HTTPS tatt i bruk for *.brr.no

Blogging

De av nettsidene mine som ligger lagret på webhotellet til Domeneshop OG nettsidene som kjøres fra min PC har blitt lagt om til å benytte seg av HTTPS. Dette inkluderer også denne bloggen. Sertifikat-løsninger: ZeroSSL UnoSSL FreeSSL PunchSalad Free SSL Certificate Generator (Let’s Encrypt SSL-sertifikater) for web.brr.no + Let’s Encrypt for www.brr.no, hvor sistnevnte ifølge Domeneshop er en en gratis, automatisert og åpen sertifikatleverandør som utsteder enkle SSL-sertifikater.

I “gamle dager” ville jeg ha sagt at å besøke mine nettsider nå er trygt som banken. Beklageligvis viste det seg at bankene likevel ikke var så trygge, og det kan godt tenkes at det samme gjelder for HTTPS. Støtt og stadig oppdages det ulik sikkerhetshull.

Uansett: Jeg har i hvert fall gjort et forsøk på å øke sikkerheten på kommunikasjonen mot mine nettsider.

Nettsidene på web-hotellet starter nå på https, slik at min hovedside etter omleggingen lyder adressen https://www.brr.no/ Denne bloggen kan nås direkte på adressen https://blogg.brr.no/ eller https://www.brr.no/wordpressbrr/ Det nye er altså s-en etter http i adressen.

https://www.brr.no/

I etterkant har Google i sin Chrome-nettleser tatt bort den grønne hengelåsen og teksten “Sikker”, og gjort det noe mer “grått og kjedelig” (grå hengelås, og ikke noen tekstforklaring):

Ny utgave: https://www.brr.no/

 

Når man besøker ikke-sikre nettsteder (http, og ikke https) “liker” i hvert fall ikke Chrome-nettleseren dette noe særlig godt:

Ikke sikkert nettsted (tilhører ikke meg).

 

I nyere versjoner av Chrome nettleser har det blitt noe vel nedtonet dette med sikker tilkobling:

Chrome nettleser, sikker tilkobling.

 

Ingen hengelås synlig før man har trykket på symbolet til venstre for adressefeltet. Imidlertid vises det noe tydeligere – og i klartekst – når oppkoblingen ikke er sikret i det hele tatt:

Chrome ikke sikker.

 

Hva er HTTPS da? Ifølge Wikipedia:

  • Hypertext Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, som er kommunikasjonsprotokollen til World Wide Web.

Kilde: https://no.wikipedia.org/wiki/HTTPS

TLS/SSL: Transport Layer Security (TLS) og dens forgjenger Secure Sockets Layer (SSL) er kryptografiske protokoller som tilbyr sikker kommunikasjon på Internett for nettlesing, e-post, lynmeldinger og andre dataoverføringer. Det er små forskjeller mellom SSL og TLS, men de er hovedsakelig like.

Kilde: https://no.wikipedia.org/wiki/Transport_Layer_Security

HTTPS (SSL) er sikrere enn vanlig HTTP i og med at alt innholdet som blir sendt og mottatt mellom server og sluttbrukers utstyr er kryptert (kryptert forbindelse). Omleggingen skal bidra til å gjøre det vanskeligere med avlytting, noe som høyner sikkerheten i kommunikasjonen. Problemene med “tyvlytting”, forkludring og meldingsforfalskning blir forhåpentligvis eliminert bort. Ellers er vel bruk av HTTPS en rangeringsfaktor (gir høyere score) hos Google sin søkemotor.

SSL og HTTPS

Nå er det jo ikke fullt av sensitive data, persondata eller datautveksling relatert til min blogg. Dermed har det ikke vært ekstremt viktig eller høyprioritert å få den sikret. Likevel kan det være greit nå endelig å ha på plass en sikrere løsning enn den jeg har hatt fram til nå.

I etterkant har jeg også fått aktivert HTTPS på mine testsider som ligger lagret på min private PC. Ny hovedadresse til disse sidene er https://web.brr.no/

Kryptering (SSL/TLS), sertifikat og https, via Android og Chrome nettleser pr. 05.02.2021 – web.brr.no.

 

Let’s Encrypt “på direkten” passer ikke så bra sammen med web.brr.no, i og med at jeg kjører på en Windows-host (Windows 10 klientmaskin) i eget hjem og ikke på en Linux-server. Det lar seg ikke sånt uten videre lett å skripte med automatisert fornyelser av sertifikat (Shell-aksess) osv. Direkte kobling og oppsett mot Let’s Encrypt har altså ikke blitt valgt her, og løsningen sees også på som ganske så uaktuell. (Men UnoSSL som jeg snart kommer til bruker deres sertifikater!)

For å få ordnet det praktiske rundt utstedelse av sertifikatfiler har jeg benyttet meg av ZeroSSL og deres “Create Free SSL Certificate”, en løsning som lett lar seg kombinere med XAMPP. Som gratisbruker må jeg manuelt fornye sertifikatet hver 90. dag. Tidligere nyttiggjorde ZeroSSL seg av sertifikater fra Let’s Encrypt, men nå har de visstnok begynt med å utstede sine egne sertifikater (ZeroSSL RSA Domain Secure Site CA).

Kryptering, sertifikat og https, via Firefox nettleser (Windows) pr. 05.02.2021 – web.brr.no.

 

Oppdatering pr. 04.02.2021: “Oppholdet” hos ZeroSSL ble ikke langvarig. Når de nå “truer” med en årlig regning på over kroner 800,- for sertifikatet er det lite aktuelt å fortsette hos dem. Web-sidene under web.brr.no er ikke-kommersielle hobbyprosjekter som ikke gir meg noen som helst inntekter, og å få “masse” utgifter på sertifikat frister ikke! Nå tester jeg ut bruken av gratis-tjenesten UnoSSL i stedet.

UnoSSL-tjenesten sin logo.

 

Oppdatering pr. august 2023: I en periode har UnoSSL vært utilgjengelig for bruk, noe som gjorde meg litt desperate i og med jeg hadde sertifikat som var i ferd med å løpe ut (for web.brr.no). FreeSSL ble redningen min i nøden, men jeg slet med å få sertifikat-kjeden riktig satt opp. I tillegg til FreeSSL måtte jeg ha litt hjelp fra tjenesten “What’s My Chain Cert?”. Kom i mål med fungerende løsning for sertifikat helt gratis, men om 90 dager er det på-an igjen! UnoSSL er forresten helt borte fra nettet – og nedlagt – pr. oktober 2023.

Ny oppdatering pr. oktober 2023: Jeg fikk tilsendt pr. ultimo oktober 2023 en e-post som informerte meg om at FreeSSL-sertifikatet lett kunne fornyes. Eksisterende 90-dagers-sertifikat var i ferd med å utløpe, men det kunne fornyes automatisk med en ett-klikk-valg. Men den gang ei, da beskrevet framgangsmåte for fornyelse endte med: “Renewal resource does not exist”.

Jeg prøvde å opprette nytt sertifikat fra starten av, men KOM IKKE I MÅL med dette heller! Klarte ikke å få verifisert domenenavnet, verken via e-post, DNS eller http filopplasting. Gav rett og slett opp denne tjenesten i denne omgang!

Redningen ble denne nettsiden, med lenke videre til nettside for gratis generering av “Let’s Encrypt SSL”-sertifikater:

Bingo! Førte fram til et fungerende resultat på første forsøk, og helt uten kluss med sertifikatskjeden!

UnoSSL, når det fungerte: Sertifikatene er av typen R3 – altså Let’s Encrypt sine. (Skiftet har ikke påvirket resultatene i SSL-testene. Fortsatt oppnås grad A og A+.)

Sertifikatinformasjon (SSL) for web.brr.no pr. 05.02.2021.

 

Her er et eksempel på bruk av sertifikat som har blitt utstedt via tjenesten FreeSSL:

Sertifikat utstedt via FreeSSL sin tjeneste.

 

Og “Let’s Encrypt”-sertifikat, generert via “PunchSalad: Free SSL Certificate Generator“:

Sertifikat av typen “Let’s Encrypt” pr. oktober 2023, visning via Mozilla Firefox nettleser.

 

Man kommer vanskelig utenom Let’s Encrypt sine tjenester – direkte eller indirekte – så lenge som det er snakk om gratis TLS/SSL-sertifikater:

Let’s Encrypt-logo.

 

Test av SSL-oppsett kan gjennomføres via nettsiden: Qualys SSL Labs: SSL Server Test.

SSL-rapport for web.brr.no pr. 07.09.2020.

 

Grad A pr. 05.02.2021 (både for www.brr.no og web.brr.no), som vel må være bra nok (maksimalt resultat som kan oppnås er A+)! En periode var jeg nede i graden B begge steder, pga. støtten for TLSv1 og TLSv1.1. Domeneshop har nå slått dette av, og likeså har jeg gjort. (Hvordan slå av støtten for de avdankede og usikre protokollene i XAMPP: \apache\conf\extra\httpd-ssl.conf, og SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 samt SSLProxyProtocol all -SSLv3 -TLSv1 -TLSv1.1 .)

Komplette tester av SSL pr. 05.02.2021:

Det er en stund siden nevnte dato i 2021, men også pr. september 2022 oppnår jeg samme testresultat (karakteren A) ved kjøring av SSL-rapport via nevnte tjeneste. Også likt resultat pr. medio april 2023. August 2023 – med bruk av sertifikat utstedt av FreeSSL – fikk jeg også samme resultat (A-grad). Likeså skjedde i oktober 2023 til tross for bytting av løsning nok en gang, hvor samme grad som tidligere ble oppnådd.

En annen test-tjeneste, som gir ca. samme resultater er ImmuniWeb: Web Server SSL Test. Resultat pr. 11.09.2020 for web.brr.no på A+ og likeså for www.brr.no. Det er masse slike testtjenester der ute på nettet, og tillegg til de to allerede nevnte føyer jeg til “Wormly: Test an SSL Web Server | Free SSL Web Server Tester“. Flere kunne sikkert ha vært føyet til, men det må da holde med tre slike i denne omgang.

Sikker tilkobling (Chrome nettleser, Windows), https, sertifikat og informasjonskapsler i bruk – blogg.brr.no.

 

Det var forresten omleggingen til HTTPS som var starten på bloggens “lille” havari. Hvis jeg på nytt skulle ha gjort omleggingen hadde jeg nok fulgt tipsene fra dette blogginnlegget:

Web-hotellet hos Domeneshop – www.brr.no – kan nås både via IPv4 og IPv6. Når det gjelder web.brr.no har jeg ikke åpnet opp for bruken av IPv6, så denne installasjonen svarer kun på IPv4-trafikk. Domenet brr.no har jeg vært i besittelse av siden sommeren 2001.

Sikker surfing!

(Les gjerne også bloggens personvernerklæring samt om bloggen. Muligens også av interesse: “Blogging generelt og litt teknisk om min blogg” og “Tekniske løsninger nettsider + Internett-linje“.)

Lenker: