HTTPS – Derfor må Visitnorway ha det

Du har kanskje lagt merke til det, men mest sannsynlig ikke. Vi har i år lagt om til HTTPS på alle våre domener for Visitnorway. Det gjør oss i stand til å kunne benytte oss av all funksjonalitet i nettleseren – også i fremtiden.

Så hva betyr denne ekstra «S»-en i nettadressen egentlig? Den gir deg som sluttbruker informasjon om at kommunikasjonen mellom din nettleser og nettstedet sin tjener skjer på en sikker måte. Når du går inn på et nettsted med HTTPS så vil din nettleser og tjeneren bli enige om hvordan kommunikasjonen skal sikres, og det opprettes egne krypteringsnøkler kun for din samhandling med nettstedet.

Nå vil nettleseren og tjeneren kunne utveksle data og informasjon uten at noen kan «lytte» på samtalen (les mer om «man in the middle attack). Dette gjør at vi med trygghet kan overføre personlig og sensitiv informasjon uten å være bekymret for at noen skal fange opp informasjonen, og bruke den til uønskede formål.

Eksempler på data og informasjon som nå sendes sikkert er; nyhetsbrevregistreringer, geolokasjon, deltagelse i quiz, innhold i informasjonskapsler, og mye annet. Denne informasjonen kan ikke lenger leses i klartekst av andre en nettleser og tjener som kjenner reglene for kommunikasjonen.

Skjermbilde av geolokasjon i nettleser

Illustrasjon: geolokasjon i nettleser


Hvorfor er sikker kommunikasjon blitt så viktig for så mange nettsteder nå, og ikke tidligere? Dette var viktig før også, men ikke så vanlig for nettsteder som stort sett bare leverte innhold. Nå har det skjedd et skifte hos selskapene som lager nettleserne, hvor de ønsker «alle» over på HTTPS, og de har begynt å fjerne og stoppe utviklingen av funksjonalitet som kan sende personlig og sensitiv informasjon i klartekst.

Noen eksempler på dette er at:

Spesielt Googles beslutning om å stenge for overføring av geolokasjon for usikre nettsteder satt fart i Visitnorways prosess for overgangen til HTTPS.

Planlegging og forberedelser for å gå over til HTTPS

Det er mange ting som må på plass før et nettsted kan overføre informasjon og data sikkert til en nettleser.

Forsikre deg om at løsningen nettstedet driftes på faktisk kan settes opp med HTTPS, ta kontakt med systemleverandøren og få i gang en dialog på hvordan dere kan få nettstedet sikret via HTTPS. Serveren må settes opp til å motta HTTPS trafikk på port 443 og det må åpnes i brannmuren ut mot internett. I tillegg må det installeres ett eller flere SSL-sertifikat som er gyldig for de nettstedene som du ønsker å sette opp med HTTPS.

Forbered koden på HTTPS,  referanser på elementer som henter innhold eller data fra andre interne eller eksterne ressurser må endres. Det er mulig å sette referanse til HTTPS eller du kan bruke en protokoll-relativ tilnærming. Dette kan være f.eks. referanser til JavaScript, StyleSheets, fonter, bilder og ikoner, eksternt innhold, «embed» kode, skjemaer som sender data osv.

Få oversikt over alle eksterne tjenester dere bruker for å kontrollere om de støtter HTTPS eller ikke, hvis en tjeneste ikke støtter HTTPS bør dere planlegge en overgang til HTTPS for disse i samarbeid med leverandøren(e).

For Visitnorway ble det et samarbeid mellom systemleverandør, redaktører og leverandører av eksternt innhold. Systemleverandøren hadde ansvaret for endringer i all HTML-kode, javascript, stylesheets og moduler som systemet er bygd opp av, her er det også viktig å huske at alt innenfor redaktørgrensesnittet også må være på HTTPS. Redaktørene hadde ansvaret for at alt innholdet som var blitt lagt inn brukte HTTPS, eksempelvis iframes, videoer, eksterne kart osv.

Samtidig som man jobber med overgang i HTML-kode og innhold, må man kartlegge involverte domener og leverandør av SSL sertifikater. Sjekk med din systemleverandør om de har avtale med en SSL sertifikat leverandør eller om du må inngå en avtale selv.

Finn en SSL sertifikat leverandør som er anerkjent og som nettleserne har tillit til, hvis du velger feil leverandør kan du ende opp med at sluttbrukere får en advarsel når de kommer inn på nettstedet ditt. Ref: https://en.wikipedia.org/wiki/Certificate_authority

Illustrasjon: usikret tilkobling

Illustrasjon: usikret tilkobling

Velg riktig type SSL sertifikat, det er ulike nivåer av kryptering. Typisk vil en nettbank ønske det aller sikreste sertifikatet, og sørger for å få «Grønn»-adresselinje (ref. https://en.wikipedia.org/wiki/Extended_Validation_Certificate).

