NETTBUTIKK

Ruller ut HTTPS til over tusen norske nettbutikker

Sikkerhetseksperter mener at det er viktig at hele nettbutikken er kryptert, ikke bare de delene hvor kunden oppgir kontaktinformasjon og kredittkortopplysninger. Nå tar en av de store nettbutikkleverandørene i Norge et krafttak for å bedre sikkerheten til sine kunder.
Sikkerhetseksperter mener at det er viktig at hele nettbutikken er kryptert, ikke bare de delene hvor kunden oppgir kontaktinformasjon og kredittkortopplysninger. Nå tar en av de store nettbutikkleverandørene i Norge et krafttak for å bedre sikkerheten til sine kunder. Bilde: Colourbox
Harald BrombachHarald BrombachNyhetsleder
28. des. 2016 - 09:18

Den store, norske nettbutikkleverandøren 24Nettbutikk kunngjorde i går at det er i ferd med å rulle ut HTTPS og SSL/TLS-sertifikater til alle kundene, drøyt 1250 nettbutikker. Bortsett fra en håndfull finske, svenske og danske domener, er alle butikkene norske. 

Påpeker fordelene

Utrullingen til de eksisterende butikkene skjer gradvis, men skal fullføres denne uken. Selskapet påpeker flere fordeler med dette for nettbutikkene, inkludert potensielt høyere rangering hos Google, raskere sidelasting og at nettbutikkene vil bli oppfattet som mer seriøse enn de som ikke krypterer hele nettbutikken. 

Det at flere nettlesere snart vil markere visse typer websider uten HTTPS som «ikke sikre», kan kanskje bidra til at nettbutikksikkerheten får økt oppmerksomhet blant kundene.

Mange norske nettbutikker har fått kritikk for ikke å ta sikkerheten til kundene på alvor. Nylig omtalte digi.no en undersøkelse gjort av Yngve N. Pettersen, som viste at flere nettbutikker krypterer mer av butikken enn tidligere, men at spesielt de mindre nettbutikkene henger etter.

Pettersen har selv skrevet en artikkel om undersøkelsen. Den er tilgjengelig her.

Les mer: Mange norske nettbutikker fortjener fortsatt stryk­karakter for sikkerheten

Helkryptert

– Vi krypterer fra nå av absolutt hele butikken og ikke bare kassepunktet, slik standarden har vært tidligere, sier produktsjef og grunnlegger av 24Nettbutikk, Robert Zwarg, i en pressemelding. 

Robert Zwarg, produktsjef og grunnlegger av 24Nettbutikk, forklarer bakgrunnen for at selskapet først nå tar i bruk HTTPS i alle deler av nettbutikkene selskapet leverer. <i>Bilde: 24Nettbutikk</i>
Robert Zwarg, produktsjef og grunnlegger av 24Nettbutikk, forklarer bakgrunnen for at selskapet først nå tar i bruk HTTPS i alle deler av nettbutikkene selskapet leverer. Bilde: 24Nettbutikk

– Det å skape trygghet og tillit er kanskje den aller viktigste oppgaven for enhver butikkeier, og det ville ha vært svært uheldig om våre kunders kunder hadde opplevd nettbutikken som usikker å handle i, sier Zwarg i pressemeldingen.

Pettersen forteller til digi.no at dette absolutt ser lovende ut. Han har ikke tallene foran seg når digi.no spør, men mener at mener at krypteringsandelen i småbutikksegmenter vil kunne øke med 8 til 10 prosent når 24Nettbutikk har gjennomført utrullingen. 

– Jeg kunne nok ønsket en raskere planlagt gjennomføring for eksisterende nettbutikker, men det er et kjent problem fra tilsvarende overganger at det er mange problemer med hardkodede URLer, så selv om de greier å automatisere mye, er det nok fremdeles en god del manuelt arbeid med hvert enkelt nettsted, skriver Pettersen i en epost.

Les også: «Brotli» er enda en grunn til å levere websidene med HTTPS

Tekniske utfordringer

Digi.no ba Zwarg fortelle hvorfor 24Nettbutikk kommer med full kryptering først nå. 

– For de fleste av våre kunder har vi mange domener som peker til samme IP gjennom Apache. En av utfordringene vi måtte ta var å flytte all logistikk til nginx da denne støtter SNI [Server Name Indication, journ. anm]. Mesteparten av vår infrastruktur er beregnet på Apache så vi måtte gjøre en fullstendig gjennomgang av hele kodebasen vår. Dette har tatt tid, skriver Zwarg i en epost til digi.no. 

SNI, som han nevner, gjør det mulig å levere flere sikkerhetssertifikater over samme IP-adresse og portnummer. 

24Nettbutikk påpeker i pressemeldingen at det er gjort mye for å sørge for at sikkerheten til nettbutikkene nå vil være på høyde med de aller beste, blant annet norske banker. Dette betyr at de har A+-gradering i SSL Server Test-tjenesten til Qualys SSL Labs, altså det aller høyeste nivået.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Dette betyr blant annet at støtten for gamle og usikre sikkerhetsprotokoller og chiffersamlinger er fjernet eller deaktivert på serverne, samt at det er tatt i bruk ekstra sikkerhetsteknologier som HSTS (HTTP Strict Transport Security). 

Blant nettbutikkene hos 24Nettbutikk som allerede har fått ta i bruk HTTPS, er Beautybrands.no. Denne oppnår ganske riktig A+ i SSL Server-testen.

Leste du denne? Ingen av Norges ti mest besøkte domenenavn er godt sikret

Let's Encrypt

Det går også fram av testen at sikkerhetssertifikatet som benyttes, er levert av gratistjenesten Let's Encrypt. Disse sertifikatene bekrefter bare at aktøren som har mottatt sertifikatet, har en viss kontroll over domenet som benyttes. Flere av de store nettbutikkene i Norge, samt banker og mange andre, har valgt å ta i bruk Extended Validation-sertifikater (EV-sertifikater). Disse knytter innholdet til en spesifikk juridisk virksomhet. Men slike sertifikater er langt fra gratis. 

– Vi skal også kunne tilby EV-sertifikater for de kundene som ønsker dette, men å skulle tilby dette til 1250+ kunder hadde vært en for stor manuell jobb. Vi søker å få på plass en digital prosess rundt EV-sertifikater først. I tillegg er dette et prisspørsmål, forklarer Zwarg.

– Vi valgte Let´s Encrypt da det lar oss tilby sertifikater til alle uten at dette krever noen handling fra kundens side. De har infrastrukturen for å utstede og fornye sertifikater i det omfanget vi trenger. Prosessen er altså heldigitalisert, noe som er helt avgjørende for å registrere og fornye sertifikater til 1250+ butikker, avslutter Zwarg.

Les også: Er skremt av responsen fra hackede, norske nettbutikker

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.