Säkra hela webbplatsen med SSL

De flesta CA (certifikatutgivare) råder nu att inte bara säkra de sidor där konfidentiell information lämnas, utan för att skydda hela webbplatsen med SSL. Detta hanteras nu av bland annat stora organisationer som Google, Twitter och Facebook.

Fördelar

Enligt Online Trust Alliance är detta det bästa sättet att öka kundernas förtroende och för att förhindra attacker. Det är ett enkelt och relativt billigt sätt att förhindra 'Sidejacking' och 'Firesheep' attacker. Detta är attacker där besökare omdirigeras till en annan sida omedvetet, fär att fånga upp konfidentiell information på det här sättet. Om hela webbplatsen är säkrad genom SSL omdirigeras dom inte från säkrad till osäkrade sidor så att inga data kan fångas upp av den här typen av "man i mitten" attacker. Det hindrar besökare på en webbplats att får varningar om blandat innehåll. Utöver dessa fördelar finns det några saker som måste justeras för att säkerställa att övergången från http:// till https:// saknar oavsiktliga negativa konsekvenser.

SSL och sökmotorer

Följande tips kan förhindra att https:// på hela webbplatsen inställningar har negativa konsekvenser för synligheten för en webbplats hos sökmotorer.

Det kan vara så att genom att implementera SSL för hela din webbplats, för sökmotorer två versioner av din webbplats finns med samma innehåll; en säker version och en osäkrad version. I det här fallet vill du att kunder som ska skickas från motorn alltid kommer på din säkra webbplats med SSL. Detta problem kan lösas på flera sätt:

Berätta för sökmotorn vilket innehåll de bör indexera

Detta kan göras genom göra din HTTPS sida till en canonical URL. En canonical sida är den sidan som föredras i fall flera sidor har samma innehåll. Du anger detta på följande sätt: Lägg till en rel="canonical" länk till varje <head> i dina HTML sidor som ska ha företräde. Du kan följa dessa steg för att lägga till en länk till sidan: <link rel="canonical" href="https://www.domän.se/exempel/" />.

Ställ in din XML Sitemap så att den hänvisar till https versionen av innehållet

En sitemap säkerställer att crawlern (sökmotorens system som söker webbsidor) hittar dom skyddade sidorna.

Dessa förändringar se till att besökarna omedelbart överförs från motorn till https webbplatsen. Det leder besökaren snabbare till din säkra webbplats och förhindrar "man-in-the-middle" anfall eftersom din webbplats inte erbjuds på http.

Omdat door het gebruik van https er voor zoekmachines twee versies kunnen bestaan dient de robots.txt file aangeboden te worden in beide directories; die voor http en die voor https. Met een robots.txt file kunt u ervoor zorgen dat de crawlers die zoekmachines gebruiken bepaalde delen van uw website overslaan; bijvoorbeeld de delen waarop uw klanten vertrouwelijke informatie achterlaten.

Skapa en omdirigering på din webbplats https

Vidarebefordra webbplats trafik från http till https av en permanent (301) redirect. För Apache-servrar, kan du ställa in detta genom en .htaccess fil.

Ställ i önskad domän i Google

I Google Webmaster Tools kan du ställa in en önskad domän. Den önskade domänen är den version av din webbplats som indexeras av Google. Här kan du ange https versionen av din webbplats.

Social Media

Även för sociala medier har förändringar effekter. Till exempel kommer dina Facebook likes hoppa tillbaka till 0 när du ändrar din URL. För att förhindra detta måste du lägga till en of:url tag i sidans metadata.

Laddningstiden

Ett argument mot att säkra hela webbplatsen, är att det kan påverka laddningstiden på webbplatsen. En säker sida laddar långsammare än en osäker sidan eftersom webbläsaren måste vänta på bekräftelse av CA:n att certifikatet är giltigt. Men alla CA arbetar på att göra laddningstiden så kort som möjligt, vilket minskar skillnaden mellan osäkra sidor. En metod som reducerar laddningstiden är OCSP Stapling. Här giltigheten av ett certifikat kontrolleras av servern och skickar det vidare till webbläsaren så det inte finns en separat anslutning till CA:n. Mer information om hur OCSP Stapling kan hittas här.

Secure Cookies

Cookies är små textfiler som placeras på hårddisken på en dator när en webbplats besöks. Cookies är främst avsedda att särskilja användare från varandra och se till exempel att besökaren till en webbplats stannar inloggad eller att innehållet hålls i en varukorg. De är också ett användbart verktyg för annonser för att skräddarsy annonser till användarens surfvanor.

Besökare använder ofta inte https när de skriver webbadressen in i adressfältet och deras information skyddas därmed inte. När du skyddar din webbplats är det därför lämpligt att även skicka cookies via en säker anslutning.

Tvinga HTTPS

När du använder HTTP Strict Transport Security (HSTS), instrueras webbläsaren att ansluta med en SSL säker sida i stället för en osäker sida. Om ingen säker anslutning är möjligt, kommer besökare att se ett felmeddelande. Användningen av HSTS kan förhindra "Man-in-the-middle" attacker eftersom din webbplats på detta sätt inte kan ledas om till en osäker sida.