Hvad er et SSL-certifikat – definition og forklaring

Hvad er et SSL-certifikat?

Et SSL-certifikat er et digitalt certifikat, der godkender et websteds identitet og aktiverer en krypteret forbindelse. SSL står for Secure Sockets Layer og er en sikkerhedsprotokol, der opretter en krypteret forbindelse mellem en webserver og en webbrowser.

Virksomheder og organisationer skal føje SSL-certifikater til deres websteder for at sikre onlinetransaktioner og for at holde kundeoplysninger private og sikre.

Kort forklaring: SSL holder internetforbindelser sikre og forhindrer kriminelle i at læse eller ændre oplysninger, der overføres mellem to systemer. Når der vises et hængelåsikon ud for URL'en på adresselinjen betyder det, at SSL beskytter det websted, du besøger.

Siden introduktionen af den for 25 år siden har der været flere forskellige versioner af SSL-protokollen, der alle sammen blev ramt af sikkerhedsmæssige problemer. Derefter fulgte en forbedret version ved navn TLS (Transport Layer Security), der stadig anvendes i dag. Men forkortelsen SSL hang fast, så den nye version af protokollen bliver som regel stadig omtalt med det gamle navn.

Hvordan fungerer SSL-certifikater?

SSL fungerer ved at sikre, at det er umuligt at læse data, der overføres mellem brugere og websteder eller to systemer. Det bruger krypteringsalgoritmer til at kryptere data, mens de overføres, og dette forhindrer hackere i at kunne læse dataene, når de sendes via forbindelsen. Dataene omfatter potentielt følsomme oplysninger såsom navne, adresser, kreditkortnumre og andre finansielle oplysninger.

Der sker følgende:

1. En browser eller server forsøger at oprette forbindelse til et websted (dvs. en webserver), der er sikret ved hjælp af SSL.
2. Browseren eller serveren anmoder webserveren om at identificere sig.
3. Webserveren sender browseren eller serveren en kopi af SSL-certifikatet som svar.
4. Browseren eller serveren undersøger, om der er tillid til SSL-certifikatet. Hvis der er det, giver den webserveren besked om dette.
5. Webserveren returnerer derefter en digitalt signeret bekræftelse for at starte en SSL-krypteret session.
6. Krypterede data deles mellem browseren eller serveren og webserveren.

Denne proces omtales sommetider som et "SSL-handshake". Det lyder, som om denne proces er meget omstændelig, men den tager kun nogle få millisekunder at gennemføre.

Når et websted er sikret ved hjælp af et SSL-certifikatet, vises akronymet HTTPS (der står for HyperText Transfer Protocol Secure) i URL'en. Hvis der ikke er et SSL-certifikat, vises kun HTTP (dvs. S'et, som står for Secure, vises ikke). Der vises også et hængelåsikon på URL-adresselinjen. Dette signalerer tillid, og gør, at de, der besøger webstedet, kan føle sig trygge.

Du kan få vist oplysninger om et SSL-certifikat ved at klikke på hængelåsikonet, der vises på adresselinjen i browseren. SSL-certifikater indeholder typisk oplysninger om følgende:

• Det domænenavn, som certifikatet er udstedt til
• Hvilken person, organisation eller enhed det er udstedt til
• Hvilken certifikatmyndighed der har udstedt det
• Certifikatmyndighedens digitale signatur
• Tilknyttede underdomæner
• Dato for udstedelse af certifikatet
• Certifikatets udløbsdato
• Den offentlige nøgle (den private nøgle vises ikke)

Derfor har du brug for et SSL-certifikat

Websteder skal bruge SSL-certifikater for at holde brugerdata sikre, verificere ejerskab af webstedet, forhindre hackere i at oprette en falsk version af webstedet og indgyde tillid hos brugerne.

Hvis et websted beder brugerne om at logge på eller indtaste personlige oplysninger såsom kreditkortnumre, eller hvis det viser fortrolige oplysninger som for eksempel sygeforsikringsydelser eller finansielle oplysninger, er det helt afgørende, at dataene holdes fortrolige. SSL-certifikater holder online-interaktioner private og forsikrer brugerne om, at et websted er ægte, og at det er sikkert at dele personlige oplysninger med det.

