Ikke sikker nettside: Hva betyr det, og hva burde jeg gjøre?

Når du besøker en nettside har du kanskje lagt merke til at de fleste har en hengelås før selve nettadressen? Dette er et tegn på at nettsiden er trygg å besøke, men hva skjer derimot om du får beskjed om at siden ikke er sikker? – Et slikt varsel har ikke bare betydning for brukerne dine, men også for hvordan Google presenterer nettsiden din i søkeresultatet. Derfor skal vi se nærmere på hva dette varselet betyr, samt hva du kan gjøre for å utbedre dette, slik at nettsiden din igjen får den plasseringen den fortjener. Vi skal også se på hvordan multifaktor-autentisering (MFA) kan styrke sikkerheten på siden din og hvordan to-faktor autentisering (2FA) kan hindre at data kommer på avveie

Hvorfor sier nettleseren ikke sikker nettside?

For å forstå hvorfor nettsiden blir vurdert som ikke sikker, er det viktig at vi etablerer noen grunnleggende kunnskaper om hvordan din enhet kommuniserer med en nettside. Når de fleste av oss skal besøke en nettside, taster vi bare enkelt og greit inn adressen i søkefeltet og lar nettleseren gjøre resten av jobben. I de fleste tilfeller vil dette sørge for at nettsiden dukker opp innen få sekunder, og vi kan gjøre det vi hadde til hensikt å gjøre. 

Imidlertid skjer det utrolig mye mer fra vi taster inn nettadressen til den faktiske siden dukker opp i nettleseren vår, men dette tenker ikke de fleste på. Det som faktisk skjer når du taster inn den nettsiden du ønsker å besøke, er at enheten din sender en forespørsel til den serveren som nettsiden er lagret på. Denne søknaden vil bli mottatt, og så samt forespørselen er godkjent vil enheten din motta den nødvendige dataene i retur som gjør at du får opp nettsiden.

Det som avgjør om du har en sikker, eller ikke sikker nettside, er derimot hvordan denne informasjonen blir kommunisert mellom din enhet og serveren – her kommer et SSL-sertifikat inn i bildet. 

Hva er et SSL-sertifikat?

SSL står for Secure Sockets Layer, og er en standard sikkerhetsteknologi som benyttes for å opprette en kryptert tilkobling mellom en server og en enhet (deg). Hensikten med denne protokollen er at informasjonen mellom din enhet og nettsiden krypteres, slik at den ikke er synlig for andre på nettverket. På denne måten kan man beskytte sensitiv informasjon som brukernavn og passord, kredittkortinformasjon og andre opplysninger du sender over nettet. 

Tidligere var det gjerne bare nettsider som omhandlet sensitiv informasjon som var nødt til å ha et SSL-sertifikat, men i dag er dette noe det forventes at alle seriøse nettsider har. Ikke bare vil det sikre at du fjerner meldingen ‘ikke sikker’ fra din nettside, men det har også en viktig betydning for hvordan du presenteres av Google og andre søkemotorer. Derfor skal vi se nærmere på hvorfor en HTTPS adresse er så viktig, samt hvorfor du bør sikre at alle operative nettsider har et aktivt SSL-sertifikat. 

Hvordan fungerer et SSL-sertifikat?

  1. Du trykker inn nettadressen til nettsiden du ønsker å besøke, og forsøker koble til nettsiden. 
  2. Nettleseren din vil be webserveren om å identifisere seg før den kobler til. 
  3. Serveren til nettsiden vil sende ut en kopi av SSL-sertifikatet som svar på denne forespørselen. 
  4. Nettleseren kontrollerer SSL-sertifikatet som den har mottatt, og verifiserer om den stoler på nettsiden eller ikke. Dersom sertifikatet blir godkjent vil nettleseren sende en godkjenning tilbake til webserveren. 
  5. Når webserveren mottar denne bekreftelsen returnerer den en digital nøkkel som benyttes til å opprette en SSL-kryptert tilkobling som bare de to enhetene kan se. 
  6. Straks denne tilkoblingen er opprettet vil kryptert data deles mellom nettleseren og webserveren som nettsiden befinner seg på. 

Hvorfor bør du ha et SSL-sertifikat?

Allerede i 2014 gjorde Google endringer som påvirket hvordan nettsider ble fremstilt av søkemotor algoritmen deres. Hensikten med denne endringen var at brukere av Google skulle få presentert ‘tryggere’ nettsider, noe som i praksis betydde at nettsider med godkjent SSL-sertifikat havnet høyere i resultatet enn sider uten. Siden den gang har de gjort forsiktige skritt i retning av dette målet, og i 2017 endret de utseende av Chrome nettleseren sin. 

