WordPress och https ssl

Ska jag byta till https för min WordPress-site?

Du kanske har hört en hel del om https på senare tid? Det finns nog flera orsaker till det.

För det första så har det blivit mycket billigare, t.o.m gratis, att skaffa ssl-certifikat på senare tid. För det andra så har Google avslöjat att de numera betraktar https som en ”ranking signal” vilket betyder att de ger bättre synlighet till webbplatser som använder https. För det tredje, så har Google nu även gått ut och sagt att de kommer låta Chrome vara väldigt tydlig när en sida inte använder https trots att den borde. Om man har med Google att göra kommer kommer det bli mer och mer jobbigt att inte använda https.

I den här artikeln guidar vi dig genom begreppen. Vi hjälpa dig att förstå fördelarna med att gå över till https, vad det är för skillnad på gratis och dyrare certifikat och vilka för- och nackdelar det finns med att flytta sin WordPress-site från http till https.

Http, https, ssl, tls, Certifikat – vad betyder det?

Http betyder hyper text transfer protocol och är den metod som används när din webbläsare hämtar en webbsida från någons webbserver. Det finns en säkrare variant av http som kallas https där s-et betyder secure och det är ju såklart bra. Det har används länge av banker och andra verksamheter som behöver vara mer säkra på att ingen tjuvlyssnar på det som skickas mellan dig och banken. Tekniken för att kryptera trafiken kallas för secure socket layer (SSL) eller mer korrekt numera transport layer security (TLS). Man känner igen en webbsida som använder https på hänglåset som visas bredvid adressen och att https visas i grönt:

selection_286

Rent praktiskt består säkerheten av två viktiga delar. Dels är själva överföringen krypterad. Det innebär att även om man lyckas avlyssna ditt WiFi medans du gör bankärenden så kan man inte se innehållet i det som överförs.

Den andra delen består av ett slags ID-kort för webbservern. Innan din webbläsare börjar kommunicera något riktigt innehåll så ber den att få se på bankens ID-kort för att vara helt säker på att den verkligen pratar med rätt webbserver. Själva ID-kortet heter SSL-certifikat (även om den mer korrekta tekniska termen numera egentligen borde vara TLS-certifikat).

Om ID-kortet inte stämmer så varnar webbläsaren ganska tydligt, både i adressraden och för det mesta även genom att visa en varningssida:

Bad ssl certificate

Crome varnar för dåligt SSL-certifikat

 

Vad är det som kostar pengar med https?

Att utfärda ett SSL-certifikat påminner väldigt mycket om att utfärda ett pass eller ett ID-kort. Alla moderna webbläsare känner till ett antal organisationer som betraktas som pålitliga och vars certifikat man litar på. Det är ungefär samma sak som att vi svenskar betraktar Transportstyrelsen som pålitliga och ett körkort som de har utfärdat fungerar som ID-handling på de flesta håll i Sverige. Dessutom säger Transportstyrelsen att personen med ID-kortet kan köra bil, men det hör inte hit. En annan utfärdare av ID-handlingar i Sverige är Polisen, de utfärdar både pass och vanliga ID-kort.

Den som utfärdat ett SSL-certifikat tar på sig ett liknande ansvar som Transportstyrelsen eller Polisen i Sverige. När du vill ha ett SSL-certifikat för din domän måste den som utfärdar certifikatet göra någon rimlig form av kontroll att du är du och att du äger den domän som du vill ha certifikatet för. Beroende på hur avancerat certifikat man vill ha så kan det förekomma mer omfattande kontroller. Processen att göra dessa kontroller är den främsta orsaken till att SSL-certifikat kostar pengar.

