Nu flaggar Chrome för osäkra sajter

Sajter som inte använder https får nu en liten i-symbol bredvid adressen i webbläsaren. Om användaren sedan trycker på i-symbolen så framgår det att sajten är osäker:

Därför bör du installera ett SSL-certifikat för att istället få en symbol som visar på att sajten är säker.

Detta är ett av många små förändringar som Google gör i sin satsning att göra webben säkrare.

Varningar från Google Chrome i oktober

Google Chrome kommer att från version 62 som släpps i oktober 2017 att börja att varna för sajter där information skickas okrypterat utan SSL-certifikat (https).

Tidigare från Januari 2017 så varnar Chrome för lösenord och andra känsliga uppgifter som skickas okrypterat men med denna uppdatering från Oktober så kommer ännu fler sajter flaggas.

Passa på redan nu att köpa och installera ett SSL-certifikat för att undvika att tappa besökare och kunder på Er hemsida.

Skärmdump hur det kan se ut när en sajt flaggas av Chrome:

Google Chrome 62

Google Chrome markerar sajter som osäkra

Från och med Januari 2017 så har Google genomfört en visuell förändring i sin webbläsare Chrome.

Förändringen ser ut enligt nedan bild och gäller för sajter som inte har SSL-certifikat (https) och där du som besökare kan logga in eller skicka in kreditkort.

Chrome version 42 kommer att visa SHA-1 SSL-Certifikat som osäkra

Från och med version 42 har Google meddelat att de kommer att göra en uppdatering till dess webbläsare Chrome som gör att SSL-Certifikat som är av typen SHA-1 kommer att få ett rött kryss. Version 42 släpps troligtvis den 14:de April 2015.

SHA1

Men redan med den version av Chrome som är ute nu så visas inte något hänglås. Här är xkcd som exempel igen:

xkcd_sha1_chrome

Samtliga certifikat som vi säljer kan du genomföra en såkallad reissue eller nyutgåva, du behåller då det tidigare förfallodatumet. Detta genomförs så klart kostnadsfritt, kontakta oss via E-post eller Kontakt-sidan.

Det viktiga när du skapar en ny CSR är att du använder -sha256 argumentet, likt detta för att erhålla ett SHA256 certifikatbegäran:

openssl req -sha256 -new -key domain.key -out domain.csr

Se även vår FAQ samt Filippos FAQ.

Uppdatering: På shaaaaaaaaaaaaa.com så kan du testa om just in sajt använder SHA1 (förutom SSLlabs.com så klart).

SEO-Expert rekommenderar https

Brath ABEn av sveriges främste SEO-Experter vid namn Magnus Bråth väljer nu att rekommendera https. Magnus har bl.a. grundat flertalet SEO-företag och är författare till boken Guldläge på Nätet.

Främsta anledningen till att han nu rekommenderar https uppges att vara Google Chrome meddelat att de kommer att börja visa ett utropstecken när användaren besöker en URL som ej är krypterad med https. Detta kommer att ske inom en framtid och troligtvis under år 2015.

Så här skriver Brath AB på sin SEO-blogg:

Vi ändrar alltså vår rekommendation till att det finns anledningar att byta till https, även om de inte är rent SEO-mässiga. De problem man tidigare fick med https i Google (i mångt och mycket vägrade Google indexera förr) verkar inte längre finnas.

Källa: http://brath.se/vi-andrar-var-rekommendation-dags-for-https/

Så får du A+ av SSL Labs

Om du ser nedan omdöme så betyder det att du har en installation av webbserver och certifikat som är mycket bra: A+.

Det är inte dock helt trivialt att erhålla detta betyg av SSL Labs.SSL LabsFörst och främst måste ni ange vilka protokoll som stödjs:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Detta är för Nginx och innebär dock att ni väljer bort ett få antal besökare som ej kan nå Er webbplats. Men till följd att säkerheten blir bättre.

Sedan är det dags att berätta vilka protokoll vi vill använda oss av:

ssl_prefer_server_ciphers on;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

Sedan måste bättre DHE-parametrar skapas:

$ cd /etc/ssl/certs
$ openssl dhparam -out dhparam.pem 4096

Och läggas till i konfigurationsfilen:

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Och slå sedan på stöd för TLS:

# Enable SSL on all domains - you may also want to enable this on a per-site
# basis instead if you are supporting multiple virtual hosts.
ssl on;

# Cache SSL sessions for 10m (this is about 40,000 sessions), timing them out
# after 24 hours.
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 24h;

# Set the buffer size to 1400 bytes (that way it fits into a single MTU).
ssl_buffer_size 1400;

Även så lägger vi till stöd för OCSP-stapling:

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.4.4 8.8.8.8 valid=300s;
resolver_timeout 10s;

Och sist men inte minst så bör vi även använda oss av HSTS:

# Enable HSTS
add_header Strict-Transport-Security max-age=63072000; includeSubDomains; preload;

# Do not allow this site to be displayed in iframes
add_header X-Frame-Options DENY;

# Do not permit Content-Type sniffing.
add_header X-Content-Type-Options nosniff;

När du infört ovan konfiguration så bör du även läsa in konfigurationsfilen igen samt se till att eventuella intermediate-certifikat laddas in. Kontrollera sedan igen med SSLLabs.com och se att du får ett A+ betyg.

Vi rekommenderar även att du lägger till domänen till Google Chrome HSTS-preload lista.

Denna artikel baseras på denna.