HTTPS tatt i bruk for *.brr.no

(Sist oppdatert 12.09.2020 @ 21:38 av Bjørn Roger Rasmussen.)

Blogging

De av nettsidene mine som ligger lagret på webhotellet til Domeneshop OG nettsidene som kjøres fra min PC har blitt lagt om til å benytte seg av HTTPS. Dette inkluderer også denne bloggen. Sertifikat-løsninger: ZeroSSL (web.brr.no) + Let’s Encrypt (www.brr.no), som ifølge Domeneshop er en en gratis, automatisert og åpen sertifikatleverandør som utsteder enkle SSL-sertifikater.

I “gamle dager” ville jeg ha sagt at å besøke mine nettsider nå er trygt som banken. Beklageligvis viste det seg at bankene likevel ikke var så trygge, og det kan godt tenkes at det samme gjelder for HTTPS. Støtt og stadig oppdages det ulik sikkerhetshull.

Uansett: Jeg har i hvert fall gjort et forsøk på å øke sikkerheten på kommunikasjonen mot mine nettsider.

Nettsidene på web-hotellet starter nå på https, slik at min hovedside etter omleggingen lyder adressen https://www.brr.no/ Denne bloggen kan nås direkte på adressen https://blogg.brr.no/ eller https://www.brr.no/wordpressbrr/ Det nye er altså s-en etter http i adressen.

https://www.brr.no/

Hva er HTTPS da? Ifølge Wikipedia:

  • Hypertext Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web.

Kilde: https://no.wikipedia.org/wiki/HTTPS

TLS/SSL: Transport Layer Security (TLS) og dens forgjenger Secure Sockets Layer (SSL) er kryptografiske protokoller som tilbyr sikker kommunikasjon på Internett for nettlesing, e-post, lynmeldinger og andre dataoverføringer. Det er små forskjeller mellom SSL og TLS, men de er hovedsakelig like.

Kilde: https://no.wikipedia.org/wiki/Transport_Layer_Security

HTTPS (SSL) er sikrere enn vanlig HTTP i og med at alt innholdet som blir sendt og mottatt mellom server og sluttbrukers utstyr er kryptert (kryptert forbindelse). Omleggingen skal bidra til å gjøre det vanskeligere med avlytting, noe som høyner sikkerheten i kommunikasjonen. Problemene med “tyvlytting”, forkludring og meldingsforfalskning blir forhåpentligvis eliminert bort. Ellers er vel bruk av HTTPS en rangeringsfaktor (gir høyere score) hos Google sin søkemotor.

SSL og HTTPS

Nå er det jo ikke fullt av sensitive data, persondata eller datautveksling relatert til min blogg. Dermed har det ikke vært ekstremt viktig eller høyprioritert å få den sikret. Likevel kan det være greit nå endelig å ha på plass en sikrere løsning enn den jeg har hatt fram til nå.

Kryptering og https

I etterkant har jeg også fått aktivert HTTPS på mine testsider som ligger lagret på min private PC. Ny hovedadresse til disse sidene er https://web.brr.no/ For å få ordnet det praktiske rundt utstedelse av sertifikatfiler har jeg benyttet meg av ZeroSSL og deres “Create Free SSL Certificate”, en løsning som lett lar seg kombinere med XAMPP. Som gratisbruker må jeg manuelt fornye sertifikatet hver 90. dag. Tidligere nyttiggjorde ZeroSSL seg av sertifikater fra Let’s Encrypt, men nå har de visstnok begynt med å utstede sine egne sertifikater (ZeroSSL RSA Domain Secure Site CA):

Sertifikatinformasjon (SSL) for web.brr.no

 

Test av SSL-oppsett kan gjennomføres via nettsiden: Qualys SSL Labs: SSL Server Test.

SSL-rapport for web.brr.no pr. 07.09.2020.

 

Grad A pr. 07.09.2020 (både for www.brr.no og web.brr.no), som vel må være bra nok (maksimalt resultat som kan oppnås er A+)! En periode var jeg nede i graden B begge steder, pga. støtten for TLSv1 og TLSv1.1. Domeneshop har nå slått dette av, og likeså har jeg gjort. (Hvordan slå av støtten for de avdankede og usikre protokollene i XAMPP: \apache\conf\extra\httpd-ssl.conf, og SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1  samt SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1 .)

Komplette tester av SSL pr. 07.09.2020:

En annen test-tjeneste, som gir ca. samme resultater er ImmuniWeb: Web Server SSL Test. Resultat pr. 11.09.2020 for web.brr.no på A+ og likeså for www.brr.no.

Det var forresten omleggingen til HTTPS som var starten på bloggens “lille” havari. Hvis jeg på nytt skulle ha gjort omleggingen hadde jeg nok fulgt tipsene fra dette blogginnlegget:

Web-hotellet hos Domeneshop – www.brr.no – kan nås både via IPv4 og IPv6. Når det gjelder web.brr.no har jeg ikke åpnet opp for bruken av IPv6, så denne installasjonen svarer kun på IPv4-trafikk.

Sikker surfing!

(Les gjerne også bloggens personvernerklæring samt om bloggen. Muligens også av interesse: “Blogging generelt og litt teknisk om min blogg” og “Tekniske løsninger nettsider + Internett-linje“.)

Lenker:

image_printUtskriftsvennlig versjon
Del dette:
Tagging: , , , , , . Bokmerk permalenke.

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: https://www.brr.no/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *