SSL-certifikat -- är gratis lika bra som betalt?

SSL/TLS-certifikat krypterar kommunikationen mellan besökaren och din server. Det skyddar personuppgifter, inloggningsuppgifter och betalningsinformation från att fångas upp av tredje part. Tekniskt sker detta genom en TLS-handskakning där webbläsaren och servern kommer överens om en krypteringsnyckel. Hela processen tar normalt 50-150 ms och sker helt transparent för användaren. Moderna TLS 1.3-anslutningar är snabbare än äldre versioner och kräver färre steg i handskakningen.

Det finns tre nivåer av SSL-certifikat: Domain Validation (DV), Organization Validation (OV) och Extended Validation (EV). Skillnaden ligger i hur noggrant certifikatutfärdaren verifierar din identitet. DV-certifikat verifierar bara att du kontrollerar domänen, vilket kan ske automatiskt på några minuter. OV-certifikat kräver att utfärdaren verifierar ditt organisationsnummer och företagsadress, en process som tar 1-3 arbetsdagar. EV-certifikat innebär en grundlig granskning av företagets juridiska identitet och kan ta 1-2 veckor att utfärda.

Viktigt att notera är att krypteringsstyrkan är identisk oavsett certifikattyp. Ett gratis DV-certifikat från Let's Encrypt använder exakt samma krypteringsalgoritmer som ett EV-certifikat som kostar tusentals kronor per år. Skillnaden handlar uteslutande om identitetsverifiering, inte om säkerhetsnivån på den krypterade anslutningen.

Let's Encrypt är en ideell certifikatutfärdare som erbjuder gratis DV-certifikat. Krypteringen är identisk med betalda DV-certifikat -- 256-bitars AES med RSA eller ECDSA-nycklar. Över 300 miljoner sajter använder Let's Encrypt. Organisationen grundades 2014 med stöd från Mozilla, Electronic Frontier Foundation och Akamai, och har sedan dess blivit världens största certifikatutfärdare. Deras mål är att göra krypterade anslutningar till standard på hela webben.

De flesta webbhotell erbjuder automatisk installation och förnyelse av Let's Encrypt-certifikat. Det är helt tillräckligt för bloggar, portfoliosajter, företagswebbplatser och de flesta nätbutiker. Certifikaten gäller i 90 dagar och förnyas automatiskt via ACME-protokollet, vanligtvis 30 dagar före utgång. Den korta giltighetstiden är en medveten säkerhetsåtgärd -- om en privat nyckel komprometteras begränsas skadan till max 90 dagar.

En vanlig missuppfattning är att gratis SSL ger sämre SEO-ranking. Google har tydligt bekräftat att de inte gör skillnad mellan certifikattyper i sin rankingalgoritm. Det enda som spelar roll är att sajten använder HTTPS överhuvudtaget. Gratis SSL från Let's Encrypt ger alltså exakt samma SEO-fördel som ett betalt certifikat.

Betalda OV- och EV-certifikat verifierar din organisations identitet. Det ger inte bättre kryptering, men visar besökare att ditt företag är verifierat. Banker, försäkringsbolag och stora e-handlare använder ofta EV-certifikat. Tidigare visades företagsnamnet i webbläsarens adressfält vid EV-certifikat (den gröna texten), men de flesta moderna webbläsare har tagit bort denna visuella skillnad, vilket minskat det upplevda värdet av EV-certifikat avsevärt.

Wildcard-certifikat (som täcker alla subdomäner) och multi-domain-certifikat finns också som betalda alternativ. Let's Encrypt erbjuder gratis wildcard-certifikat sedan 2018. Betalda wildcard-certifikat från leverantörer som DigiCert eller Sectigo kostar typiskt 1 500-5 000 kr per år, medan Let's Encrypt ger samma funktionalitet gratis. Den enda fördelen med betalda wildcard-certifikat är längre giltighetstid (1 år) och tillgång till support om något går fel.

Ett scenario där betalt SSL fortfarande motiveras är om du behöver en garanti (warranty). Betalda certifikat inkluderar ofta en ekonomisk garanti på 10 000 till 1 750 000 dollar som ersätter dig om certifikatutfärdaren gör ett fel som leder till ekonomisk skada. I praktiken utnyttjas dessa garantier ytterst sällan, men för storföretag med strikta compliancekrav kan det vara ett regulatoriskt krav att ha denna typ av försäkring.

På de flesta moderna webbhotell installeras SSL-certifikat automatiskt. Du aktiverar HTTPS via kontrollpanelen (cPanel, Plesk eller liknande) och certifikatet utfärdas och installeras inom minuter. Se till att även konfigurera en automatisk omdirigering från HTTP till HTTPS, antingen via kontrollpanelens inställningar eller genom att lägga till en redirect-regel i din .htaccess-fil (Apache) eller serverkonfiguration (Nginx).

Om du kör en egen VPS eller dedikerad server behöver du installera Certbot, Let's Encrypts officiella klient. På Ubuntu installeras det med ett enda kommando, och Certbot kan automatiskt konfigurera både Nginx och Apache. Certbot skapar också ett cronjob som förnyar certifikaten automatiskt. Efter installationen bör du testa din konfiguration med SSL Labs Server Test (ssllabs.com/ssltest), som ger ett betyg från A+ till F och identifierar eventuella säkerhetsbrister.

För sajter med flera subdomäner (exempelvis shop.dindomän.se, api.dindomän.se, admin.dindomän.se) är wildcard-certifikat det smidigaste alternativet. Med Let's Encrypt och Certbot kan du utfärda ett wildcard-certifikat via DNS-validering. Det kräver att du kan skapa TXT-poster i ditt DNS, vilket de flesta domänleverantörer stödjer. Vissa DNS-leverantörer har API-stöd som gör att Certbot kan automatisera hela processen, inklusive förnyelse.

Det vanligaste SSL-problemet är blandat innehåll (mixed content), vilket uppstår när en HTTPS-sida laddar resurser (bilder, skript, CSS) via HTTP. Webbläsaren visar då en varning och det gröna hänglåset försvinner. Lösningen är att uppdatera alla interna länkar till HTTPS och se till att externa resurser också laddas via HTTPS. I WordPress kan du använda plugins som Really Simple SSL eller köra en sök-och-ersätt i databasen för att konvertera alla HTTP-URL:er.

Certifikat som löper ut är ett annat vanligt problem. Även med automatisk förnyelse kan det gå fel -- exempelvis om serverns brandvägg blockerar utgående trafik till Let's Encrypts servrar, eller om DNS-konfigurationen ändrats sedan certifikatet utfärdades. Sätt upp övervakning med ett verktyg som Uptime Robot eller StatusCake som larmar dig minst 14 dagar innan certifikatet löper ut. Det ger dig tid att åtgärda eventuella problem före utgångsdatumet.

Omdirigeringskedjor och loopar är ett tredje vanligt problem. Det uppstår ofta när både webbservern och WordPress (eller ett plugin) försöker omdirigera HTTP till HTTPS, vilket skapar en oändlig loop. Lösningen är att se till att omdirigeringen sker på ett enda ställe -- antingen i webbserverkonfigurationen eller i applikationen, men inte båda. Kontrollera också att WordPress-inställningarna för siteurl och home använder HTTPS, annars kan det uppstå oväntade beteenden.