Nyheter fra Buypass

Tusenvis av norske nettsider vil merkes som usikre nå i juli

I slutten av juli kommer en Google-oppdatering som rammer nettsider som ikke benytter https. Feilen er enkel å fikse, men ferietid kan by på ekstra komplikasjoner.

Sikkerhet er en forutsetning for alle som tilbyr noe på internett; enten det er varer, tjenester, produkter, eller kun informasjon. En plakat i frontvinduet med «usikker nettside» vil være synonymt med skilt fra Mattilsynet som advarer gjester mot å besøke matbutikker eller restauranter. Dette vil tusenvis av norske nettsider merke i slutten av juli, når Google oppgraderer sin nettleser Chrome. Da vil nettsider som mangler et sikkerhetssertifikat få en advarsel med «ikke sikker» i adressefeltet. Frem til nå har advarselen vært skjult.

chrome-not-secure-merking
Fra juli 2018 kommer "Not Secure"-meldingen som synlig advarsel på nettsider som ikke bruker SSL/TLS-sertifikater.

- Det blir enkelt å se hvem som tar sikkerhet på alvor, og hvilke nettsider man bør være skeptiske til, sier Mads Henriksveen, fagansvarlig hos den norske sikkerhetsspesialisten Buypass.

Han er nøye med å presisere at oppgraderingen er gode nyheter både for firmaer og forbrukere.

- Kundene får tydelige bevis på om eier av nettsiden er opptatt av sikkerhet og dermed ivaretar forbrukerens interesser, sier Henriksveen.

Fra http til https

Nettsider som i dag kun har http bør snarest få på plass en S.

Https i adressefeltet betyr at all kommunikasjon mellom bruker og nettleser er kryptert. Alle norske nettsider bør ha https i adressefeltet. Da er man innenfor de nye kravene til Google, sier Henriksveen.

Når man først gjennomfører prosessen anbefaler Buypass å ikke spare småpenger på sikkerheten.

- Kryptering er viktig, men det er også viktig å være trygg på hvem man kommuniserer med. Det koster lite for en bedrift å gi forbrukerne denne tryggheten ved å skaffe seg EV-sikkerhetsnivået. Dette gjør at din bedrift og ditt nettsted tydelig viser at de tar sikkerhet på alvor og setter forbrukerne i høysetet, sier Henriksveen.

Trygg praksis er at navnet på firmaet til den som eier nettsiden sammen med landkode=NO, vises ved siden av adressefeltet.

- Se på nhn.no for hvordan dette ser ut for forbrukeren. Dette gjør at kundene er trygge på at de ikke er inne på nettsider som driver med lureri og svindel, og at kommunikasjonen er sikret.

Norsk Helsenett gir tydelige singnal på at nettstedet er sikret - med  SSL-sertifikat med EV
Norsk Helsenett gir tydelige signal på at nettstedet er sikret - med SSL/TLS-sertifikat med EV (extended validation)

Les mer og bestill sertifikat her

Må bestilles før sjefen drar på ferie

Heldigvis er feilen enkel å utbedre, og kostnaden begrenset til ett par tusenlapper i året. Henriksveen advarer mot at denne oppgraderingen kommer som julekvelden på kjerringa, fordi hovedpersonene i løsningsutformingen er på ferie: Sjefen som må signere, og spesialisten som må fikse.

- Her bør man ikke vente til siste liten. Sol, sommer og sikkerhet er en kombinasjon som kan gi et uheldig skudd for baugen når man er på stranda og ikke foran skjermen, advarer Henriksveen.

Han anbefaler at ledere påskynder denne viktige jobben. Den tekniske jobben i seg selv er ikke stor, men det er en sikkerhetsprosess som krever en signatur, og noen teknisk grep:

  • Sertifikatet må bestilles
  • Leder må godkjenne, ved å signere avtalen. Teknisk ressurs må ha tid til å få sertifikatet på plass

- Vi har sikkerhetsprosedyrer som vi må følge. Dette gjør vi for å sikre at rett person får riktig sertifikat. Derfor tar prosessen en arbeidsdag eller to, avslutter han.

Riktig sertifikat for Google oppgraderingen finnes her