HTTPS tatt i bruk for *.brr.no

(Sist oppdatert 11.09.2022 @ 18:11 av Bjørn Roger Rasmussen.)

Blogging

De av nettsidene mine som ligger lagret på webhotellet til Domeneshop OG nettsidene som kjøres fra min PC har blitt lagt om til å benytte seg av HTTPS. Dette inkluderer også denne bloggen. Sertifikat-løsninger: ZeroSSL UnoSSL (web.brr.no) + Let’s Encrypt (www.brr.no), hvor sistnevnte ifølge Domeneshop er en en gratis, automatisert og åpen sertifikatleverandør som utsteder enkle SSL-sertifikater.

I “gamle dager” ville jeg ha sagt at å besøke mine nettsider nå er trygt som banken. Beklageligvis viste det seg at bankene likevel ikke var så trygge, og det kan godt tenkes at det samme gjelder for HTTPS. Støtt og stadig oppdages det ulik sikkerhetshull.

Uansett: Jeg har i hvert fall gjort et forsøk på å øke sikkerheten på kommunikasjonen mot mine nettsider.

Nettsidene på web-hotellet starter nå på https, slik at min hovedside etter omleggingen lyder adressen https://www.brr.no/ Denne bloggen kan nås direkte på adressen https://blogg.brr.no/ eller https://www.brr.no/wordpressbrr/ Det nye er altså s-en etter http i adressen.

https://www.brr.no/

I etterkant har Google i sin Chrome-nettleser tatt bort den grønne hengelåsen og teksten “Sikker”, og gjort det noe mer “grått og kjedelig” (grå hengelås, og ikke noen tekstforklaring):

Ny utgave: https://www.brr.no/

 

Når man besøker ikke-sikre nettsteder (http, og ikke https) “liker” i hvert fall ikke Chrome-nettleseren dette noe særlig godt:

Ikke sikkert nettsted (tilhører ikke meg).

 

Hva er HTTPS da? Ifølge Wikipedia:

  • Hypertext Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web.

Kilde: https://no.wikipedia.org/wiki/HTTPS

TLS/SSL: Transport Layer Security (TLS) og dens forgjenger Secure Sockets Layer (SSL) er kryptografiske protokoller som tilbyr sikker kommunikasjon på Internett for nettlesing, e-post, lynmeldinger og andre dataoverføringer. Det er små forskjeller mellom SSL og TLS, men de er hovedsakelig like.

Kilde: https://no.wikipedia.org/wiki/Transport_Layer_Security

HTTPS (SSL) er sikrere enn vanlig HTTP i og med at alt innholdet som blir sendt og mottatt mellom server og sluttbrukers utstyr er kryptert (kryptert forbindelse). Omleggingen skal bidra til å gjøre det vanskeligere med avlytting, noe som høyner sikkerheten i kommunikasjonen. Problemene med “tyvlytting”, forkludring og meldingsforfalskning blir forhåpentligvis eliminert bort. Ellers er vel bruk av HTTPS en rangeringsfaktor (gir høyere score) hos Google sin søkemotor.

SSL og HTTPS

Nå er det jo ikke fullt av sensitive data, persondata eller datautveksling relatert til min blogg. Dermed har det ikke vært ekstremt viktig eller høyprioritert å få den sikret. Likevel kan det være greit nå endelig å ha på plass en sikrere løsning enn den jeg har hatt fram til nå.

I etterkant har jeg også fått aktivert HTTPS på mine testsider som ligger lagret på min private PC. Ny hovedadresse til disse sidene er https://web.brr.no/

Kryptering (SSL/TLS), sertifikat og https, via Android og Chrome nettleser pr. 05.02.2021 – web.brr.no.

 

Let’s Encrypt “på direkten” passer ikke så bra sammen med web.brr.no, i og med at jeg kjører på en Windows-host (Windows 10 klientmaskin) i eget hjem og ikke på en Linux-server. Det lar seg ikke sånt uten videre lett å skripte med automatisert fornyelser av sertifikat (Shell-aksess) osv. Direkte kobling og oppsett mot Let’s Encrypt har altså ikke blitt valgt her, og løsningen sees også på som ganske så uaktuell. (Men UnoSSL som jeg snart kommer til bruker deres sertifikater!)

