Google favoriserar https

Som Google meddelade för några månader sedan gällande att de avser att favorisera webbsajter som använder sig av https är nu officiellt bekräftat.

Detta är så klart en bra utveckling men många webbhotell åtminstone i Sverige verkar inte riktigt vara med på banan.

För att citera några webbhotell:

”För att ha SSL-certifikat under eget domännamn krävs en egen IP-adress” – Loopia

”Ett SSL-cert med inkluderad privat ipv4-adress” – Binero

Det behövs ej egen IP-adress utan Server Name Indication (SNI) finns implementerat i TLS (SSL) och bör användas istället. Som alla vet så är IP-adresserna slut sedan länge och att slösa på detta sätt gynnar ingen som webbhotellen föreslår.

Att kräva privat IP-adress för tls är lite 1900-tal tycker jag, eller i varje fall före 2010. Vid 2010 påstår jag tåget gick.

Skriver Internetgurun Patrik Fältström i gruppen Kodapor på Facebook.

Det finns även en mängd andra saker som bör tänkas på (lämna gärna en kommentar om jag glömt något mer)

  • Använd protokollrelativa URL:er dvs // istället för http://domän (finns i RFC 1808 sedan 16 år tillbaka)
  • Testa så du får bra betyg via Qualys SSL-Test
  • Håll koll på när certifikatet förfaller
  • Hur gör du revokering om något inträffar såsom Heartbleed?
  • Använd PFS, secure cookies och HSTS.
  • Vilket certifikat ska användas? Domänvaliderat eller EV? Wildcard?
  • Kontollera så du ej har mixed content:

Mixed content

Lättaste sättet att hitta mixed-content är enligt mig att använda Chrome Developer Tools och klicka på Networks-tabben.

Och jag säljer så klart SSL-Certifikat via https.se.

6 reaktioner på ”Google favoriserar https

  1. Jag kollade faktiskt på https://https.se igår just av den här anledningen. Jag läste lite och vad jag förstår är det ganska bökigt att fixa detta på en shared hosting hos exempelvis Loopia… om det ens är möjligt?

    Helst skulle man bara vilja betala 500 kr, klicka på en aktiveringsknapp och sen är det färdigt men det väl knappast i närheten av så enkelt.

  2. Det är helt riktigt att man slipper ifrån behovet av ett eget IP om man har SNI. Att implementera SNI i vår miljö kräver dock en del utvecklingsarbete, vilket är kostsamt och tyvärr inte högst upp på vår prioriteringslista över utvecklingsprojekt just nu.

    Dessutom är det faktiskt många kunder, i synnerhet de som är lite extra intresserade av SEO, efterfrågar ett eget IP. Även om IP-adresserna är slut, betyder det inte att vi som ISP har slut på dem. Vi använder väldigt få IP:n till vår verksamhet i övrigt, så den lösning vi har idag är hållbar för oss och faktiskt en bättre tjänst för den enskilde kunden. Till ett bra pris.

    MVH
    Christer
    Binero marknad

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *