FS Data

FS Data - webbhotell, domännamn, e-post, servrar

SSL-certifikat – mer aktuellt än någonsin!

Alla känner vi nog till att en säker hemsida är en bra hemsida och detta är något som hela webb-branschen just nu lägger stort fokus på.
Företag som Google och Mozilla har tagit detta på så pass stort allvar att de inom närmsta månaderna kommer att flagga alla hemsidor som saknar ett SSL-certifikat som osäkra.

Att använda ett SSL-certifikat på sin webbplats och ge besökare möjlighet att surfa via https:// istället för http://, är som bekant en väldigt bra sak. Med SSL är trafiken mellan en webbplats och dess besökare krypterad. Utan SSL skickas all data (t.ex. användaruppgifter) i klartext mellan webbplatsen och besökarna.

Om du inte redan gjort det så är det hög tid att skaffa ett SSL-certifikat och vi på FS Data erbjuder flera olika certifikat i olika prisklasser. Förutom betalcertifikat så erbjuder vi även kostnadsfria certifikat för alla våra webbhotellkunder på Linux-plattformen.

Efter att man köpt eller aktiverat ett SSL-certifikat så behöver man styra om sin hemsida så att den omdirigerar mot den säkra versionen. Detta behöver man oftast göra i det verktyg som hemsidan är byggd i, exempelvis Joomla eller WordPress.
Man behöver även säkerställa att länkarna i databasen pekar mot den säkra versionen och man behöver uppdatera länkningar för exempelvis stilmallar, JavaScript med mera.

Om ni kör WordPress så har vi en detaljerad guide hur ni går tillväga här!

Har du frågor om SSL-certifikat eller om hur du styr om din sida så är ni varmt välkommen att kontakta att kontakta vår kundsupport.

Aktuella uppgraderingar av SSL och PHP

FS Data förbättras hela tidenPå FS Data värnar vi om att erbjuda våra kunder så snabba, säkra och stabila tjänster som möjligt. Det är en ständigt pågående process, där en av de viktigaste delarna är att ständigt ligga i framkant av den tekniska utvecklingen.

Våra månadsvisa servicefönster är ett bra exempel på hur vi arbetar här.

Utöver våra servicefönster genomför vi även särskilda insatser för specifik mjuk- och hårdvara. Just nu arbetar vi extra med vissa uppgraderingar av SSL och PHP, som vi vill informera er om här.

– OpenSSL med TLS 1.2

Vi uppgraderar OpenSSL på samtliga Linux-baserade webbservrar. Detta berör främst kunder med SSL-certifikat installerade för sina hemsidor. Vi skiftar även till TLS 1.2, en bättre implementation av SSL som både är bakåtkompatibelt och framtidssäkrad.

Kunder med SSL-certifikat behöver inte göra något i samband med detta.

TLS 1.2 kommer att implementeras för samtliga SSL-baserade tjänster hos oss. Vi räknar inte med att våra kunder ska märka av uppgraderingen, men det kan eventuellt påverka användare med väldigt gamla SSL-klienter (webbläsare, e-postprogram osv). Det finns även en chans att tidigare utfärdade serversignaturer för SSH- och SFTP-anslutningar kan behöva uppdateras.

Men som sagt, vi gör allt för att uppgraderingen av OpenSSL och skiftet till TLS 1.2 ska gå obemärkt förbi.

– PHP 7.0 med komprimering

Vi har länge erbjudit ett brett utbud av olika PHP-versioner för våra webbhotellskunder. Som kund hos oss kan man välja mellan PHP 5.2, 5.3, 5.4, 5.5, 5.6 eller 7.0 för sin hemsida (via vår kontrollpanel). Samtliga versioner av PHP har ett frikostigt stöd för olika funktioner avseende t ex bild- och filhantering.

PHP 5-versionerna har även stöd för komprimering, vilket avsevärt snabbar upp våra kunders hemsidor. När vi införde PHP 7 i slutet av förra året så var den versionen alldeles ny och komprimeringsstödet var inte tillräckligt stabilt för vår servermiljö. Men vi har fortlöpande testat det och funnit att komprimeringen med PHP 7 nu även kan aktiveras.

Det är denna uppgradering som nu sker med PHP 7.

Vid uppgraderingen av PHP 7 så kan vissa databasanslutningar sluta fungera, om man har en hemsida eller hemsidelösning som använder en äldre databaskoppling. Om ni använder PHP 7 och märker att en databasanslutning slutar fungera, logga då in i vår kontrollpanel och byt till en PHP 5-version så kommer databasanslutningen att fungera igen.

Meddela sedan vår kundtjänst så byter vi databaskoppling manuellt. Därefter kan PHP 7 (med komprimering) användas igen.

Alla uppgraderingar sker som planerade arbeten med tydlig information publicerad på vår driftstatussida. Arbetet utförs givetvis även sen kväll/natt, när våra kunders hemsidor har så få besökare som möjligt.

Om ni har några frågor kring detta, lämna gärna en kommentar nedan eller kontakta vår kundtjänst.

Säkerställ WordPress med SSL

Säker WordPress med SSLAtt använda ett SSL-certifikat på sin webbplats, dvs. att ge besökare möjlighet att surfa via https:// istället för http://, är som bekant en väldigt bra sak. Med SSL är trafiken mellan en webbplats och dess besökare krypterad. Utan SSL skickas all data (t ex användaruppgifter) i klartext mellan webbplatsen och besökarna.

SSL är även något som, inom vissa ramar, ska ge bättre placeringar i sökmotorer såsom Google här framöver. Det är ingen kritisk faktor för SEO, som vi har berättat tidigare, men det är alltjämt en liten fördel.

