens større selskaper som potensielt driver virksomheten sin på tvers av markeder, med en rekke nettsteder og nettverk, har mange flere. Når SSL-sertifikater utløper i slike tilfeller, skyldes det vanligvis en forglemmelse og ikke mangel på kompetanse. For større virksomheter som trenger å holde oversikt over når SSL-sertifikatene deres utløper, er en plattform for sertifikatadministrasjon den beste måten å oppnå dette på. Det finnes flere produkter på markedet, som du finner ved å søke på nettet. Disse gjør det mulig for virksomheter å se og administrere digitale sertifikater over hele infrastrukturen. Hvis du velger å bruke en slik plattform, er det viktig å logge på med jevne mellomrom, slik at du vet når det er på tide å fornye et sertifikat.

Hvis du lar et sertifikat utløpe, blir det ugyldig, og du vil ikke kunne utføre sikre transaksjoner på nettstedet lenger. Sertifiseringsinstansen gir deg beskjed om å fornye SSL-sertifikatet før utløpsdatoen.

Sertifiseringsinstansen eller SSL-tjenesten du har valgt å bruke som SSL-leverandør, sender deg utløpsvarsler ved faste intervaller, som vanligvis begynner 90 dager før utløpsdatoen. Prøv å sørge for at disse påminnelsene sendes til en e-postdistribusjonsliste i stedet for én person, som kan ha sluttet i bedriften eller fått en ny stilling innen påminnelsen blir sendt. Tenk på hvilke interessenter i selskapet som står på denne distribusjonslisten, for å sørge for at de riktige personene ser påminnelsene til rett tid.

Slik kan du se om et nettsted har et SSL-sertifikat

Du kan enkelt se om et nettsted har et SSL-sertifikat, ved å se på adressefeltet i nettleseren:

• Hvis URL-adressen begynner med HTTPS i stedet for HTTP, betyr det at nettstedet er sikret med et SSL-sertifikat.
• Sikre nettsteder viser et lukket hengelåssymbol, som du kan klikke på for å se sikkerhetsinformasjon. De tryggeste nettstedene har grønne hengelåser eller adressefelt.
• Nettlesere viser også faresignaler når tilkoblingen ikke er sikker, som en rød hengelås, en åpen hengelås, en strek gjennom adressen til nettstedet eller en varseltrekant oppå hengelåssymbolet.

Slik ivaretar du sikkerheten under en Internett-økt

Send bare personlige data og betalingsinformasjon til nettsteder med et EV- eller OV-sertifikat. DV-sertifikater egner seg ikke for nettbutikker. Du kan se om et nettsted har et EV- eller OV-sertifikat ved å se på adressefeltet. For EV SSL-sertifikater vises navnet på organisasjonen i selve adressefeltet. For OV SSL-sertifikater kan du se informasjon om organisasjonen ved å klikke på hengelåsikonet. For DV SSL-sertifikater vises bare hengelåsikonet.

Les retningslinjene for personvern som gjelder for nettstedet. Slik kan du vite hvordan dataene dine blir brukt. Legitime selskaper er åpne om hvordan de samler inn data, og hva som skjer med dataene etter at de er samlet inn.

Se etter tillitsvekkende signaler eller indikatorer på nettsteder.
Foruten SSL-sertifikater omfatter dette anerkjente logoer eller merker som viser at nettstedet oppfyller bestemte sikkerhetsstandarder. Andre ting som kan hjelpe deg med å avgjøre om et nettsted er ekte eller ikke, er å se etter en fysisk adresse eller et telefonnummer, se på reglene for retur og tilbakebetaling og kontrollere at prisnivået på varene er troverdig og ikke for godt til å være sant.

Vær på vakt overfor phishing-svindel.
Noen ganger lager angripere nettsteder som etterligner eksisterende nettsteder, for å lure folk til å kjøpe noe eller logge på et phishing-nettsted. Phishing-nettsteder kan være beskyttet med et SSL-sertifikat for å kryptere all trafikken mellom deg og nettstedet. En økende andel phishing-svindel skjer på HTTPS-nettsteder for å lure brukere som føler seg trygge når de ser hengelåsikonet.

Slik kan du unngå slike angrep:

• Undersøk alltid domenet til nettstedet du besøker, og kontroller at det er stavet riktig. URL-adressen til et falskt nettsted kan avvike med bare ett tegn, for eksempel amaz0n.com i stedet for amazon.com. Hvis du er i tvil, bør du skrive inn domenet direkte i nettleseren for å være sikker på at du kobler til riktig nettsted.
• Skriv aldri inn påloggingsinformasjon, passord, brukerlegitimasjon for nettbanker eller andre personlige opplysninger på nettstedet med mindre du er sikker på at det er ekte.

• Tenk alltid gjennom hva nettstedet tilbyr, om det ser mistenkelig ut, og om du virkelig trenger å registrere deg på det.
• Sørg for at enhetene dine har tilstrekkelig beskyttelse: Kaspersky Internet Security kontrollerer URL-adresser mot en omfattende database over phishing-nettsteder og oppdager svindel uansett hvor «trygg» ressursen ser ut til å være.

Nettsikkerhetsrisikoer utvikler seg stadig, men ved å forstå hvilke typer SSL-sertifikater man bør se etter, og hvordan man kan skille mellom trygge og potensielt farlige nettsteder, kan Internett-brukere lettere unngå svindel og beskytte personlige data mot nettkriminelle.

Relaterte artikler:

• Tips om hvordan man forhindrer angrep fra løsepengevirus
• Slik utfører du et virussøk på riktig måte
• Hva er et sikkerhetsbrudd?
• Hva er personvern?