Numera finns det eleganta tekniska lösningar som gör hela processen gratis. Det går att få ett SSL-certifikat helt utan kostnad om man bara visar att man har äger och kontrollerar den webbserver som webbsidan finns på. I April 2016 lanserade Electronic Frontier Foundation via sin Internet Security Research Group certifikatutgivaren Letsencrypt som förändrade marknaden för SSL-certifikat i grunden. På bara 7 månader har Letsencrypt blivit världens största utgivare av certifikat och tillväxten har inte på något sätt stannat av.

Är ett gratiscertifikat lika bra som ett dyrare?

Nej, det är det inte. Om du spenderar 15000 SEK på ett SSL-certifikat så får du faktiskt fortfarande någonting för pengarna jämfört med ett gratiscertifikat från Letsencrypt.

Med ett billigt eller helt gratis certifikat så får man endast den svagaste nivån, domain validation (DV). DV innebär att utfärdaren har säkerställt att du verkligen äger din domän och har kontroll över det som visas där. I normalfallet är det ju bara du (och den du tillåter) som kan ändra på innehållet på din webbplats som finns på din domän. Den som utfärdar certifikatet kan därför nöja sig med att du bevisar att du har kontroll på webbservern för att utfärda certifikatet till dig.

Ett dyrare certifikat innebär att det görs mer omfattande kontroller innan det utfärdas. Nästa steg heter organization verification (OV) som innebär att utfärdaren kontrollerar själva företaget som ansöker väldigt noga. Företagsnamnet står även utskrivet i certifikatet så att en webbesökare kan kontrollera det. Man skulle t.ex inte tillåta att Bosses Bilmek köpte ett OV-certifikat för domänen volvo.se och skriva att det tillhör Volvo AB.

En tredje nivå är extended validation (EV). Processen för att utfärda EV-certifikat är striktare än för OV. Dessutom innebär det att det förutom hänglåset bredvid adressen även visas tydlig information om vilket företag man besöker. Ett sådant dyrare certifikat kan kosta 15000 SEK och ser till att det ser ut så här när du surfar in på t.ex din bank:

SEB Extended validation

 

Det finns fler varianter på certifikaten som gör att de kan variera i pris. De kan t.ex säljas med olika längd på krypteringsnyckeln (även om det är rätt ovanligt med något annat än 2048 numera) där det kostar mer desto fler bitar det är. En annan variant är så kallade wildcard-certifikat. Där kan ett och samma certifikat skydda alla varianter på ditt domännamn, t.ex https://www.example.com, https://images.example.com, https://admin.example.com. Ett tredje försäljningsargument för ett dyrare certifikat är att en utfärdare kan garantera ett visst belopp som en försäkring i det fall ett bedrägeri lyckas på grund av ett felaktigt certifikat.

Vad gäller själva krypteringsnivån, hur svårt det är för en obehörig person att tjuvlyssna, är det dock väldigt liten skillnad. Certifikatets roll är inte att bestämma hur hårt krypterad trafiken är utan att göra det möjligt för besökaren att veta att man är inne på rätt webbplats. Hur många bitars kryptering certifikatet använder avgör hur svårt det är att skapa en falsk version av ditt certifikat, inte hur bra kryptering det är på själva webbtrafiken.

Så vad gäller möjligheten att avlyssna trafiken är ett gratiscertifikat från Letsentrypt precis lika säkert som ett EV-certifikat från Symantec för 15000 SEK. Det finns en liten skillnad i att gratiscertifikatet är skapat på din egen server medans ett certifikat från Symantec är skapat hos dem. Men vem vet, din server kanske redan var hackad när certifikatet skapades och då kan ju egentligen ingen svara på exakt hur bra dina nycklar är.

När behöver man ha https?

Om det skickas något som helst känsligt data mellan besökaren och din WordPress-site ska du använda https. En liknelse med den fysiska världen är att http (utan s) är som att kommunicera med en vän genom att skriva vykort till varandra. Att gå över till https är att använda väl förslutna kuvert istället.

Känsligt data är ett vitt begrepp och betyder olika saker för olika besökare i olika sammanhang. De flesta besökare har lärt sig att inte knappa in sina kreditkortsuppgifter på en sida utan det gröna hänglåset, men även annat data kan vara känsligt.