Nå vil alle brukere av nettleseren enkelt få oversikt om det er en trygg nettside, eller ikke. Dette skjer i form av hengelåsen på venstre side av URL-feltet. Dersom en nettside ikke har et godkjent SSL-sertifikat vil det på den samme plassen bli vist en tekst om ‘ikke sikker’. Denne visualiseringen har gjort at mange som surfer på nettet automatisk går videre når de får beskjed om at de er på vei inn på en ikke sikker nettside. 

For å gjøre det enklere å se hensikten med et SSL-sertifikat og hvorfor dette er viktig for nettsiden din, skal vi gå nærmere inn på noen av fordelene med dette i de neste avsnittene. 

Bedre ranking på Google

Det er ingen tvil om at Google er en viktig kilde til trafikk for de aller fleste nettsider, men dette betyr også at din rangering i søkeresultatet er essensielt. Undersøkelser viser at de fleste som søker etter noe på Google, kun vil vurdere de 2-4 øverste resultatene før de klikker seg videre. For å havne så høyt i resultatet er det viktig at Google tolker din nettside som en trygg og vedlikeholdt nettside, og for dette kreves et SSL-sertifikat som et minimum. 

Tillit hos kundene

Forbrukere blir stadig mer opptatt av egen sikkerhet på nett, og en melding om ikke sikker nettside kan derfor være et brudd på denne tilliten. Mange vil i dag ta dette som et tegn på at nettsiden ikke er trygg å benytte seg av, eller at den ikke er vedlikeholdt tilstrekkelig. Vi kan derfor påstå at mangel på SSL-sertifikat i ytterste konsekvens kan koste deg potensielle kunder og brukere. For å forhindre at kundene går til konkurrentene, er det viktig at du skaper en sikker og trygg nettside.

Høyere sikkerhet

Uansett om du tilbyr en nettbutikk eller en nettside med tjenester er det viktig at du ivaretar sikkerheten til alle involverte parter. Et SSL-sertifikat vil sikre at all informasjon som går mellom din server (nettside) og brukeren krypteres, og på denne måten skjermes mot nysgjerrige øyne. En HTTPS tilkobling er langt vanskeligere å snappe opp, noe som skjermer sensitiv informasjon som utveksles mellom partene. Spesielt i dag hvor cyberangrep og identitetstyveri har økt i omfang, vil dette være noe som bidrar til en tryggere opplevelse for kundene dine. 

Ulike typer SSL-sertifikat

Selv om vi har vært inne på hvor viktig det er å ha et SSL-sertifikat på din nettside, er det dessverre ikke bare å velge et enkelt SSL-sertifikat. Det finnes nemlig flere ulike nivåer og typer sertifikat, noe som betyr at du må vurdere hensikten med nettsiden din og den informasjonen du skal beskytte. Nedenfor finner du mer om de tre ulike alternativene du kan velge mellom. 

Domenevalidert SSL

Det første, og enkleste nivået av SSL-sertifisering er domenevalidert SSL. I dette sertifikatet ligger det informasjon om hvilket domenenavn som er tilknyttet den aktuelle nettsiden. Et slikt sertifikat vil være tilstrekkelig for enkle nettsider som ikke behandler omfattende informasjonsutveksling, men som eksempelvis har kontaktskjemaer og andre enkle innsamlinger av opplysninger. 

Organisasjonsvalidert SSL

Neste nivå er et organisasjonsvalidert SSL-sertifikat. Dette er best egnet for nettsteder og nettbutikker som har behov for å beskytte kundeinformasjon på en effektiv måte. Dette sertifikatet inneholder blant annet organisasjonsnavn/bedriftsnavn i tillegg til opplysninger om domene. Sertifikatet verifiserer bedriften som står bak en nettside, noe som er nødvendig for å styrke trygg netthandel og lignende. 

Extended validation SSL

Det siste, og mest omfattende nivået av SSL-sertifisering er Extended Validation SSL. Dette er løsningen for de nettsteder som krever det høyeste nivået sikkerhet for sine bruker. Det er dette sertifikatet du vil finne på mange av de største nettsidene som Amazon, Google, nettbanker og offentlige etater. Et enkelt tegn på at du besøker en nettside som har extended validation er at adresselinjen i nettleseren din blir grønn. 

Hvordan får du SSL-sertifikat på din nettside?

Heldigvis er det enkelt å få et SSL-sertifikat på din nettside slik at du kan tilby en trygg og effektiv opplevelse for brukerne dine. Det letteste er gjerne å kjøpe et SSL-sertifikat gjennom den domeneleverandøren du benytter for din nettside. Her er praksisen litt forskjellige blant ulike leverandører, hvor noen tilbyr gratis SSL-sertifikat dersom du har hosting på deres servere, mens andre krever at du kjøper dette separat. Uansett vil du i de fleste tilfeller mot en liten kostnad raskt og enkelt kunne tilegne deg et SSL-sertifikat på nettsiden din. I de fleste tilfeller vil dette være et domenevalidert SSL-sertifikat, men du kan også kjøpe mer avanserte SSL-sertifiseringer dersom du ønsker dette. 

