Vad är ett SSL-certifikat – definition och förklaring

Vad är ett SSL-certifikat?

SSL-certifikat är digitala certifikat som autentiserar webbplatsers identitet och möjliggör krypterade anslutningar. SSL står för Secure Sockets Layer, ett säkerhetsprotokoll som skapar en krypterad länk mellan en webbserver och en webbläsare.

Företag och organisationer behöver lägga till SSL-certifikat till sina webbplatser för att skydda onlinebaserade transaktioner samt hålla kundinformation privat och säker.

I korthet skyddar SSL internetanslutningar och förhindrar att kriminella kan läsa eller ändra information som överförs mellan två system. När det finns en hänglåsikon intill webbadressen i adressfältet innebär det att SSL skyddar den webbplats du besöker.

Sedan introduktionen för cirka 25 år sedan har det funnits flera olika versioner av SSL-protokollet. Alla dessa drabbades vid något tillfälle av säkerhetsproblem. En omarbetad version med ett nytt namn lanserades därefter: TLS (Transport Layer Security). Den används än i dag. Förkortningen SSL hade dock fastnat, och därför används ofta det gamla namnet för den nya versionen av protokollet .

Hur fungerar SSL-certifikat?

SSL ser till att data som överförs mellan användare och webbplatser, eller mellan två system, inte kan läsas. Det använder krypteringsalgoritmer för att chiffrera data som överförs, vilket förhindrar att hackare kan läsa data som skickas via anslutningen. Dessa data omfattar potentiellt känslig information såsom namn, adresser, och kreditkortsnummer eller annan finansiell information.

Så här fungerar processen:

1. En webbläsare eller server försöker ansluta till en webbplats (det vill säga en webbserver) som skyddas med SSL.
2. Webbläsaren eller servern begär att webbservern identifierar sig.
3. Webbservern skickar webbläsaren eller servern en kopia av sitt SSL-certifikat som svar.
4. Webbläsaren eller servern kontrollerar om SSL-certifikatet är betrott. Om så är fallet signalerar den detta till webbservern.
5. Webbservern returnerar då en digitalt signerad bekräftelse för att starta en SSL-krypterad session.
6. Krypterade data delas mellan webbläsaren eller servern och webbservern.

Den här processen kallas ibland för en ”SSL-handskakning”. Det här kan låta som en lång process, men i själva verket tar det bara millisekunder.

När en webbplats skyddas av ett SSL-certifikat visas förkortningen HTTPS (som står för HyperText Transfer Protocol Secure) i webbadressen. Utan SSL-certifikat visas endast bokstäverna HTTP, det vill säga utan det S som står för Secure. En hänglåsikon visas dessutom i adressfältet för webbadresser. Detta indikerar förtroende, och visar de som besöker webbplatsen att de är skyddade.

Om du vill visa information om SSL-certifikatet klickar du på hänglåsikonen i webbläsarfältet. Följande information ingår vanligtvis i SSL-certifikat:

• Det domännamn som certifikatet utfärdades för
• Den person, organisation eller enhet som det utfärdades för
• Vilken certifikatutfärdare som utfärdade det
• Certifikatutfärdarens digitala signatur
• Associerade underdomäner
• Datumet för certifikatets utfärdande
• Certifikatets utgångsdatum
• Den offentliga nyckeln (den privata nyckeln avslöjas inte)

Därför behöver du ett SSL-certifikat

Webbplatser behöver SSL-certifikat för att skydda data, verifiera ägarskapet för webbplatsen, hindra angripare från att skapa en falsk version av webbplatsen samt inge förtroende hos användarna.

Om en webbplats ber användarna att logga in, ange personlig information såsom kreditkortsnummer eller visa konfidentiell information som vårdförsäkringar eller ekonomi, är det mycket viktigt att data hålls konfidentiella. SSL-certifikat bidrar till att hålla onlinebaserade transaktioner privata och försäkra användarna om att webbplatsen är autentisk och säker att dela privat information med.

För företag är det mer relevant att SSL-certifikat krävs för HTTPS-webbadresser. HTTPS är den säkra formen av HTTP, och innebär att HTTPS-webbplatsernas trafik krypteras med SSL. De flesta webbläsare taggar HTTP-webbplatser – sådana som inte har SSL-certifikat – som ”ej säkra”. Detta anger tydligt för användarna att de kanske inte bör lita på webbplatsen, vilket ger incitament för företag som inte redan har migrerat till HTTPS att göra det.

SSL-certifikat hjälper till att skydda information såsom:

• Inloggningsuppgifter
• Kreditkortstransaktioner eller bankkontoinformation
• Personligt identifierbar information, till exempel fullständigt namn, adress, födelsedatum eller telefonnummer
• Juridiska dokument och avtal
• Patientjournaler
• Affärshemligheter

Typer av SSL-certifikat

Det finns olika typer av SSL-certifikat med olika valideringsnivåer. De sex huvudsakliga typerna är:

1. Extended Validation-certifikat (EV SSL, utökad validering)
2. Organization Validated-certifikat (OV SSL, organisationsvaliderat)
3. Domain Validated-certifikat (DV SSL, domänvaliderat)
4. Wildcard SSL-certifikat (jokertecken)
5. Multi-Domain SSL-certifikat (MDC, multidomän)
6. Unified Communications-certifikat (UCC, enhetlig kommunikation)

Extended Validation-certifikat (EV SSL, utökad validering)

Det här är det certifikat som är dyrast och har den högsta klassificeringen. Det används normalt för stora webbplatser som samlar in data och hanterar onlinebetalningar. När dessa SSL-certifikat installerats visar de hänglåset, HTTPS, företagets namn och landet i webbläsarens adressfält. Att webbplatsägarens information visas i adressfältet bidrar till att skilja webbplatsen från skadliga webbplatser. För att konfigurera ett EV SSL-certifikat måste webbplatsens ägare gå genom en standardiserad process för identitetsverifiering i syfte att bekräfta att ägaren har juridiska exklusiva rättigheter till domänen.

Organization Validated-certifikat (OV SSL, organisationsvaliderat)

Den här versionen av SSL-certifikat har en säkerhetsnivå som liknar EV SSL-certifikat, eftersom webbplatsägaren måste slutföra en betydande valideringsprocess för att skaffa ett. Den här typen av certifikat visar också webbplatsägarens information i adressfältet i syfte att särskilja webbplatsen från skadliga webbplatser. OV SSL-certifikat brukar vara den näst dyraste typen (efter EV SSL), och dess huvudsyfte är att kryptera användarens känsliga information under transaktioner. Kommersiella eller offentligt riktade webbplatser måste installera ett OV SSL-certifikat för att säkerställa att kundinformation som delas hålls konfidentiell.

Domain Validated-certifikat (DV SSL, domänvaliderat)

Valideringsprocessen för erhållandet av den här SSL-certifikattypen är minimal, och därför ger domänvaliderade SSL-certifikat lägre säkerhet och minimal kryptering. De brukar användas för bloggar eller informationswebbplatser, det vill säga sådana som inte inbegriper datainsamling eller onlinebetalningar. Den här typen av SSL-certifikat är en av de billigaste och snabbaste att införskaffa. Valideringsprocessen kräver endast att webbplatsägare bevisar domänägarskapet genom att svara på ett e-postmeddelande eller ett telefonsamtal. Adressfältet i webbläsaren visar endast HTTPS och ett hänglås. Inget företagsnamn visas.

Wildcard SSL-certifikat (jokertecken)

Med Wildcard SSL-certifikat kan du skydda en basdomän och obegränsat med underdomäner i ett och samma certifikat. Om du har flera underdomäner att skydda är ett Wildcard SSL-certifikat mycket billigare än att köpa enskilda SSL-certifikat för var och en av dem. Wildcard SSL-certifikat innehåller en asterisk * i det gemensamma namnet. Asterisken representerar alla giltiga underdomäner som har samma basdomän. Till exempel kan ett enda Wildcard-certifikat för *webbplats användas till att skydda:

• dindoman.com
• dindoman.com
• dindoman.com
• dindoman.com
• dindoman.com

Multi-Domain SSL-certifikat (MDC, multidomän)

Multidomäncertifikat kan användas för att skydda många domäner och/eller underdomännamn. Detta omfattar kombinationen av helt unika domäner och underdomäner med olika toppdomäner (TLD, Top Level Domain), med undantag för lokala/interna sådana.

Exempel:

• exempel.com
• org
• dennadoman.net
• vadsomhelst.com.au
• exempel.com
• exempel.org

Multidomäncertifikat har som standard inte stöd för underdomäner. Om du behöver skydda både www.exempel.com och exempel.com med ett multidomäncertifikat bör båda värdnamnen anges när du skaffar certifikatet.

Unified Communications-certifikat (UCC, enhetlig kommunikation)

Unified Communications-certifikat (UCC) betraktas även de som SSL-multidomäncertifikat. UCC utformades ursprungligen för att skydda Microsoft Exchange- och Live Communications-servrar. I dag kan alla webbplatsägare använda dessa certifikat för att tillåta att flera domännamn skyddas i ett och samma certifikat. UCC-certifikat organisationsvalideras och visar ett hänglås i webbläsaren. UCC kan användas som EV SSL-certifikat för att ge webbplatsbesökare den högsta garantin via det gröna adressfältet.

Det är viktigt att känna till de olika typerna av SSL-certifikat så att du kan skaffa rätt typ av certifikat för din webbplats.

Så skaffar du ett SSL-certifikat

SSL-certifikat kan införskaffas direkt från en certifikatutfärdare (CA, Certificate Authority). Certifikatutfärdare – som ibland kallas certifikatauktoriteter – utfärdar miljontals SSL-certifikat varje år. De har en viktig roll vad gäller hur internet fungerar och hur transparenta betrodda interaktioner kan utföras online.

Kostnaden för ett SSL-certifikat kan variera från kostnadsfritt till flera tusen kronor beroende på vilken säkerhetsnivå du behöver. När du har kommit fram till vilken typ av certifikat du behöver kan du leta efter certifikatutfärdare som erbjuder SSL på den nivå du behöver.

Du utför följande steg när du skaffar ett SSL-certifikat:

• Förbered genom att konfigurera servern och säkerställa att din WHOIS-post är uppdaterad och matchar det du skickar till certifikatutfärdaren (den behöver visa rätt företagsnamn och adress, och så vidare).
• Generera en certifikatsigneringsbegäran (CSR, Certificate Signing Request) på din server. Det här är en åtgärd som värdtjänstföretaget kan hjälpa till med.
• Skicka detta till certifikatutfärdaren för att validera din domän och företagsinformation
• Installera det certifikat som de tillhandahåller när processen är slutförd.

När du har fått certifikatet behöver du konfigurera det på webbvärden eller på dina egna servrar om du driver webbplatsen på egen hand.

Hur snabbt du får certifikatet beror på vilken typ av certifikat du skaffar och från vilken certifikatutfärdare du skaffar det. Varje valideringsnivå kräver olika lång tid för slutförande. Ett enkelt Domain Validation SSL-certifikat kan utfärdas inom några minuter efter beställning, medan Extended Validation kan ta upp till en hel vecka.

Kan ett SSL-certifikat användas på flera servrar?

Det går att använda ett SSL-certifikat för flera domäner på samma server. Beroende på leverantören kan du även använda ett SSL-certifikat på flera servrar. Detta beror på SSL-multidomäncertifikat, som beskrivs ovan.

Som namnet antyder fungerar SSL-multidomäncertifikat med flera domäner. Antalet bestäms av certifikatutfärdaren. SSL-multidomäncertifikat skiljer sig från SSL-enkeldomäncertifikat, vilka som namnet antyder är utformade för att skydda en enskild domän.

Ibland kallas SSL-multidomäncertifikat förvirrande nog för SAN-certifikat. SAN står för Subject Alternative Name. Varje multidomäncertifikat har ytterligare fält (det vill säga SAN) som du använder för att ange ytterligare domäner som du vill ska omfattas av ett och samma certifikat.

Även Unified Communications-certifikat (UCC) och Wildcard SSL-certifikat tillåter flera domäner, och i det senare fallet ett obegränsat antal underdomäner.

Vad händer när ett SSL-certifikat upphör att gälla?

SSL-certifikat upphör efter en viss tid. De varar inte hur länge som helst. Certificate Authority/Browser Forum, som i praktiken är reglerande organ för SSL-branschen, anger att SSL-certifikat bör ha en livslängd på högst 27 månader. Detta innebär i praktiken två år plus att du kan flytta med upp till tre månader om du förnyar med tid återstående på ditt tidigare SSL-certifikat.

SSL-certifikat går ut eftersom information, precis som för alla typer av autentisering, behöver omvalideras regelbundet för att kontrollera att den fortfarande är korrekt. Saker och ting förändras på internet i takt med att företag och webbplatser köps och säljs. När ägarskapet ändras innebär det att information som berör SSL-certifikat också ändras. Syftet med utgångsperioden är att säkerställa att den information som används för att autentisera servrar och organisationer är så aktuell och korrekt som möjligt.

Tidigare kunde SSL-certifikat utfärdas för så långa perioder som fem år, vilket senare minskades till tre och därefter de aktuella två åren plus tre möjliga extramånader. År 2020 tillkännagav Google, Apple och Mozilla att de skulle framtvinga SSL-certifikat med ett års varaktighet, trots att det förslaget röstades ned av Certificate Authority Browser Forum. Detta började gälla från och med september 2020. Det är möjligt att giltighetstidens längd minskas ytterligare i framtiden.

När ett SSL-certifikat upphör kan webbplatsen inte längre nås. När en användares webbläsare når en webbplats kontrollerar den SSL-certifikatets giltighet inom några millisekunder (som en del av SSL-handskakningen). Om SSL-certifikatet har upphört att gälla får besökarna ett meddelande i stil med ”Den här webbplatsen är inte säker. Den kan vara riskabel”.

Användarna har möjlighet att fortsätta, men det rekommenderas inte eftersom det föreligger risk vad gäller cybersäkerheten, däribland risken för skadlig kod. Detta har en betydande inverkan på avvisningsfrekvensen för webbplatsägare – användarna klickar snabbt bort webbplatsen och går någon annanstans.

För större företag är det en utmaning att hålla koll på när SSL-certifikat upphör. Små och medelstora företag (SME) kan ha ett eller några få certifikat att hantera, men stora företag och organisationer som potentiellt genomför transaktioner mellan flera marknader – med ett flertal webbplatser och nätverk – har många fler. På den här nivån beror upphörda SSL-certifikat vanligtvis på misstag snarare än bristande kompetens. Det bästa sättet för stora företag att hålla koll på när SSL-certifikat upphör är att använda en plattform för certifikathantering. Det finns olika sådana produkter på marknaden som du kan hitta genom att söka online. De gör att stora företag kan se och hantera digitala certifikat i hela sin infrastruktur. Om du använder någon av de här plattformarna är det viktigt att logga in regelbundet så att du vet när det är dags att förnya.

Om du låter ett certifikat gå ut blir det ogiltigt, och du kan då inte längre genomföra säkra transaktioner på din webbplats. Certifikatutfärdaren uppmanar dig att förnya SSL-certifikatet före utgångsdatumet.

Den certifikatutfärdare eller SSL-tjänst som du skaffar SSL-certifikat från skickar regelbundet aviseringar om upphörande, vanligtvis 90 dagar i förväg. Du bör se till att de här påminnelserna e-postas till en distributionslista i stället för en enskild person, då denna person kan ha lämnat företaget eller fått en annan roll när påminnelsen skickas. Fundera över vilka intressenter i företaget som finns i distributionslistan och se till att rätt personer får påminnelserna, i rätt tid.

Så tar du reda på om en webbplats har ett SSL-certifikat

Det enklaste sättet att se om en webbplats har ett SSL-certifikat är att titta på adressfältet i webbläsaren:

• Om webbadressen börjar med HTTPS i stället för HTTP innebär det att webbplatsen skyddas med hjälp av ett SSL-certifikat.
• Skyddade webbplatser visar ett låst hänglås som du kan klicka på för att läsa säkerhetsinformationen. De mest pålitliga webbplatserna har gröna hänglås eller adressfält.
• Webbläsare visar även varningssymboler när en anslutning inte är säker, till exempel ett rött hänglås, ett öppet hänglås, en linje som går genom webbplatsens adress eller en varningstriangel ovanpå hänglåset.

Så ser du till att din onlinesession är säker

Skicka endast dina personliga uppgifter och information om onlinebetalning till webbplatser som har EV- eller OV-certifikat. DV-certifikat är inte lämpliga för e-handelswebbplatser. Det syns i adressfältet huruvida en webbplats har ett EV- eller OV-certifikat. För EV SSL är organisationens namn synligt i själva adressfältet. För OV SSL kan du visa organisationens namnuppgifter genom att klicka på hänglåset. För DV SSL är endast hänglåset synligt.

Läs webbplatsens sekretesspolicy. På så sätt kan du ta reda på hur dina data används. Legitima företag är transparenta vad gäller hur de samlar in dina data och vad de gör dem.

Leta efter signaler eller indikatorer på förtroende på webbplatser.
Utöver SSL-certifikat omfattar dessa betrodda logotyper eller märken som visar att webbplatsen uppfyller specifika säkerhetsstandarder. Andra indikatorer som kan hjälpa dig att avgöra huruvida en webbplats är genuin är att leta efter en fysisk adress och ett telefonnummer, läsa webbplatsens retur- eller återbetalningspolicy eller att kontrollera att priserna är rimliga.

Se upp för nätfiske.
Ibland skapar cyberangripare webbplatser som efterliknar befintliga webbplatser i syfte att lura användare att köpa något eller logga in på deras nätfiskewebbplats. En nätfiskewebbplats kan skaffa ett SSL-certifikat och därmed kryptera all trafik som skickas mellan dig och webbplatsen. Allt mer nätfiske sker på HTTPS-webbplatser, vilket lurar användare som litar på hänglåset.

Så här undviker du dessa typer av attacker:

• Kontrollera alltid domänen för den webbplats du besöker och se till att den är korrekt stavad. Webbadressen för en falsk webbplats kan skilja sig åt med bara ett tecken, till exempel amaz0n.com i stället för amazon.com. Om du är osäker kan du skriva in domänen direkt i webbläsaren för att vara säker på att ansluter till den webbplats du vill komma till.
• Ange aldrig inloggningsuppgifter, bankuppgifter eller annan personlig information på en webbplats om du inte är säker på att den är äkta.

• Utvärdera alltid vad en viss webbplats erbjuder, om den ser misstänkt ut eller huruvida du verkligen behöver registrera dig på den.
• Se till att dina enheter har ordentligt skydd: Kaspersky Internet Security kontrollerar webbadresser mot en stor databas över nätfiskewebbplatser och identifierar falska webbplatser oavsett hur ”säker” resursen ser ut.

Cybersäkerhetsriskerna fortsätter att utvecklas, men genom att förstå vilka typer av SSL-certifikat de bör hålla utkik efter samt hur de skiljer säkra webbplatser från potentiellt skadliga sådana kan internetanvändare undvika bedrägeri samt skydda sina personliga uppgifter från cyberbrottslingar.

Relaterade artiklar:

• Tips om hur du förhindrar attacker från utpressningstrojaner
• Så kör du en virusskanning på rätt sätt
• Vad är en säkerhetsöverträdelse?
• Vad är datakryptering?