Illustrasjon: Extended Validation Certificate

Illustrasjon: Extended Validation Certificate

 

 

 

Visitnorway hadde ikke behov for den høyeste grad av kryptering da vi ikke behandler personsensitiv informasjon, vi så vi gikk for standard «Domain Validated Certificate»  «(som gir den «vanlige» grønne hengelåsen»). Valg av sertifikatnivå nivå er også et kostnadsspørsmål.

Illustrasjon: standard ssl kyptering

Illustrasjon: standard ssl kyptering; «grønn hengelås».

 

 

 

Kartlegging av domener er essensielt, for når et SSL sertifikat skal utstedes så kontaktes eieren av domenet via offentlig tilgjengelig informasjon via WHOIS-tjenester (eksempelvis https://www.whois.net/). Derfor er det viktig at å ha kontroll på denne informasjonen før prosessen med å bestille sertifikater starter.

Forsikre deg derfor at alle domener står på en ansatt som fortsatt jobber i bedriften, og at e-postadressene som brukes er gyldige. Bruk gjerne en bedriftskonto for de domene som ikke krever personlig eier. Noen domener må stå på en person, og da er det greit å ha rutiner for at alle disse domenene står på en og samme person og hvis mulig en person som det er liten sannsynlighet for at bytter jobb, f.eks. daglig leder, selv om det kan være vanskelig å forutse.

Vår reise for å få på plass HTTPS tok ca 8 måneder fra vi startet planleggingen til vi endelig var i mål.

Oppdatert 20.9:

Overgangen til https medfører at alle nettsteder som ikke har gått over til https og som mottar klikk fra visitnorway ikke lenger klarer å måle trafikken gjennom Google Analytics per idag. Visitnorway-trafikken blir da regnet inn under «direkte trafikk». Ref: https://www.e-nor.com/blog/google-analytics/https-to-http-secure-to-nonsecure-referrer-loss . Vi vil se hva vi kan gjøre av eventuelle endringer for at dette skal bli sporbart.

Om Hans Petter Aalmo

Portalsjef for visitnorway.com. Twitter: @hanspetteraalmo
Dette innlegget ble publisert i Funksjonalitet, Markedsføring. Bokmerk permalenken.

2 svar til HTTPS – Derfor må Visitnorway ha det

  1. Takk for nyttig info Hans Petter! Detaljene er antageligvis over hodet på mange småbedrifter i reiselivet, men du gir noen gode grunner til hvorfor det er viktig å tenke på dette. I tillegg er det vel slik at Google bruker https som en av sine rankingfaktorer ifht synlighet i søk? https://security.googleblog.com/2014/08/https-as-ranking-signal_6.html

    Tenker du at dette er noe som alle reiselivsbedrifter bør gjøre med sine nettsteder nå? Eller gjelder det først og fremst de store? Jeg har så langt tenkt at det er viktigst for de som foretar transaksjoner på nettstedet, men ser jo at påmelding til nyhetsbrev, bruk av cookies osv er jo noe som skjer på nesten alle reiselivsnettsteder…

    Nå er visitnorway et spesielt nettsted i norsk reiseliv-sammenheng pga størrelsen, men kunne du gitt en indikasjon på hva vi snakker om av kostnad for et typisk norsk bedriftsreiselivsnettsted (feks en campingplass)?

  2. Hei Bodil, takk for tilbakemeldingen. Det er en vanskelig oppgave å formidle teknisk informasjon uten at det går over hodet for småbedriftene, og innlegget er primært myntet på ulike tekniske ansvarlige og webmastere, samt for å gjøre oppmerksom på hvorfor man bør vurdere dette.

    Som du skriver så er https en av Googles mange faktorer for rangering. Jeg tror ikke den faktoren alene bør være grunnen til å gå over til https nå, men definitivt noe å ha i bakhodet fremover når man skal vurdere dette. Vel så viktig tror jeg den ekstra tryggheten en https tilkobling kan gi, i en verden av søppel og svindel på nettet, vil nok forbrukerne fremover bli mer oppmerksomme på sikre og usikre nettsteder. På ett eller annet tidspunkt kan det og være at Google vil gi sikre nettsteder en mye større fordel, lik det man nå ser for mobilvennlige nettsteder på Googles mobilsøkeresultat.

    Mitt råd er at de aler fleste kommersielle nettsider bør vurdere å gå over til https, og sondere mulighetene for dette som nevnt i innlegget.

    Hva det koster avhenger av en rekke faktorer, men om man bare har ett domene (og ikke 12 som Visitnorway) bør ikke kostnaden i seg selv være avskrekkende. Sertifikatene er ikke spesielt dyre, men det kan være en god del jobb å sette opp. For eksempel må alle internlenker endres fra http til https dersom man ikke har benyttet relativ url når man har satt dem opp.

    For f.eks. en campingplass trenger det ikke bli så mange tusenlappene det er snakk om i tekniske kostnader dersom leverandøren har sitt «på stell», men en del timer internt må man regne med.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *