Hvordan bruker man SSL/TLS?

[olafmoriarty]

Ja, dette er et skikkelig nybegynnerspørsmål...

Ser mange skriver veldig varmt om SSL, noe jeg har lært meg å tolke dithen at det står https i stedet for http helt til venstre i adresselinjen og at dette fører til at transaksjonen er sikrere på en eller annen måte.

Spørsmål 1: Når skal man egentlig bruke dette? Nettbutikker er et særlig hett tema i diskusjoner om SSL, men på nøyaktig hvilke områder? Jeg går ut fra at jeg ikke egentlig trenger veldig sikker kryptering for å la lesere bla i produktkatalogen, må jeg bruke SSL når brukeren logger seg inn? Burde man isåfall bruke SSL på absolutt alle nettsider med brukerinnlogging, eller bare for steder hvor man registrerer personopplysninger? Er det viktig med SSL i det hele tatt dersom man ikke har kortbetaling?

Spørsmål 2: Hvordan kommer jeg i gang med SSL? Må webhotelleverandøren min opprette en egen mappe jeg skal legge SSL-krypterte sider i? Må jeg bruke et helt eget programmeringsspråk beregnet på SSL som er mye sikrere enn PHP? Kort og godt: Hvordan går jeg fram i praksis for å lære meg å lage en løsning som er sikker nok for å sette opp en nettbutikk?

(Har en liten nettbutikk allerede, men den er neppe sikker nok i forhold til de kravene som gjelder i dag... Her snakker vi i-praksis-et-epostskjema.)

 

[tyr897]

1) Du bør bruke SSL når en bruker logger seg inn. Er det, eller kan være, sensitiv informasjon som overføres bør du bruke SSL. Gmail bruker eksempelvis alltid SSL på innlogging, og SSL som standardinnstilling når du leser mail.
Skal en lese produktkatalogen er det ingen grunn til å bruke SSL, og da lar en være - i og med at det medfører et visst ytelsestap. Dersom det ikke er noe sensitive opplysninger er det avveining du må ta om du ønsker å beskytte innloggingen eller ikke.

2) SSL er ikke en teknologi som kommer istedenfor server-side teknologi (les: php). SSL implementeres i webserveren, og alle moderne webservere kommer med støtte for SSL.

Det finnes hovedsaklig to måter å implementere SSL for en nettside:
* Delt SSL (shared SSL):
Nettsiden din deler ip med flere andre (delt hosting), og kan derfor ikke ha SSL på eget domene. SSL knyttes til ip fordi serveren ikke vet hvilken host brukeren prøver å nå før den har dekryptert spørringen. Det typiske her er at leverandøren din har et domene eller ip som en når via https, og gir deg en egen undermappe.

* Dedikert SSL
Du har din egen ip, og kan derfor bruke ditt eget domene i https. Dette er sannsynligvis mest aktuelt dersom du har dedikert eller VPS, hvis ikke må du snakke med hosten din. Dersom du har egen server finnes det en rekke gode guider på hvordan du skal sette opp webserveren din til å håndtere SSL - samt installere sertifikat.

Dersom du har dedikert SSL bør du også kjøpe et sertifikat, så du ikke får opp meldinger slik som dette. Disse kommer i forskjellige former, med forskjellig akspetgrad og pris. Etter min mening koker det ned til to alternativer:
1) Gå for det billigste - akseptgraden er høy nok uansett
2) Eller gå for Extended Validation Certificate. Da blir hele adressebaren grønn, et eksempel er DnB NOR. Disse er dyre, og er ikke verdt det for den jevne nettside.

Som et tips gir Namecheap deg et gratis SSL sertifikat (1 år) ved kjøp av domene.

 

[kongen]

Er det, eller kan være, sensitiv informasjon som overføres bør du bruke SSL.

Hva klassifiseres som "sensitiv" informasjon? Hva med navn, adresse, telefon til kunder i en nettbutikk? Ser at Tradedoubler ikke bruker SSL og de har jo bankkontonummeret mitt... er bankkontonummer "sensitiv" informasjon?

det medfører et visst ytelsestap.

Hvor stort ytelsestap er det med SSL?