Vad är ett SSL/TLS-certifikat?

Ett SSL/TLS-certifikat (Secure Sockets Layer / Transport Layer Security) är ett litet digitalt certifikat som används för att kryptera informationen som skickas mellan en webbserver och en besökares webbläsare. När ett SSL-certifikat är installerat på en webbserver, aktiveras HTTPS-protokollet (Hypertext Transfer Protocol Secure), vilket indikeras av ett hänglås i webbläsarens adressfält och att webbadressen börjar med https:// istället för http://. Syftet är att skydda känslig information, som lösenord, kreditkortsuppgifter och personuppgifter, från att avlyssnas eller manipuleras av obehöriga under överföringen.

Även om termen SSL fortfarande är vanlig, är det egentligen TLS (Transport Layer Security) som är den moderna och säkrare efterföljaren till SSL. I praktiken används ofta SSL/TLS synonymt.

Varför behöver din webbplats ett SSL-certifikat (HTTPS)?

Att ha ett SSL-certifikat och använda HTTPS är idag en standard och en nödvändighet för de flesta webbplatser av flera anledningar:

  • Säkerhet och dataskydd: Krypterar data som skickas mellan webbservern och besökaren, vilket skyddar mot avlyssning och “man-in-the-middle”-attacker. Detta är särskilt viktigt för e-handelswebbplatser, inloggningssidor och alla webbplatser som hanterar personuppgifter (vilket är ett krav enligt GDPR).
  • Förtroende och trovärdighet: Hänglåset och https:// signalerar till besökarna att webbplatsen är säker och att deras information skyddas. Webbläsare varnar ofta för webbplatser som saknar HTTPS, vilket kan skrämma bort besökare.
  • SEO (Sökmotoroptimering): Google och andra sökmotorer ser HTTPS som en positiv rankningsfaktor. Webbplatser med HTTPS kan få en liten fördel i sökresultaten jämfört med webbplatser som använder osäkert HTTP. Se vår artikel om SEO.
  • Funktionskrav: Vissa moderna webbläsarfunktioner och tekniker (t.ex. geolokalisering, service workers, HTTP/2) kräver HTTPS.
  • Förhindrar innehållsinjektion: HTTPS hjälper till att förhindra att skadlig kod eller oönskat innehåll injiceras i webbplatsen av mellanhänder (t.ex. på publika Wi-Fi-nätverk).

Hur fungerar ett SSL/TLS-certifikat?

När en webbläsare ansluter till en webbplats med HTTPS, sker följande förenklade process (kallad “SSL/TLS handshake”):

  1. Webbläsaren begär en säker anslutning från webbservern.
  2. Webbservern skickar tillbaka sitt SSL-certifikat, som innehåller serverns publika krypteringsnyckel och information om vem som har utfärdat certifikatet (en certifikatutfärdare, CA).
  3. Webbläsaren verifierar att certifikatet är giltigt och utfärdat av en betrodd CA.
  4. Om allt är korrekt, skapar webbläsaren en symmetrisk krypteringsnyckel (en sessionsnyckel) och krypterar den med serverns publika nyckel. Denna krypterade sessionsnyckel skickas sedan till servern.
  5. Servern dekrypterar sessionsnyckeln med sin privata nyckel.
  6. Nu har både webbläsaren och servern samma sessionsnyckel, och all ytterligare kommunikation mellan dem krypteras och dekrypteras med denna sessionsnyckel.

Olika typer av SSL-certifikat

Det finns olika typer av SSL-certifikat med varierande valideringsnivåer och funktioner:

Domänvaliderade certifikat (DV SSL): Den enklaste och snabbaste typen att få. Certifikatutfärdaren verifierar endast att du har kontroll över domännamnet. Passar bra för bloggar, mindre webbplatser och de som inte hanterar mycket känslig information.

Organisationsvaliderade certifikat (OV SSL): Förutom domänkontroll verifierar CA även att organisationen bakom domännamnet är legitim. Detta ger en högre grad av förtroende och passar företag och organisationer.

Utökad validering-certifikat (EV SSL): Den högsta valideringsnivån, där CA genomför en mycket noggrann kontroll av organisationens identitet. Tidigare visades företagsnamnet i ett grönt fält i webbläsarens adressfält, men detta har fasats ut av de flesta webbläsare. EV SSL ger fortfarande den högsta nivån av förtroende och rekommenderas för e-handel och finansiella tjänster.

Wildcard SSL-certifikat: Skyddar en huvuddomän och alla dess direkta subdomäner (t.ex. *.dittforetag.se skyddar www.dittforetag.se, blogg.dittforetag.se, etc.).

Multi-Domain SSL-certifikat (SAN-certifikat): Kan skydda flera olika domännamn och subdomäner med ett enda certifikat.

Hur får man ett SSL-certifikat?

Processen för att få ett SSL-certifikat involverar vanligtvis:

  1. Välj en certifikatutfärdare (CA): Det finns många kommersiella CA:er (t.ex. DigiCert, Sectigo, GlobalSign) och även gratisalternativ som Let’s Encrypt.
  2. Generera en CSR (Certificate Signing Request): Detta görs på din webbserver och innehåller information om din domän och organisation.
  3. Skicka CSR till CA:n och genomför validering: CA:n kommer att verifiera din identitet och domänägande.
  4. Installera certifikatet: När certifikatet är utfärdat behöver det installeras på din webbserver.
  5. Konfigurera webbservern: Se till att webbservern är konfigurerad för att använda HTTPS och att all HTTP-trafik omdirigeras till HTTPS.

Många hosting-leverantörer erbjuder idag gratis SSL-certifikat (ofta via Let’s Encrypt) som installeras och förnyas automatiskt.

Vanliga frågor och svar (FAQ)

Är SSL-certifikat dyra?

Priset varierar. Domänvaliderade (DV) certifikat kan ofta fås gratis (t.ex. via Let’s Encrypt). Organisationsvaliderade (OV) och Utökad Validering (EV) certifikat kostar mer, från några hundralappar till flera tusen kronor per år, beroende på leverantör och typ av certifikat.

Hur länge är ett SSL-certifikat giltigt?

Giltighetstiden för SSL-certifikat har blivit kortare över tid av säkerhetsskäl. Idag är den vanligaste giltighetstiden ett år, men vissa gratiscertifikat (som Let’s Encrypt) är bara giltiga i 90 dagar och behöver förnyas oftare (vilket oftast sker automatiskt).

Vad händer om mitt SSL-certifikat går ut?

Om ditt SSL-certifikat går ut kommer besökare att se en säkerhetsvarning i sin webbläsare när de försöker besöka din webbplats. Detta kan skrämma bort besökare och skada ditt företags rykte. Det är därför mycket viktigt att se till att ditt SSL-certifikat alltid är giltigt och förnyas i tid.

Vad är skillnaden mellan HTTP och HTTPS?

HTTP (Hypertext Transfer Protocol) är det grundläggande protokollet för att överföra information på webben. HTTPS (Hypertext Transfer Protocol Secure) är den säkra versionen av HTTP. Skillnaden är att HTTPS använder SSL/TLS för att kryptera kommunikationen mellan webbläsaren och webbservern, vilket skyddar informationen från avlyssning och manipulation.

KONTAKTA OSS

Behöver du hjälp med SSL-certifikat eller att säkra din webbplats? Kontakta oss på Genesis, eller läs vidare i vårt ordförråd!