Hva er et SSL-sertifikat, og hva gjør det?

Et SSL-sertifikat er et digitalt dokument som autentiserer en nettsides identitet og muliggjør krypterte tilkoblinger. Det knytter en kryptografisk nøkkel til en organisasjons opplysninger, og sikrer at data som overføres mellom en brukers nettleser og serveren forblir private og beskyttet mot avlytting fra tredjeparter.

Hvordan kan jeg sjekke om en nettside har et gyldig SSL-sertifikat?

Se etter «https://» i begynnelsen av URL-en og et hengelåsikon i nettleserens adressefelt. Ved å klikke på hengelåsen vises sertifikatdetaljer, inkludert utstedende myndighet og utløpsdato. En advarselsside eller en ødelagt hengelås indikerer et ugyldig, utløpt eller ikke-betrodd sertifikat.

Hva er forskjellen mellom SSL- og TLS-sertifikater?

SSL (Secure Sockets Layer) er den eldre protokollen, som i stor grad er erstattet av TLS (Transport Layer Security), som tilbyr sterkere kryptering og sikkerhet. Til tross for dette kalles sertifikater fortsatt «SSL-sertifikater». Moderne nettsider bruker faktisk TLS, men begrepet SSL har holdt seg på grunn av utbredt historisk kjennskap i bransjen.

Bruker VPN-er SSL-sertifikater, og hvorfor er det viktig?

Ja, mange VPN-tjenester bruker SSL/TLS-sertifikater for å autentisere servere og etablere krypterte tunneler. Dette hindrer brukere i å koble til falske eller ondsinnede VPN-servere. Gyldige sertifikater bekrefter at du kommuniserer med din legitime VPN-leverandør, noe som gjør sertifikatvalidering til en kritisk del av den overordnede VPN-sikkerheten.

SSL Certificate

SSL-sertifikater: Internettets digitale ID-kort

Når du besøker en nettside og ser et hengelåsikon i nettleserens adressefelt, ser du det synlige resultatet av et SSL-sertifikat som gjør jobben sin. Men hva er egentlig dette sertifikatet, og hvorfor bør alle som er opptatt av personvern på nett forstå hvordan det fungerer?

Hva er et SSL-sertifikat?

Et SSL-sertifikat (Secure Sockets Layer) er en liten digital fil som er installert på en webserver og har to kjerneformål: det verifiserer identiteten til nettsiden du besøker, og det muliggjør kryptert kommunikasjon mellom enheten din og serveren. Til tross for navnet bruker moderne sertifikater faktisk TLS (Transport Layer Security), en mer avansert protokoll – men begrepet «SSL-sertifikat» har hengt igjen i daglig språkbruk.

Tenk på det som et offentlig utstedt ID-kort for nettsider. På samme måte som et pass beviser hvem du er ved en grenseovergang, beviser et SSL-sertifikat at en nettside faktisk drives av den den utgir seg for å være.

Hvordan fungerer det?

SSL-sertifikater utstedes av betrodde tredjepartsorganisasjoner kalt sertifikatutstedere (Certificate Authorities, CA-er) – eksempler inkluderer Let's Encrypt, DigiCert og Comodo. Før et sertifikat utstedes, verifiserer CA-en søkerens eierskap av domenet (og noen ganger organisasjonens juridiske identitet).

Her er en forenklet versjon av hva som skjer når du kobler til en sikret nettside:

Nettleseren din ber om en sikker tilkobling til nettsiden.
Serveren sender sitt SSL-sertifikat, som inneholder den offentlige krypteringsnøkkelen og identitetsinformasjon.
Nettleseren din verifiserer sertifikatet mot en liste over betrodde CA-er som er innebygd i operativsystemet eller nettleseren din.
En sikker økt opprettes ved hjelp av asymmetrisk kryptering for å utveksle en øktsnøkkel, som deretter krypterer all videre kommunikasjon symmetrisk.

Hele denne prosessen – kalt TLS-håndtrykket – tar millisekunder og skjer automatisk uten at du gjør noe som helst.

Hvorfor det er viktig for VPN-brukere

Hvis du bruker en VPN, kan du anta at tilkoblingen din allerede er sikker – og det ville du i stor grad ha rett i. Men SSL-sertifikater er fortsatt viktige på flere måter.

VPN-leverandørers nettsider og apper bruker også SSL-sertifikater. Når du logger inn på VPN-kontoen din, laster ned en app eller administrerer abonnementet ditt, er denne kommunikasjonen beskyttet av et SSL-sertifikat. Et manglende eller ugyldig sertifikat på VPN-leverandørens nettside bør være et alvorlig varseltegn.

SSL og VPN-kryptering fungerer sammen. En VPN krypterer trafikken din på nettverksnivå, mens SSL/TLS krypterer data på applikasjonsnivå. Når du besøker en HTTPS-nettside gjennom en VPN, er dataene dine i praksis dobbeltkryptert – én gang av nettsidens SSL, og én gang til av VPN-tunnelen.

SSL-sertifikater bidrar til å forhindre man-in-the-middle-angrep. Uten sertifikatverifisering kan en angriper som befinner seg mellom deg og en nettside avlytte og dekryptere trafikken din. Sertifikatvalidering gjør denne typen angrep betydelig vanskeligere å gjennomføre uten å bli oppdaget.

Bedrifts-VPN-er utfører noen ganger SSL-inspeksjon. I forretningsmiljøer kan en bedrifts VPN eller brannmur avslutte SSL-tilkoblinger og re-inspisere trafikk før den videresendes – en teknikk kalt SSL/TLS-inspeksjon. Dette er verdt å vite om du er bekymret for personvernet ditt på et arbeidsnettverk.

Praktiske eksempler

Netthandel og nettbank: Hver gang du oppgir et kredittkortnummer eller bankpassord på nett, er det SSL-sertifikater som sørger for at disse dataene ikke kan leses hvis de avlyttes.
Risikoer ved offentlig Wi-Fi: På et usikret kaffebarnett er SSL-sertifikater en kritisk siste forsvarslinje hvis du ikke bruker en VPN.
Oppdagelse av phishing: Falske nettsider bruker ofte SSL-sertifikater nå (en hengelås betyr ikke automatisk trygt), så det er fortsatt viktig å sjekke domenenavnet nøye.
VPN-innloggingsportaler: Fjerntilgangs-VPN-er og bedriftswebportaler bruker SSL-sertifikater for å autentisere serveren før du oppgir legitimasjon.

Konklusjonen

SSL-sertifikater er en grunnleggende del av internettets sikkerhetsinfrastruktur. De autentiserer identitet, muliggjør kryptering og beskytter hverdagskommunikasjon mot avlytting og manipulering. For VPN-brukere spesielt bidrar forståelsen av SSL til å klargjøre hvorfor lagdelt sikkerhet – som kombinerer VPN-er, HTTPS og sertifikatverifisering – gir langt sterkere beskyttelse enn én enkelt teknologi alene.

SSL CertificateMiddels