Gratis SSL-certifikat
Med ett SSL-certifikat till din webbsida kan du kryptera anslutningen mellan dina besökares webbläsare och din egen server. Ett certifikat kan även användas för kryptering eller signering av e-post och för att bevisa vem du är på nätet (med hjälp av ett klientcertifikat). Detta skyddar trafiken mot avlyssning (till exempel från FRA) och om någon försöker sig på en nätfiskeattack så kommer dina besökare att få upp en varningsruta.
Det går att skapa sig ett eget SSL-certifikat, men ett sådant kan inte garantera att du är du, om ni inte träffat varandra på riktigt och utbytt publika nycklar med varandra. Därför brukar man i sådana här sammanhang ta in en tredje part, som båda litar på (i det här fallet någon som besökarens webbläsare litar på). Den tredje parten, kallad för CA eller Certificate Authority ger dig då ett “signerat” certifikat, där den med hjälp av sin egen hemliga nyckel bekräftar att den kontrollerat att du är du. En sådan kontroll görs oftast genom e-post för att kolla att det verkligen är du som är ägaren av domännamnet. Certifikat som inte är signerade av en pålitlig tredje part kommer att ge besökaren varningsmeddelanden.
Problemet med den här proceduren är att det är brist på CA-företag. De måste nämligen ha med sin nyckel direkt i webbläsaren och webbläsartillverkarna har givetvis säkerhetsregler som en CA måste uppfylla för att webbläsaren ska våga lita på certifikaten. Ett av kraven är att man måste kontrollera att domännamnet verkligen ägs av den person som beställer certifikatet.
De flesta CA-företagen tar bra betalt för certifikaten. Thawte, som vi beställer från på jobbet, kräver 150 amerikanska dollar per år för sina certifikat. Då finns de också med i de flesta webbläsare, inklusive mobiltelefoner.
Men det finns faktiskt ett företag som ger ut gratis SSL-certifikat. Företaget heter StartCom och säljer certifikat under namnet StartSSL. Deras enklaste certifikat är helt gratis. På sätt och vis är det säkare än Thawtes motsvarighet. De kräver till exempel att du installerar ett särskilt klientcertifikat i din webbläsare för att komma åt kontrollpanelen (en extra bonus är att du inte behöver något lösenord!). De har också ett enkelt och lättförståeligt gränssnitt.
En av StartSSLs färdiga guider
Vad är haken? Jo, trots att StartSSL (enligt min mening) är säkare än Thawte så saknas de i många webbläsare. De finns med i Mozilla-baserade webbläsare, Konqueror och Safari. Vad jag förstått finns de alltså inte med i Opera, och mina tester visar att de även saknas i Wget.
Trots det är det ett utmärkt alternativ för den som inte vill lägga ut stora pengar på ett certifikat. Jag har själv valt att använda dem till min sajt, som du ser om du granskar certifikatet för sajten (kör du Firefox trycker du på ikonen till vänster i adressfältet för att kolla upp SSL-information).
Jag rekommenderar dem starkt! Ett överlägset användargränssnitt, hög säkerhet och när du väl har ett konto kan du beställa hur många gratiscertifikat du vill med omedelbar leverans.
Installation
Här är ett par länkar om hur du installerar ett SSL-certifikat på din server:
- Apache i Debian GNU/Linux
- StartSSLs egna instruktioner
- Lighthttpd (med vissa Red Hat-specifika instruktioner)
Du kan tvinga dina besökare att använda HTTPS. Så här gör du i Apache (lägg koden i en konfigurations- eller .htaccess-fil):
Options +FollowSymlinks
RewriteEngine On
RewriteCond %{HTTP_HOST} ^.*lajm.eu$
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*)$ https://lajm.eu/$1 [NC,R=301,L]
Byt ut lajm.eu till ditt eget domännamn.