HTTP til HTTPS: Fordele og ulemper ved SSL-tjenester

SSL certifikat og hvorfor det gavner SEO.Efter flere måneders snak og spekulation, så presser Google nu på for at gennemføre deres plan om, at skabe et mere sikkert internet igennem HTTPS. Hvor HTTPS før var tilegnet banker, offentlige institutioner og regeringer, så er det i dag også blevet et vigtigt punkt for webshops og helt almindelige websites, der beder deres brugere om følsomme informationer. Det kan være igennem en kontaktformular, en tilmelding til et nyhedsbrev eller noget helt tredje.

En god tommelfingerregel er, at har du formularfelter på dit website, så bør du allerede nu tænke på, at konvertere til HTTPS hurtigst mulig. Dette gælder også hvis du vil sikre dit website de bedste betingelser i Google i fremtiden. Google går lige nu så langt, at de sender advarsler ud til websites som ikke er HTTPS-sikre via Search Console. Samtidig vil brugerne bliver advaret, når de tilgår usikre sider via Chrome 62-browseren.

Advarsel fra Chrome på Not Secure websider og formularer.

Fordele ved at skifte til HTTPS

Den mest oplagte fordel ved at flytte til HTTPS er, at det gør dit website mere sikkert. Når du håndhæver HTTPS på dit website, så garanterer du at den information der bliver sendt til og fra serveren ikke kan blive stjålet eller opfanget. Det er grundlæggende bevis for, at den data som dine brugere indtaster i dine formularer ikke bliver misbrugt. Dette uanset om det er kunder der skal logge ind, brugere der tilmelder sig dit nyhedsbrev, angiver betalingsoplysninger under køb, adresseoplysninger m.v.

Hvis du samtidig ønsker at ranke højere i Google og er seriøs omkring din SEO, så vil et skift til HTTPS også underbygge dette. Google har flere gange meldt ud, at der er et mindre ranking boost forbundet ved at flytte til HTTPS. Et signal der sagtens kan vokse i styrke på et senere tidspunkt. HTTPS kan derfor bidrage til højere placeringer, øget trafik og omsætning igennem større synlighed i søgemaskinerne. Igennem den SEO-aftale som vi har med vores kunder, har vi med succes hjulpet dem med at flytte til HTTPS.

Fordele og ulemper ved 3 populære SSL-tjenester

Kompleksiteten ved at flytte dit website til HTTPS, afhænger hovedsageligt at din eksisterende konfiguration og muligheder. Vi har igennem de seneste par år hjulpet adskillige hjemmesider og webshops med at gennemgøre en migrering og der er især 3 metoder som vi vil gå i dybden med i dette indlæg. Herunder fordele og ulemper ved forskellige SSL-tjenester, inklusiv ikke-traditionelle implementeringer.

De 3 metoder som vi vil gennemgå i dette indlæg er:

  • Traditionel HTTPS implementering
  • Let’s Encypt
  • CloudFlare

1. Traditionel HTTPS implementering

En traditionel HTTPS implementering starter med at købe et gyldigt SSL-certifikat fra en troværdig tjeneste, f.eks. Comodo, IdenTrust og Digicert. Det er vigtigt at undersøge markedet grundigt, da der findes mange udbydere. Derudover er det essentiel at vælge et certifikat som Google stoler på! F.eks. meddelte Google i september at de havde mistet tilliden til certifikater fra Symantec, hvilket berører firmaerne Thawte, VeriSign, Equifax, GeoTrust og RapidSSL. Du kan læse mere om situationen her. Certifikatet skal så verificeres med den Certificate Authority du købte det fra via en Certificate Signing Request (CSR). Dette er bevis for, at du administrerer websitet som du hævder at administrere.

Efter valideringen skal det implementeres på tværs af hele dit website. Her er det især vigtigt, at tage højde for, at alle dine URL’er bliver ændret til at benytte HTTPS-protokollen. Fra et SEO-perspektiv er det derfor essentiel, at du omdirigerer gamle til nye URL’er, undgår mixed content, unødige redirect-chains med mere.

Fordele

  • Sikkerhed: Med et valideret SSL certifikat installeret opnår du en sikker forbindelse til og fra serveren.
  • Tilpasselig: En af fordelene ved en fuld SSL implementering er, at du kan købe et såkaldt Extended Validation (EV) SSL certifikat. Dette giver ikke kun en grøn hængelås i browseren men inkluderer også dit firmanavn! Dette giver altså brugeren en ekstra garanti om at dit website er trygt og sikkert.
  • Subdomæner: Har du flere subdomæner så har du formentlig også brug for et separat SSL certifikat eller et wildcard certifikat for alle variationer af dit domæne. En traditionel SSL tjeneste er ofte den nemmeste måde at opsætte et wildcard certifikat, hvis du skal sikre flere variationer af dit domæne.

Ulemper

  • Prisen: Selvom SSL certifikater kun er blevet billigere med årerne, så kan denne type certifikater hurtigt løbe op i flere tusinde kroner, hvis du ønsker de mere avancerede sikkerhedsfeatures, et bedre CDN netværk m.v. Derudover kommer udgiften til at hyre en udvikler i forbindelse med implementeringen af dit SSL certifikat.
  • Implementering: En traditionel implementering af SSL kan tage helt op til 10 måneder, afhængig af kompleksiteten. Dette gælder især for store firmaer og websites. Her er det nemt at løbe ind i forskellige problemstillinger, der tager ekstra tid at løse. Det kan f.eks. vedrøre websitets konfiguration, mixed content, linkstruktur m.v. som i nogle tilfælde kan være svære at identificere.

2. Let’s Encrypt

Let’s Encrypt er en gratis og nonprofit tjeneste fra Internet Security Research Group, der har et mål om at udbrede websikkerhed igennem gratis SSL certifikater. At implementere Let’s Encrypt er meget lig en traditionel implementation. Du vil dog hurtigt opleve, at rigtig mange webhoteller i dag tilbyder direkte integration med Let’s Encrypt. Det betyder af alt fra opsætning til validering af certifikatet sker automatisk så snart du har aktiveret SSL i dit kontrolpanel. Herefter skal du dog stadig være opmærksom på, om dine URL’er også automatisk bliver omdirigeret fra HTTP til HTTPS. Det vil typisk være noget som du efterfølgende skal sætte op, således brugere, søgemaskiner og din linkjuice bliver sendt til den rette destination.

Fordele

  • Gratis: Et certifikat fra Let’s Encrypt er helt gratis!
  • Implementering: Implementeringen af SSL fra Let’s Encrypt er ofte langt nemmere da de største webhoteller i dag tilbyder direkte integration med denne tjeneste. I de fleste tilfælde betyder det ofte at det blot skal aktiveres i dit kontrolpanel. Herefter sikre at viderestillinger også er på plads. Kører dit website på WordPress kan du f.eks. benytte Really Simple SSL til at løse dette.
  • Sikkerhed: Du opnår total sikkerhed hvor forbindelsen imellem brugeren og serveren er krypteret.

Ulemper

  • Kompatibilitet: Let’s Encrypt er kendt for at være inkompatibel med en række forskellige platforme selvom de platforme der nævnes, sikkert ikke er kilder der udgør meget trafik til dit website.
  • 90-dages certifikater: Imens traditionelle SSL certifikater ofte er gyldige i et år eller mere, så er Let’s Encrypt certifikater ofte kun gyldige i 90 dage. Glemmer du at forny dit certifikat kan du stille dine brugere i en usikker situation.
  • Begrænset tilpasning: Med Let’s Encrypt har du ikke mulighed for at få et Extended Validation (EV) SSL certifikat og tilbyder ikke wildcard-certifikater til at sikre subdomæner. Let’s Encrypt har dog meldt ud at dette kommer til januar næste år.

3. CloudFlare

CloudFlare tilbyder en Fleksibel SSL tjeneste, hvilket helt fjerner besværet med at implementere SSL direkte på dit website. CloudFlare benytter i stedet et cachet version af dit website, der bliver benyttet igennem deres servere og SSL-beskyttelse. Dermed opnås en krypteret forbindelse til de besøgende. Ligesom med Let’s Encrypt så er implementeringen også meget simpel. Alt hvad du i princippet skal gøre er, at opdatere dine DNS records to at pege på CloudFlares navneservere. Og ligesom med Let’s Encrypt så er dette helt gratis!

Fordele

  • Gratis: SSL fra CloudFlare er som udgangspunkt gratis. De tilbyder nogle mere avancerede funktioner men hvis ikke du gør brug af disse, så er deres tjeneste gratis.
  • Implementering: Når du har en CloudFlare konto skal du blot opdatere dine DNS records. Der er ikke behov for yderligere konfiguration af din server og implementeringen foregår ofte helt smertefri. Ydermere kan implementering af HSTS og tvunget HTTPS rewrites aktiveres direkte fra dit CloudFlare betjeningspanel.
  • Hastighed: Udover SSL beskyttelse så tilbyder CloudFlare også andre tjenester der kan hjælpe med at sikre en høj hastighed på dit website. Dette er noget som de 2 første metoder mangler. CloudFlare tilbyder muligheden for at komprimere javascript, CSS og HTML. Herunder igennem Accelerated Mobile Pages (AMP) m.v. Dette hovedsageligt for at undgå en høj responstid på dit website.

Ulemper

  • Sikkerhed: CloudFlare krypterer forbindelsen imellem besøgeren og den cachet version af dit website på CloudFlare. De krypterer ikke forbindelsen imellem dit website og din server! Det skaber en ukomplet kryptering, hvor der er risiko for at forbindelsen til din server bliver kompromitteret. CloudFlare tilbyder dog en komplet SSL implementering men dette er ikke inkluderet i den gratis version.
  • Begrænset tilpasning: Som udgangspunkt tilbyder CloudFlare ikke muligheden for et Extended Validation (EV) SSL certifikat. Ønsker du dette kan du opgradere til fuld SSL men dette er dog ikke gratis.

Så hvilken SSL implementering skal du vælge? Det kommer virkelig an på dit website. Mindre websites som blot har brug for basal sikkerhed vil formentlig kunne nøjes med CloudFlare. På den anden side bør større websites og e-commerce platforme overveje en fuld og traditionel HTTPS implementering eller en implementering med Let’s Encrypt. Kører du med subdomæner vil du også kunne se frem til januar næste år, hvor Let’s Encrypt som sagt vil lancere deres wildcard certifikat. Efter en succesfuld implementering anbefaler vi også, at gøre søgemaskinerne opmærksom på ændringen via Google Search Console, så ændringerne bliver crawlet hurtigst mulig. Hvis du har spørgsmål eller søger hjælp til SSL, så hjælper vi dig selvfølgelig også gerne igennem en fuld implementering.

Af Jesper Damtoft

Mit navn er Jesper og jeg er Adwords og SEO ekspert hos Citona. Jeg blogger flittigt omkring emner der omhandler søgemaskiner, annoncering og...
Se alle artikler af Jesper Damtoft

Send en kommentar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

Brug for hjælp?

Har du spørgsmål eller brug for hjælp? Vi vil meget gerne ringe dig op til en uforpligtende dialog.

2785 0203 / man-fre, 9-17

Share This

Modtag vores nyhedsbrev

Vil du have gode tips, guides og nyheder indenfor SEO og online markedsføring?