Om du föreställer dig att en yrkeskriminell skandalreporter från Hänt i Veckan kan läsa allt som dina besökare skickar till din webbplats via olika formulär så blir det lite lättare att tänka sig vilket data som kan vara känsligt. Lösenord för inloggning är ju uppenbart, men även epostadressen man anger i samband med att man skriver en kommentar på sidan är ett vanligt exempel på data man vill skydda.

Man kan tänka sig fall där till och med sökfunktionen på en vanlig sida är känslig, om man tänker efter så är det väl ingen utomstående som har något att göra med vilka sökord du skiver in på t.ex Skatteverkets hemsida? Vill du att den där skandalreportern ska få veta precis vad du söker på? Skulle besökarna på din webbplats vara bekväma med det? Google kör t.ex numera all sin söktrafik över https per default av precis det skälet, det angår ingen utom Google vad du söker på.

Å andra sidan. Om din site är en ren blog där all information är publik. Där det inte ens finns någon sökfunktion, ingen kommentarsfunktion eller något annat sätt för besökarna att ens av misstag ge ifrån sig känslig information. Ja, då finns det ingen större anledning att byta till https. Undantaget är möjligen WordPress adminsidor (wp-admin), själva inloggningen kräver ju lösenord vilket är skäl nog att överväga https. WordPress erbjuder möjligheten att köra just wp-admin med https utan att resten av siten påverkas.

Ju mer man månar om sina besökares integritet, desto lägre tröskel bör man ha för att börja använda https. Trenden är att fler och fler webbplatser väljer att använda https även när det inte är uppenbart att särskilt känsligt data skickas mellan webbläsaren och servern. Https kan vara ett sätt att visa att man månar om sina besökares integritet.

 

Https och SEO

Google gick 2014 ut och sa att de betraktar https som en positiv rankningssignal. Det betyder kort att http är bra för din organiska rankning hos Google om du använder https. Som vanligt vet ingen hur mycket det påverkar eller om ens alla siter verkligen omfattas. Det har gjorts studier som indikerar att https fortfarande är en ganska svag signal i Googles rankninssystem, men många tror också att det bara kommer bli viktigare med tiden.

I September 2016 berättade Google att de tar ytterligare ett steg från och med januari 2017 då deras browser Chrome aktivt kommer varna för att mata in lösenord eller kreditkortsuppgifter på siter utan https. Det är inte orimligt att anta att andra webbläsare kommer följa efter. Så här tror man att det kommer se ut:

chrome56

Den sammantagna bilden är att Google tar https på stort allvar. Här och nu är det svårt att säga hur stor roll det verkligen spelar, men trenden verkar vara att Google mer och mer betraktar https som de  självklara. Om du genomför övergången från http till https på din webbplats kommer du att ha en fördel gentemot de webbplatser som inte genomför den (med alla andra rankningssignaler lika).

Vad händer med backlinks om jag byter till https?

Ur SEO-perspektiv är det ju normalt inte bra om alla inlänkar till din webbplats plötsligt slutar fungera. För om du går över från http till https så kommer ju dina länkar att se annorlunda ut. Nästa gång Google-botten kommer för att indexera din site så bli det katastrof om de gamla länkarna slutat fungera?

Nej. När du genomför övergången till https och gör det på rätt sätt så kommer WordPress att göra en 301-redirect till den nya adressen. När Google kommer för att indexera dina sidor så svarar WordPress med koden 301 som i princip betyder ”Sidan du söker har för alltid bytt adress, här är den nya adressen….”. Google tar hänsyn till det och uppdaterar snällt sitt index. Men! Det är viktigt att det verkligen sker en 301-redirect varje gång och på rätt sätt, om det vill sig illa kan Google tycka att https://dinsite.se är duplicate content eftersom samma innehåll fanns sedan tidigare på http://dinsida.se.

WordPress gör det lyckligtvis ganska enkelt att byta till https och få till 301-orna. Om du har ställt in i WordPress att sidans WordPressadress (som det heter i den svenska översättningen) är https://dinsida.se så sköter det sig mer eller mindre automatiskt. Varje gång du laddar en sida i WordPress kontrollerar systemet nämligen vilken adress du använde för att komma dit. Om du kom med en annan adress så redirectas du till den inställda WordPressadressen. I det här sammanhanget betraktas http- och https-versionerna som två helt olika adresser och WordPress kommer därmed att skicka en 301-redirekt. Det fungerar även om man går in på http://dinsida.se/undersida, man redirectas då till https://dinsida.se/undersida

Google lär även ska ha gått ut och uttryckligen bekräftat att de INTE straffar sidor som går över från http till https. Men vi har i skrivande stund inte hittat det uttalandet på Googles officiella sidor.

VAD HÄNDER MED Share counts?

Vad gäller shares och likes på Facebook är det just nu lite mer osäkert och dessvärre lite tråkiga nyheter. Rent tekniskt betraktar Facebook http://dinsida.se och https://dinsida.se som två olika URL’er. Om din sida är share-ad på Facebook 1000 gånger medans den körde http så är risken stor att du tappar dessa shares när du går över till https.

Så sent som i Oktober 2016 rapporterade teamet bakom Jetpack att de för diskussioner med Facebook om hur man bäst sköter övergången. Vi tolkar det som att Facebook fortfarande inte har bestämt sig för exakt hur de vill hantera detta. Facebook har föreslagit ett sätt att jobba runt problemet, men de är ganska bökigt på ren svenska, det bygger på att man INTE skickar en 301-recirect om det är Facebooks bot som besöker sidan. Vi är dock övertygade om att det kommer att komma vettiga tekniska lösningar inom kort, antingen i form av tillägg till WordPress eller att Facebook erbjuder någon form av lösning via sitt API.

Det man möjligen kan säga om Share counts är att det är bättre att snabba på övergången till https så mycket som möjligt. Ju förr du kör https, desto fler av alla framtida shares och likes kommer garanterat att räknas på din site.

Något mer man borde veta?

Ja massor, men den sista viktiga sak vi tycker att du bör känna till är att ett certifikat har en begränsad livslängd. Vanligtvis löper certifikat på ett till tre år i taget. Undantaget är Letsencrypt som utfärdar certifikat som gäller 3 månader i taget.

Det innebär att man måste hålla koll på sina certifikat och inte missa att uppdatera dem. Beroende på vilket certifikat du skaffade från början så är förnyelseprocessen olika. Med gratiscertifikat från Letsencrypt kan man automatisera förnyelsen helt och hållet medans ett certifikat med OV och EV naturligtvis kräver att utfärdaren måste kontroller att uppgifterna fortfarande stämmer.

För din som webbansvarig så betyder det att du måste ha löpande kontroll på dina certifikat, det är inte ”set and forget”. Om du missar att uppdatera certifikatet i tid kommer användarna på din sida få en ganska skarp varning. Varningen för ett utgånget eller felaktigt certifikat skrämmer garanterat bort fler kunder än om man inte använder https all.

Summering

Målet med den här artikeln är att förklara vad https och certifikat är och varför du bör överväga att använda det på din WordPress-site. Förhoppningsvis är du sugen på att läsa hur själva övergången går till? I så fall ber vi dig hålla utkik efter del 2 där vi gör en detaljerad genomgång om hur det går till. Vi hjälper just nu ett par kunder att göra övergången från http till https och hoppas få med oss rykande aktuella skärmdumpar och erfarenheter.

Gillar du det här? Har du frågor? Ser du något fel i texten eller tycker du att vi borde förklara något lite ytterligare? Lämna gärna en kommentar och berätta.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *