Naturligvis er sikkerhet en viktig faktor om man driver en seriøs nettbutikk, men det er lett å gå seg vill i alle de tekniske ordene og utrykkene rundt sikkerhet på nett: SSL, HTTPS, TLS, Heartbleed, EV, SV osv.
SSL sertifikat
La oss starte med beste praksis for sikkerhet og nettbutikker: Krypter hele nettbutikken med et SSL sertifikat. Dvs at alle nettbutikkens sider har en nettadresse som begynner med «https://» og at dersom noen går til http://nettbutikk.no så blir de automatisk sendt videre til https://nettbutikk.no.
Det er viktig at SSL sertifikatet er av riktig type og at det er konfigurert riktig. En måte å sjekke dette på er å bruke verktøyet SSL Server Test fra Qualys SSL Labs, og se at du får en karakter som er C eller høyere. Videre så må man ikke blande sikkert og usikkert innhold på samme side. Dersom alt er gjort riktig vil det vises en «grønn hengelås» ved siden av nettsideadressen i nettleseren.
Extended Valdidation
For å gi kunden en ekstra trygghet så anbefales et såkalt «Extended Valdidation» også kallt EV-sertifikat. Dette er dyrere enn et vanlig SSL-sertifikat, og tar lengre tid å ustedet da utgiveren gjør en grunding sjekk på om det oppgitte bedriften faktisk er eieren av domenet. Med et EV-sertifikat vises ikke bare en «grønn hengelås», men også bedriftsnavnet. Dersom du skriver dnb.no i nettleseren vil det stå «DNB Bank ASA [NO]» i dette feltet, og du kan være trygg på at du kommuniserer med en tjener drevet av DNB, og ikke med svindlere.
Dersom man ikke krypterer hele nettbutikken så må man i det minste kryptere de sidene som ber om sensitiv informasjon slik som utsjekken og innlogging til «min side». Hvis ikke kan kortnummer eller passord komme på avveie.
Alexander Haneng
Twitter: @ahaneng