For å få ordnet det praktiske rundt utstedelse av sertifikatfiler har jeg benyttet meg av ZeroSSL og deres “Create Free SSL Certificate”, en løsning som lett lar seg kombinere med XAMPP. Som gratisbruker må jeg manuelt fornye sertifikatet hver 90. dag. Tidligere nyttiggjorde ZeroSSL seg av sertifikater fra Let’s Encrypt, men nå har de visstnok begynt med å utstede sine egne sertifikater (ZeroSSL RSA Domain Secure Site CA).

Kryptering, sertifikat og https, via Firefox nettleser (Windows) pr. 05.02.2021 – web.brr.no.

 

Oppdatering pr. 04.02.2021: “Oppholdet” hos ZeroSSL ble ikke langvarig. Når de nå “truer” med en årlig regning på over kroner 800,- for sertifikatet er det lite aktuelt å fortsette hos dem. Web-sidene under web.brr.no er ikke-kommersielle hobbyprosjekter som ikke gir meg noen som helst inntekter, og å få “masse” utgifter på sertifikat frister ikke! Nå tester jeg ut bruken av gratis-tjenesten UnoSSL i stedet.

UnoSSL-tjenesten sin logo.

 

Sertifikatene er av typen R3 – altså Let’s Encrypt sine. (Skiftet har ikke påvirket resultatene i SSL-testene. Fortsatt oppnås grad A og A+.)

Sertifikatinformasjon (SSL) for web.brr.no pr. 05.02.2021.

 

Test av SSL-oppsett kan gjennomføres via nettsiden: Qualys SSL Labs: SSL Server Test.

SSL-rapport for web.brr.no pr. 07.09.2020.

 

Grad A pr. 05.02.2021 (både for www.brr.no og web.brr.no), som vel må være bra nok (maksimalt resultat som kan oppnås er A+)! En periode var jeg nede i graden B begge steder, pga. støtten for TLSv1 og TLSv1.1. Domeneshop har nå slått dette av, og likeså har jeg gjort. (Hvordan slå av støtten for de avdankede og usikre protokollene i XAMPP: \apache\conf\extra\httpd-ssl.conf, og SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1  samt SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1 .)

Komplette tester av SSL pr. 05.02.2021:

Det er en stund siden nevnte dato i 2021, men også pr. september 2022 oppnår jeg samme testresultat ved kjøring av SSL-rapport via nevnte tjeneste.

En annen test-tjeneste, som gir ca. samme resultater er ImmuniWeb: Web Server SSL Test. Resultat pr. 11.09.2020 for web.brr.no på A+ og likeså for www.brr.no. Det er masse slike testtjenester der ute på nettet, og tillegg til de to allerede nevnte føyer jeg til “Wormly: Test an SSL Web Server | Free SSL Web Server Tester“. Flere kunne sikkert ha vært føyet til, men det må da holde med tre slike i denne omgang.

Sikker tilkobling (Chrome nettleser, Windows), https, sertifikat og informasjonskapsler i bruk – blogg.brr.no.

 

Det var forresten omleggingen til HTTPS som var starten på bloggens “lille” havari. Hvis jeg på nytt skulle ha gjort omleggingen hadde jeg nok fulgt tipsene fra dette blogginnlegget:

Web-hotellet hos Domeneshop – www.brr.no – kan nås både via IPv4 og IPv6. Når det gjelder web.brr.no har jeg ikke åpnet opp for bruken av IPv6, så denne installasjonen svarer kun på IPv4-trafikk.

Sikker surfing!

(Les gjerne også bloggens personvernerklæring samt om bloggen. Muligens også av interesse: “Blogging generelt og litt teknisk om min blogg” og “Tekniske løsninger nettsider + Internett-linje“.)

Lenker:

image_printUtskriftsvennlig versjon
Del dette:
Tagged , , , , , .Bokmerk permalink.

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: https://www.brr.no/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

  • Spamkommentarer blokkert