Naturligvis er sikkerhet en viktig faktor om man driver en seriøs nettbutikk, men det er lett å gå seg vill i alle de tekniske ordene og utrykkene rundt sikkerhet på nett: SSL, HTTPS, TLS, Heartbleed, EV, SV osv.

SSL sertifikat

La oss starte med beste praksis for sikkerhet og nettbutikker: Krypter hele nettbutikken med et SSL sertifikat. Dvs at alle nettbutikkens sider har en nettadresse som begynner med «https://» og at dersom noen går til http://nettbutikk.no så blir de automatisk sendt videre til https://nettbutikk.no.

Det er viktig at SSL sertifikatet er av riktig type og at det er konfigurert riktig. En måte å sjekke dette på er å bruke verktøyet SSL Server Test fra Qualys SSL Labs, og se at du får en karakter som er C eller høyere. Videre så må man ikke blande sikkert og usikkert innhold på samme side. Dersom alt er gjort riktig vil det vises en «grønn hengelås» ved siden av nettsideadressen i nettleseren.

Extended Valdidation

For å gi kunden en ekstra trygghet så anbefales et såkalt «Extended Valdidation» også kallt EV-sertifikat. Dette er dyrere enn et vanlig SSL-sertifikat, og tar lengre tid å ustedet da utgiveren gjør en grunding sjekk på om det oppgitte bedriften faktisk er eieren av domenet. Med et EV-sertifikat vises ikke bare en «grønn hengelås», men også bedriftsnavnet. Dersom du skriver dnb.no i nettleseren vil det stå «DNB Bank ASA [NO]» i dette feltet, og du kan være trygg på at du kommuniserer med en tjener drevet av DNB, og ikke med svindlere.

Dersom man ikke krypterer hele nettbutikken så må man i det minste kryptere de sidene som ber om sensitiv informasjon slik som utsjekken og innlogging til «min side». Hvis ikke kan kortnummer eller passord komme på avveie.

Alexander Haneng

Blogg

Twitter: @ahaneng 

Les om LOAD 17.