Att göra sina bankärenden över Internet har blivit vardag för många av oss. Vi lite mer tekniskt intresserade har även lärt oss att göra skillnad på HTTP och HTTPS. Det sista S:et står för att vi har upprättat en säker kommunikation mellan webbläsaren och webbplatsen vi gör våra bankärenden på.
Men hur fungerar egentligen det här?
Certifikat
Grunden till säker kommunikation över internet är certifikat, vilka kan liknas vid digitala ID-kort. Innan kommunikationen startar visar servern sitt certifikat för webbläsaren. I normala fall sker detta utan att du märker det, men om certifikatet verkar suspekt så visas en varning.
Om webbläsaren säger så här går vi glatt vidare med våra bankärenden:
Men om webbläsaren presenterar webbplatsen så här skulle bara de mest lättlurade gå vidare:
Rotcertifikat
Din webbläsare har lärt sig känna igen ett antal olika certifikat, vilket kan liknas vid att det har lärt sig känna igen ett antal olika ID-kort. En normal banktjänsteman accepterar ID-kort från ett fåtal företag, men din webbläsare känner igen certifikat från minst 25 olika företag.
För att din webbläsare skall godkänna ett certifikat måste utfärdarens rotcertifikat installeras i datorn. Rotcertifikat kan komma med datorns operativsystem eller installeras med webbläsaren.
En egen webbserver?
Om du har en egen server (till exempel Microsoft Small Business Server) och vill att den skall kunna använda HTTPS måste du installera ett certifikat. Det finns i stort sett två grundalternativ för hur du får tag i ett certifikat:
- Du kan utfärda ett eget certifikat.
- Du kan köpa ett certifikat från något företag.
För att utfärda ett eget certifikat behöver du installera en Certificate Authority, eller kort och gott en CA. Har du en Windows-domän har du redan en CA, det finns inbyggt. Detta är att jämföra med att du som företag väljer att trycka upp egna ID-kort till alla anställda.
De enheter som ansluter till din webbserver måste känna till rotcertifikatet för din CA, annars kommer de inte att lita på certifikatet som webbservern presenterar. Detta är att likna att alla på företaget måste utbildas i att känna igen företagets egna ID-kort.
Alternativet är att du köper något certifikat från ett företag. Även här gäller det att tänka efter, du måste köpa från något av de företag som har ett rotcertifikat i de enheter du vill använda. Mobiltelefoner innehåller normalt färre rotcertifikat än vanliga webbläsare.
Certifikat för Microsoft Small Business Server
SBS är i sin grundkonfiguration installerad med ett egenutfärdad certifikat. När du ansluter mot t ex Outlook Web Access från en dator som inte är med i din Windows-domän (t ex från ett Internetcafé) kommer webbläsaren att varna dig om att utfärdaren av certifikatet är okänd.
Varningen i webbläsaren är kanske hanterbar, men värre är det med mobiltelefoner. Vissa versioner av Windows Mobile tillåter inte att du synkroniserar mot en server om inte certifikatet går att verifiera. Sony Ericsson låter dig normalt synkronisera men du måste bekräfta certifikatet varje gång.
Lösningen är enligt ovan att installera ditt eget rotcertifikat i telefonen, men tyvärr är det inte alltid enkelt. Olika telefoner har olika tillvägagångssätt. Vissa äldre HTC-telefoner låter dig inte ens installera egna rotcertifikat om du inte installerar en hotfix för Windows Mobile.
Jag rekommenderar starkt att man i stället byter till ett publikt certifikat. Jag rekommenderar GeoTrust Premium från SSL Direct. Det kostar 89 dollar per år i skrivande stund, du betalar med kort, all verifiering sker via e-post och normalt kan du genomföra hela projektet på mindre än en timme. Dessutom fungerar det i alla mobiltelefoner jag har stött på.
Har du hittat ett billigare certifikat som stöds av mobila enheter får du gärna lämna en kommentar…