Den enda nackdelen med SSL är att det kan vara lite svårt att få till. Det vill vi råda bot på, genom att visa hur man säkerställer en WordPress-sida med SSL. Så häng med och säkra upp din WordPress-sida nu!

Förutsättning: Ett SSL-certifikat

Börja med att ordna ett SSL-certifikat. Vi har en utmärkt guide till hur man gör det med webbhotell hos oss: FS Data manualer, Säkerställ en webbplats med SSL. Ett aktivt och fungerande SSL-certifikat är en förutsättning för att gå vidare med denna guide.

Konfigurera WordPress för SSL

Om du besöker din WordPress-baserade hemsida, på din https-adress, när SSL-certifikatet har installerats så kommer du bli rätt så förvånad. Hemsidan har nämligen helt tappat sina stilmallar (CSS) och varningar visas om ”osäkert innehåll”. Det är inget att bli orolig över.

Din WordPress-sida byter inte automatiskt till https när SSL-certifikatet är installerat. WordPress är konfigurerat för en (http) adress sedan tidigare, så dina besökare märker inte om/när SSL-certifikatet är installerat.

Det finns två huvudsakliga sätt att arbeta med SSL i WordPress:

Alternativ 1: säkerställ enbart inloggning/administrationspanel

Det här är det enklaste sättet. Fördelarna här är att användaruppgifterna hanteras via SSL (man loggar in säkert) och att man inte måste ändra sökvägar till filer/bilder. Detta kräver även mindre serverresurser (vilket kan ge en snabbare hemsida). Om man inte måste säkerställa hela webbplatsen med SSL så är detta sätt att föredra.

För att enbart säkerställa inloggning/administrationspanel, lägg in följande rad i wp-config.php:

define('FORCE_SSL_ADMIN', true);

Spara wp-config.php och ladda om hemsidan. Logga sedan in i /wp-admin så ser du att anslutningen är säker.

Alternativ 2: Säkerställ hela WordPress

Fördelen med detta sätt är givetvis att hela webbplatsen säkerställs med SSL. Oavsett om man är inloggad eller inte så surfar man via en krypterad anslutning. Nackdelarna är att det kräver mer serverresurser och att man måste ändra (rätt så många) sökvägar till filer/bilder.

Dessutom kan man t ex inte enkelt använda WordPress med ett CDN.

1. Rätta sökvägar till filer/bilder

Börja med att installera och aktivera WordPress-tillägget SSL Insecure Content Fixer. Detta tillägg skriver automatiskt om http till https för ett stort antal systemfiler i WordPress. Om ditt WordPress-tema är rätt utvecklat så kommer t ex stilmallarna att fungera under https med detta tillägg.

Därefter behöver sökvägarna till bilderna rättas. Det gör man enklast med ett tillägg som vi har tipsat om tidigare: Ett enkelt sätt att byta sökvägar i WordPress. Installera och aktivera tillägget samt byt sökväg från http://mindomän.se till https://mindomän.se (som exempel). Uppdatera sökvägarna för allt förutom GUIDs.

Om du har sökvägar hårdkodade t ex i ditt tema så behöver du även uppdatera dessa från http till https.

2. Skriv om allt från http:// till https://

Till sist är det dags att skriva om http till https i adressfältet på hela WordPress-webbplatsen. Om man kör vanliga WordPress (inte Multisite, med nätverksfunktionen) så är det bara att gå in i /wp-admin under ”Inställningar” > ”Allmänt” och ändra WordPressadress (URL) samt Webbplatsadress (URL) från http till https.

Om man däremot kör WordPress i ett nätverk så behöver man lägga in följande rader i .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Spara .htaccess-filen och ladda om hemsidan. Nu kommer hela WordPress att vara säkerställd via SSL. Dessutom skrivs tidigare adresser om rätt, så att du t ex inte tappar värdefulla positioner i sökmotorer. Denna omskrivning fungerar även med nätverksfunktionen (med subdomäner) i WordPress.

3. Kontrollera din webbplats med SSL

Om du säkerställer hela din webbplats med SSL, kontrollera då att alla sidor fungerar ordentligt efteråt. Om du ser att låset i adressfältet är trasigt på en sida så behöver du ta reda på vad det är som orsakar detta. Med webbläsaren Firefox kan man t ex göra det via ”Verktyg” > ”Webbutvecklare” > ”Webbkonsolen”.

Här är ett exempel:

http://www.onlinegroup.com/varumarken/

Den främsta orsaken till att SSL-sidor inte fungerar är att man bäddar in externa element (script/bilder) via http. För att en sida ska vara helt säker måste alla element levereras via https. Detta är vanligt om man använder WordPress-tillägg för social delning (via Twitter/Facebook) som gör externa anrop. För tips på ett tillägg som inte gör externa anrop, läs vårt tidigare inlägg ”Sluta spåra dina besökare (åt andra)”.

Avslutningsvis, ett par kommentarer:

– Det finns ett antal olika WordPress-tillägg som möjliggör SSL. Vi har testat flera av dem, bl a WordPress HTTPS (SSL), Force SSL och Verve SSL. Även om de fungerar i varierande utsträckning (med/utan WordPress nätverksfunktion) så är det bättre att aktivera SSL i WordPress utan tillägg.

– Det går även att säkra enbart inloggningen i WordPress (med flaggan FORCE_SSL_LOGIN, istället för FORCE_SSL_ADMIN, enligt det första alternativet ovan). Vi rekommenderar dock att man säkerställer både inloggning och administrationspanel.

Svårare än så här är det inte att få en säker WordPress-sida. Om du har några frågor kring detta, eller har tips på andra sätt att arbeta med SSL i WordPress, så får du gärna lämna en kommentar här nedan.