For virksomheder er det mere relevant, at en HTTPS-webadresse kræver et SSL-certifikat. HTTPS er den sikre udgave af HTTP, og dette betyder, at netværkstrafikken på HTTPS-websteder krypteres med SSL. De fleste browsere viser HTTP-websteder – dem uden SSL-certifikater – som "ikke sikker". Dette sender et klart signal til brugerne om, at der muligvis ikke er fuld tillid til webstedet – og dette giver virksomheder, der ikke allerede har migreret til HTTPS, et incitament til at gøre det.

Et SSL-certifikat er med til at sikre oplysninger som for eksempel:

• Login-oplysninger
• Oplysninger om kreditkorttransaktioner eller bankkonti
• Oplysninger, der kan identificere personer – for eksempel fulde navn, adresse, fødselsdato eller telefonnummer
• Juridiske dokumenter og kontrakter
• Patientjournaler
• Oplysninger tilhørende rettighedshaveren

Typer af SSL-certifikater

Der findes forskellige typer af SSL-certifikater, der har forskellige valideringsniveauer. De seks hovedtyper er:

1. Certifikater med udvidet validering (EV SSL)
2. Organisationsvaliderede certifikater (OV SSL)
3. Domænevaliderede certifikater (DV SSL)
4. SSL-certifikater med jokertegn
5. Multidomæne-SSL-certifikater (MDC)
6. Unified Communications-certifikater (UCC)

Certifikater med udvidet validering (EV SSL)

Dette er den højest rangerende og dyreste type SSL-certifikat. Den bruges normalt til højprofilerede websteder, hvor der indsamles data og foretages betalinger online. Når dette SSL-certifikat er installeret, vises hængelåsen, HTTPS, virksomhedens navn og landet på browserens adresselinje. Visning af oplysninger om webstedets ejer på adresselinjen hjælper brugere med at skelne mellem webstedet og websteder med skadeligt indhold. For at konfigurere et EV SSL-certifikat skal webstedets ejer gennemgå en standardiseret identitetsverificeringsproces til bekræftelse af, at ejeren i juridisk forstand har autorisation til de eksklusive rettigheder til domænet.

Organisationsvaliderede certifikater (OV SSL)

Denne version af SSL-certifikat svarer sikkerhedsmæssigt til EV SSL-certifikatet, da webstedets ejer skal gennemgå en omfattende valideringsproces i forbindelse med anskaffelsen af det. Med denne type certifikat vises der også oplysninger om webstedets ejer på adresselinjen for at hjælpe med at skelne webstedet fra websteder med skadeligt indhold. OV SSL-certifikater er normalt de næstdyreste at anskaffe (efter EV SSL-certifikater), og deres primære formål er kryptering af brugerens følsomme oplysninger under transaktioner. Kommercielle og offentligt tilgængelige websteder skal forsynes med et OV SSL-certifikat for at sikre, at eventuelle kundeoplysninger, der deles, holdes fortrolige.

Domænevaliderede certifikater (DV SSL)

Valideringsprocessen for anskaffelse af denne type SSL-certifikat er minimal, og derfor er sikkerhedsniveauet lavere og krypteringen minimal. Denne type certifikat bruges normalt til blogs eller informationswebsteder – altså på websteder, hvor der ikke indsamles data eller foretages onlinebetalinger. Dette SSL-certifikat er et af de billigste og hurtigste af anskaffe. Valideringsprocessen kræver kun, at webstedsejerne beviser deres ejerskab til et domæne ved at besvare en e-mail eller et telefonopkald. Browserens adresselinje viser kun HTTPS og en hængelås uden noget virksomhedsnavn.

SSL-certifikater med jokertegn

SSL-certifikater med jokertegn gør det muligt for dig at sikre et basisdomæne og et ubegrænset antal underdomæner med et enkelt certifikat. Hvis du har mange underdomæner, som skal sikres, er det langt billigere at købe et SSL-certifikat med jokertegn end at købe individuelle SSL-certifikater til hvert underdomæne. SSL-certifikater med jokertegn indeholder en stjerne (*) som del af det fælles navn, hvor stjernen repræsenterer alle gyldige underdomæner, der har det samme basisdomæne. Et enkelt certifikat med jokertegn til *websted kan for eksempel bruges til at sikre:

• yourdomain.com
• yourdomain.com
• yourdomain.com
• yourdomain.com
• yourdomain.com

Multidomæne-SSL-certifikat (MDC)

Et multidomænecertifikat kan bruges til at sikre mange domæner og/eller navne på underdomæner. Dette omfatter kombinationen af helt unikke domæner og underdomæner med forskellige topdomæner (TLD, Top-Level Domain), med undtagelse af lokale/interne.