Hvordan multifaktor-autentisering kan styrke datasikkerheten din

Å beskytte dataene dine mot trusler er en viktig del av datasikkerheten. Multifaktorautentisering (MFA), to-faktor autentisering (2FA) har blitt kjente ord i både jobb sammenheng og i sosiale medier. Uansett hva de heter, så gjør de den samme jobben.

MFA er et flott verktøy for å ivareta din sikkerhet fra å hindre at dine data ikke kommer på avveie. MFA eller 2FA legger til et ekstra lag med autentisering til påloggingene dine, noe som gjør det vanskeligere for ondsinnede aktører å få tilgang til sensitiv informasjon.

Enten du er bedriftseier, teknolog eller noen som bare ønsker å sikre dataene sine, har denne veiledningen som mål å hjelpe deg med å bedre forstå MFA og hvordan du bruker den.

I henhold til Runtime kan MFA virke veldig enkelt, men det er bemerkelsesverdig effektivt. Microsoft sier for eksempel at MFA blokkerer 100 prosent av hacker forsøkene. Dette enkle steget kan beskytte sikkerheten din på en enorm måte

Multifaktorautentisering er en autentiseringsprosess som bruker flere lag med «legitimasjon» for å bekrefte en brukers identitet. Denne prosessen er designet for å gi et ekstra lag med sikkerhet utover bruken av bare en enkelt faktor, for eksempel et brukernavn og passord. Med multifaktor må brukeren oppgi to eller flere bevis for å bevise sin identitet, for eksempel et passord, PIN-kode, sikkerhetstoken, biometrisk verifisering eller en kombinasjon av disse faktorene. Nettbanker har i mange år allerede benyttet seg av multifaktor.

Bør MFA være en obligatorisk funksjon på nettsteder?

Ja. Bruken av en MFA på nettsider har blitt stadig mer populært de siste årene. Selv om det kan virke tungvint for noen, er det flere fordeler med å ha MFA på nettsteder. For det første gir det et ekstra lag med sikkerhet til brukerkontoer, noe som gjør det mye vanskeligere for hackere å få tilgang. I tillegg bidrar det til å redusere risikoen for identitetstyveri og andre ondsinnede aktiviteter, siden det krever tilleggsinformasjon for å bekrefte brukerens identitet.

Dessuten er konsekvensen av et hackerangrep et tap av omdømme for nettstedet. Derfor anbefales det sterkt at nettsteder innfører en MFA-funksjon for å sikre brukernes sikkerhet. Videre kan det også bidra til å forbedre brukeropplevelsen, siden det gjør prosessen med å logge på kontoer sikrere og mer praktisk.

Hvordan sikre kontoen med MFA?

Det finnes dag tre (3) måter å aktivere MFA på. Merk at MFA sikkerhetslaget kommer etter at man har tastet inn brukernavn og passord. La oss se nærmere på de tre ulike metodene:

Motta en e-post

  • Når du har tastet inn korrekt brukernavn og passord, vil du automatisk motta en e-post med en unik kode som må tastes inn. Deretter vil du få tilgang til kontoen din.

Motta en SMS

  • Fungerer på samme måte som over, men i stedet mottar du koden på SMS, dersom telefonnummeret er registrert.

Godkjenningsapp

  • Uavhengig av om det er en nettside, en brukerkonto i sosiale medier eller andre steder – er denne metoden den beste. Brukeren kan bruke en autentiserings app til å sikre kontoen. Det finnes flere autentiserings app-er, men de mest brukte er fra Microsoft eller Google.

Oppsummering

Dersom din nettside har fått ‘ikke sikker nettside’ beskjeden i nettleseren betyr dette at den mangler et SSL-sertifikat. Heldigvis trenger ikke dette å bety at dommedag står for tur, men du må utbedre det så fort som mulig. Det letteste vil være å fornye ditt SSL-sertifikat, noe som kan gjøres hos de fleste webhosting leverandører for en relativt liten avgift. Du bør forsøke å gjøre dette så fort som mulig, da fraværende SSL-sertifikater kan påvirke din rangering i søkemotorer og gi et dårlig inntrykk av nettsiden. Husk at de fleste SSL-sertifikater kun er gyldig i 12 måneder, noe som er et resultat av at Mozilla, Apple, Google og andre aktører satt en ny standard for dette i september, 2020.

Videre har vi sett på hvordan multifaktorautentisering (MFA) og to-faktor autentisering (2FA) kan styrke datasikkerheten din og beskytte dataene dine mot trusler.

Om Mats

Mats er utdannet interaksjonsdesigner og har erfaring som gründer, noe som vil si at han ikke bare er kresen når det kommer til design og brukervennlighet, men også effektivitet. Målet til Mats er derfor å klare å finne de løsningene som har gode muligheter for sømløse brukeropplevelser uten at de blir kronglete å jobbe med.