Martin Koksrud Bekkelund

Martin Koksrud Bekkelund

Teknologi • Samfunn • Politikk

https

21.12.16

Jeg har en julegave til deg som leser: fra og med i dag vil all kommunikasjon mellom mitt nettsted bekkelund.net og din datamaskin foregå kryptert med https.

Når du surfer nettet har du forhåpentligvis lagt merke til at mange nettsteder har en liten grønn hengelås ved adresselinjen. Hengelåsen indikerer hvorvidt kommunikasjonen mellom din datamaskin og nettstedet er kryptert eller ei. Slik kryptering er noen av de fundamentale byggeklossene til internett. Uten kryptering hadde du ikke kunnet handle på nett, gå i nettbanken eller ha en fortrolig samtale.

Hvorfor https på en blogg?

Du tenker kanskje at et personlig nettsted og en blogg ikke det viktigste stedet å benytte kryptering. Selvfølgelig kan du klare deg uten, men du gjør både deg selv og leserne en tjeneste.

For det første vil all kommunikasjon mellom nettstedet og leseren være kryptert. Ikke bare når man leser tekst, men også dersom leseren fyller ut skjemaer, kommenterer, melder seg på nyhetsbrev og tilsvarende.

For det andre vil du som eier av nettstedet være bedre skjermet, for eksempel når du logger inn i administrasjonspanelet. Da trenger du ikke bekymre deg for risikoen for at uvedkommende skal avlytte deg for eksempel når du sitter på usikrede trådløse nettverk på cafeer, konferanser eller tilsvarende.

For det tredje viser du at du tar sikkerheten, personvernet og privatlivet til deg og dine lesere på alvor.

For det fjerde rangerer Google nettsteder med https bedre enn dem uten.

For det femte er det kryptert, for pokker! Alt skal være kryptert!

Let’s Encrypt

For å få en slik hengelås må nettstedet ha et digitalt sertifikat, som kan benyttes i kommunikasjon over https. Tidligere har slike sertifikater vært dyre og vanskelige å få tak i for privatpersoner, men i april i år skjedde noe fantastisk ved lanseringen av Let’s Encrypt.

Let’s Encrypt er en såkalt certificate authority (CA) og er en ideell organisasjon som deler ut gratis sertifikater til alle som trenger et. Selskapet ble startet i 2012 som et prosjekt av Mozilla, EFF og University of Michigan og er i dag støttet av aktører som Google, Facebook, Cisco, Akamai, Automattic, Shopify og mange andre. Allerede nå ser initiativet ut til å ha god effekt.

NordkappNett og Let’s Encrypt

Det er takket være Let’s Encrypt og min foroverlente driftsleverandør NordkappNett at jeg nå kan tilby kryptert kommunikasjon. Jeg har vært kunde av NordkappNett i snart 15 år, og det at de tilbyr slik funksjonalitet tidlig bekrefter hvorfor jeg fortsatt er fornøyd kunde av dem.

Hos NordkappNett logger jeg inn i et administrasjonspanel hvor jeg aktiverer SSL og velger sertifikat fra Let’s Encrypt. Det er alt som skal til for å aktivere https. En stor takk til NordkappNett for hjelp til å komme i gang med https!

Oppsett av WordPress

Jeg benytter WordPress til å publisere artikler på bekkelund.net. WordPress har fin støtte for https, men krever at du gjør noen enkle endringer.

Verdt å merke seg er også at WordPress ser for seg krav om SSL på sikt.

Innstillingene

I innstillingene inne i administrasjonspanelet til WordPress, endrer du adressen fra å være http://www.bekkelund.net/ til å være https://www.bekkelund.net/ i begge adressefeltene. Med ditt eget domene, selvfølgelig.

.htaccess

Jeg ønsker å sikre at all trafikk går over https, slik at gamle lenker som benytter http blir omdirigert til https.

Slik omdirigering gjør man i .htaccess, konfigruasjonsfilen til webserveren. Jeg modifiserte standardfilen som WordPress genererer til å se ut som følger.

<ifmodule mod_rewrite.c>
RewriteEngine On

# Omdirigering til https
RewriteCond %{SERVER_PORT} 80
RewriteCond %{HTTP_HOST} ^(www\.)?bekkelund\.net$
RewriteRule ^(.*)$ https://www.bekkelund.net/$1 [R,L]

# WordPress' standardregler
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Skulle du finne på å gjøre det samme, bytter du bare ut domenenavnet i kodebiten over med ditt eget domene.

NB! Det hender WordPress overskriver det som ligger i .htaccess uten forvarsel. Ha en backup av filen, i tilfelle du trenger å legge inn omdirigering på nytt.

wp-config.php

Filen wp-config.php inneholder konfigurasjon av din WordPress-installasjon. I denne filen skal du legge til

define('FORCE_SSL_ADMIN', true);

over teksten hvor det står

/* That's all, stop editing! Happy blogging. */

Det er alt. Ønsker du mer dybdeinformasjon om https i WordPress, har de skrevet en utfyllende artikkel som er verdt å lese.

Bonustips

Kryptert kommunikasjon er noe du bør tilstrebe uansett hvor du surfer nettet. EFF har laget en liten utvidelse du kan installere i nettleseren kalt HTTPS Everywhere. Utvidelsen tvinger nettleseren til å benytte https så langt det lar seg gjøre.

Ikon av lås av WPZOOM, CC BY SA 3.0.

Martin skriver regelmessig om teknologiledelse og hvordan teknologi, samfunn og politikk påvirker hverandre. Få nye artikler via e-post:

Flere artikler

Enda flere artikler? Besøk arkivet.

Om Martin

Martin Koksrud Bekkelund

Dette er Martin Koksrud Bekkelund sitt private nettsted, hvor han skriver om teknologiledelse og hvordan teknologi, samfunn og politikk påvirker hverandre. Martin arbeider til daglig som direktør for produkt- og forretningsutvikling i et av Norges største selskaper. Les mer...

 

Facebook Twitter Instagram LinkedIn GitHub SlideShare Martin Koksrud Bekkelunds RSS-kanal

© 1995-2017 Martin Koksrud Bekkelund
OpphavsrettRSS og abonnementKontakt