For eksempel:

• example.com
• org
• this-domain.net
• anything.com.au
• example.com
• example.org

Multidomænecertifikater understøtter ikke underdomæner som standard. Hvis du skal sikre både www.example.com og example.com med ét multidomænecertifikat, skal begge værtsnavne angives, når certifikatet anskaffes.

Unified Communications-certifikat (UCC)

Unified Communications-certifikater (UCC) regnes også som multidomæne-SSL-certifikater. UCC-certifikater blev oprindeligt designet til at sikre Microsoft Exchange- og Live Communications-servere. I dag kan alle webstedsejere sikre flere domænenavne med ét enkelt certifikat af denne type. UCC-certifikater valideres pr. organisation og viser en hængelås i browseren. UCC-certifikater kan bruges som EV SSL-certifikater for at give besøgende på webstedet den højeste grad af tryghed via en grøn adresselinje.

Det er meget vigtigt at kende til de forskellige typer SSL-certifikater for at kunne anskaffe den rigtige type certifikat til et websted.

Sådan anskaffes et SSL-certifikat

SSL-certifikater kan anskaffes direkte fra en certifikatmyndighed (CA). Certifikatmyndigheder – der ind imellem kaldes certificeringsmyndigheder – udsteder millioner af SSL-certifikater hvert år. De har afgørende betydning for, hvordan internettet fungerer, og for, hvordan transparente interaktioner, som der er tillid til, kan foretages online.

Et SSL-certifikat kan være gratis, eller det kan koste flere hundrede dollars, afhængigt af det sikkerhedsniveau, der kræves. Når du har besluttet, hvilken type certifikat du har brug for, kan du lede efter certifikatudstedere, der tilbyder SSL-certifikater på det niveau, der kræves.

Anskaffelsen af dit SSL-certifikat omfatter følgende trin:

• Klargøring, hvor du konfigurerer din server og sørger for, at WHOIS-registreringen er opdateret og stemmer overens med det, som du sender til certifikatmyndigheden (den skal vise korrekt virksomhedsnavn og -adresse osv.)
• Generering af en CSR (Certificate Signing Request, anmodning om signering af certifikat) på din server. Dette er en handling, som dit hostingfirma kan hjælpe med.
• Afsendelse af dette til certifikatmyndigheden for at validere oplysningerne om dit domæne og din virksomhed
• Installation af certifikatet, som leveres, når processen er fuldført.

Når du har fået certifikatet, skal du konfigurere det på din webvært eller på dine egne servere, hvis du selv er vært for webstedet.

Hvor hurtigt, du modtager certifikatet, afhænger af typen af certifikat, du får, og fra hvilken certifikatudbyder, du anskaffer det. De varierer, hvor lang tid det tager at fuldføre de forskellige valideringsniveauer. Et simpelt Domænevalideret SSL-certifikat kan udstedes, få minutter efter at det er bestilt, og udvidet validering kan tage op til en uge.

Kan et SSL-certifikat bruges på flere servere?

Kan ét SSL-certifikat bruges til flere domæner på den samme server? Afhængigt af leverandøren kan du bruge ét SSL-certifikat på flere servere. Det skyldes, at der findes multidomæne-SSL-certifikater (som beskrevet tidligere).

Som navnet antyder kan multidomæne-SSL-certifikater bruges til flere domæner. Antallet af domæner afgøres af den udstedende certifikatmyndighed. Et multidomæne-SSL-certifikat adskiller sig fra et SSL-certifikat til et enkelt domæne, der – som navnet antyder – er beregnet til at sikre et enkelt domæne.

For at gøre tingene endnu mere forvirrende kaldes multidomæne-SSL-certifikater undertiden for SAN-certifikater. SAN står for Subject Alternative Name (dvs. alternativt emnenavn). Hvert multidomænecertifikat indeholder yderligere felter (dvs. SAN'er), som du kan bruge til angivelse af yderligere domæner, som certifikatet skal dække.

Unified Communications-certifikater (UCC'er) og SSL-certifikater med jokertegn giver også mulighed for flere domæner – og for sidstnævntes vedkommende et ubegrænset antal underdomæner.

Hvad sker der, når et SSL-certifikat udløber?

SSL-certifikater udløber. De varer ikke evigt. The Certificate Authority/Browser Forum, der fungerer som et de facto-tilsynsorgan for SSL-branchen, anfører, at SSL-certifikater skal have en levetid på ikke mere end 27 måneder. Dette betyder grundlæggende to år, og at du kan overføre op til tre måneder ved fornyelse med resterende tid på det forrige SSL-certifikat.

SSL-certifikater udløber, da oplysninger – som ved enhver form for godkendelse – ind imellem skal genbekræftes, som kontrol af at de stadig gælder. Tingene ændrer sig på internettet i forbindelse med køb og salg af virksomheder og websteder. Når ejerskabet skifter, ændres oplysningerne med relation til SSL-certifikater også. Formålet med udløbsperioden er at sikre, at oplysningerne, der bruges til at godkende servere og organisationer, er så opdaterede og præcise som muligt.

Før i tiden kunne SSL-certifikater udstedes, så de kunne bruges i op til fem år. Dette blev senere reduceret til tre år, og i forbindelse med den seneste ændring blev perioden reduceret til to år med mulighed for yderligere tre måneder. I 2020 meddelte Google, Apple og Mozilla, at de ville gennemtvinge et-års SSL-certifikater, på trods af at dette forslag blev stemt ned af Certificate Authority Browser Forum. Dette trådte i kraft fra september 2020. Det er muligt, at gyldighedsperioden vil blive yderligere reduceret på et senere tidspunkt.

Når et SSL-certifikat udløber, bliver det pågældende websted utilgængeligt. Når en brugers browser åbner et websted, kontrollerer den SSL-certifikatets gyldighed i løbet af få millisekunder (som en del af SSL-handshake). Hvis SSL-certifikatet er udløbet, bliver de, der besøger det, mødt med en meddelelse, der betyder "Dette websted er ikke sikkert. Det er forbundet med fare at fortsætte".

Brugerne kan vælge at fortsætte, men frarådes at gøre det på grund af de cybersikkerhedsrisici, der er forbundet hermed, herunder risikoen for skadelig software. Dette har en betydelig indflydelse på afvisningsraten for ejere af websteder, fordi brugere hurtigt klikker sig væk fra hjemmesiden og bevæger sig andre steder hen.

Det er en udfordring for store virksomheder at holde sig opdateret om, hvornår SSL-certifikater udløber. Små og mellemstore virksomheder (SMV'er) kan have et enkelt eller nogle få certifikater, som de skal håndtere, men store organisationer, der potentielt set kan foretage transaktioner på tværs af markeder – med mange websteder og netværk – har mange flere end det. På dette niveau skyldes det som regel en forglemmelse – og ikke inkompetence – når et SSL-certifikat udløber. Den bedste måde, hvorpå store virksomheder kan bevare overblikket over, hvornår deres SSL-certifikater udløber, er at bruge en certifikatstyringsplatform. Der findes forskellige produkter på markedet, som du kan finde ved at søge online. De gør det muligt for store virksomheder at se og håndtere digitale certifikater på tværs af hele virksomhedens infrastruktur. Hvis du bruger en af disse platforme, er det vigtigt, at du logger på jævnligt, så du får besked, når det er tid til fornyelse af certifikater.

Hvis du lader et certifikat udløbe, bliver det ugyldigt, og det vil ikke længere være muligt at foretage sikre transaktioner på dit websted. Certifikatmyndigheden (CA) beder dig om at forny dit SSL-certifikat før dets udløbsdato.

Forud for udløb af SSL-certifikatet sender den certifikatmyndighed eller SSL-tjeneste, som du har anskaffet dine SSL-certifikater igennem, dig med jævne mellemrum påmindelser om udløb af certifikatet. Dette starter normalt 90 dage før udløbsdatoen. Prøv at sikre, at disse påmindelser sendes til en e-maildistributionsliste – i stedet for til en enkelt person, som muligvis enten har forladt virksomheden eller har fået en ny rolle på tidspunktet for afsendelsen af påmindelsen. Overvej nøje, hvilke af virksomhedens interessenter som står på distributionslisten, så du sikrer, at de rigtige personer ser påmindelserne på det rigtige tidspunkt.

Sådan kan du se, om et websted har et SSL-certifikat

Den nemmeste måde, hvorpå du kan se, om et websted har et SSL-certifikat, er ved at se på browserens adresselinje:

• Hvis URL'en starter med HTTPS i stedet for HTTP, betyder det, at webstedet er sikret med et SSL-certifikat.
• Sikre websteder viser et emblem med en låst hængelås, som du kan klikke på for at få vist sikkerhedsoplysninger. For websteder med den højeste grad af troværdighed vises grønne hængelåse eller adresselinjer.
• Browsere viser også advarselstegn, når en forbindelse ikke er sikker – f.eks. en rød hængelås, en ulåst hængelås, en linje, der gennemstreger webstedets adresse eller en advarselstrekant over emblemet med hængelåsen.

Sådan sikrer du, at din onlinesession er sikker

Afsend kun personlige data og oplysninger om onlinebetalinger til websteder med EV- eller OV-certifikater. DV-certifikater egner sig ikke til e-handelswebsteder. På browserens adresselinje kan du se, om et websted har et EV- eller et OV-certifikat. Ved et EV SSL-certifikat vises organisationens navn på selve adresselinjen. Ved et EV SSL-certifikat kan du få vist oplysninger om navnet på organisationen ved at klike på hængelåsikonet. Ved et DV SSL-certifikat vises kun hængelåsikonet.

Læs persondatapolitikken for webstedet. Dette fortæller dig, hvordan dine data bruges. Legitime virksomheder viser tydeligt, hvordan de indsamler dine data, og hvad de bruger dem til.

Hold øje med signaler og indikatorer, der angiver tillid på websteder.
Ud over SSL-certifikater kan der være velrenommerede logoer eller badges, der viser, at webstedet overholder bestemte sikkerhedsstandarder. Andre tegn, som du kan bruge til at afgøre, om et websted er ægte eller ej, omfatter kontrol af, at der findes en fysisk adresse og et telefonnummer, kontrol af politikken for returvarer eller tilbagebetaling og en kontrol af, at priserne virker troværdige og ikke er så lave, at det umuligt kan være sandt.

Vær på vagt over for forsøg på phishing.
Cyberkriminelle opretter sommetider websteder, der ligner eksisterende websteder til forveksling. De gør dette for at narre folk til enten at købe noget eller logge på et phishing-websted. Det er muligt for et phishing-websted at anskaffe et SSL-certifikat og derfor også at kryptere al netværkstrafikken mellem dig og webstedet. En voksende andel af forsøgene på phishing foregår på HTTPS-websteder. Dette kan narre brugere, der føler sig trygge, når de ser, at der vises et hængelåsikon.

Gør følgende for at undgå denne type angreb:

• Kontrollér altid domænet for det websted, du besøger. Kontrollér, at domænet er stavet rigtigt. URL'en for et falsk websted kan være identisk med URL'en for det ægte på nær ét enkelt tegn – f.eks. amaz0n.com i stedet for amazon.com. Hvis du er i tvivl, kan du indtaste domænet direkte i browseren for at sikre, at du opretter forbindelse til det websted, som du vil besøge.
• Indtast aldrig logins, adgangskoder, legitimationsoplysninger til en netbank eller nogen andre personlige oplysninger på et websted, medmindre du er sikker på, at det er ægte.

• Overvej altid nøje, hvad et bestemt websted tilbyder, om det virker mistænkeligt, og om det er nødvendigt for dig at lade dig registrere på det.
• Sørg for, at dine enheder er beskyttede effektivt: Kaspersky Internet Security kontrollerer URL'er ved hjælp af en omfattende database over phishing-websteder, og det opdager forsøg på svindel, uanset hvor "sikker", en ressource ser ud.

Cybersikkerhedsrisici undergår en fortsat udvikling, men ved at forstå, hvilke typer SSL-certifikater du skal holde øje med, og hvordan du kan skelne mellem et sikkert websted og et websted, der er potentielt farligt, kan internetbrugere bedre undgå forsøg på svindel og beskytte deres personlige data mod cyberkriminelle.

Relaterede artikler:

• Tip til at undgå ransomware-angreb
• Sådan køres en virusscanning på den rigtige måde
• Hvad er et sikkerhedsbrud?
• Hvad er databeskyttelse?