Hem till  Industrihistoriska föreningen i Västerås.

Denna artikel "Säker hemsida: https" ligger under Om oss.

Säker hemsida: https

Författat av Ulf Kjellsson.

Inledning

Webbläsaren Chrome markerar alla http-hemsidor med "Inte säker". Man kan också få varningen "Anslutningen till den här webbplatsen är inte säker. Det är möjligt att hackare kan se... ". Detta startade i mitten av 2018. Det var alltså dags att uppgradera hemsidan från http till https. Detta genomförde Industrihistoriska föreningen i Västerås i januari 2019.

https Äntligen hänglåset och https i vår hemsida. (CC BY 4.0)

Varför gör man detta? Det är extra viktigt om man har en webbshop (som hanterar pengar), eller formulär så att utomstående kommer åt att mata in text eller siffror i hemsidan. En del föreningar har sidor med inloggning för styrelsen, möjlighet att kommentera inlägg eller att meddela att man tänker gå på ett evenemang eller dylikt. Det hade inte vi i Industrihistoriska föreningens hemsida, men vi har ju en Google sökfunktion (förstoringsglas upptill till höger) så att utomstående kan mata in sökord, till exempel "Barnevik" och så får man reda på vilka av våra artiklar som har det ordet.

Webbhotellet och referenser

Jag tog kollade vårt webbhotells hemsida hur man gör. Vi använder one.com som webbhotell. Där står att det är kostnadsfritt att göra om sin http-hemsida till en https som ska vara skyddad med ett  SSL-certifikat.. Dom har ett så kallat wildcard SSL-certifikat. Man skulle gå in i File Manager i webbhotellets kontrollpanel och skapa en .htaccess fil. Nu visade det sig att vi redan hade en sådan. Man skulle lägga till några rader i .htaccess-filen med instruktioner som verkar betyda att man byter alla webbadresser i hemsidan från http till https, och sedan trycka på knappen så är det fixat. Jag hade mina funderingar om detta och ville vara helt säker innan jag kanske gjorde bort mig totalt och hela sidan kanske blev obrukbar. För det första gjorde jag backup av hela hemsidan i webbhotellet, och tanken var att man skulle kunna återgå till läget före, vilket inte visade sig behövas.

Sedan kollade jag i slutet av 2018 in övriga industrihistoriska föreningar i Västmanland, om dom hade http eller https. Det visade sig att det var bara en: Arboga elektronikteknikhistoriska förening (AEF). jag kontaktade dom hur det hade gått till. Jag fick då reda på att dom genomfört detta med sitt webbhotell, Loopia, tidigt 2018, men att det hade varit plågsamt och det hade varit många mail fram och tillbaka innan det fungerade. Loopia tar 200 kr/år för certifikatet. Det är tydligen så att det finns olika certifikat, och deras kanske är bättre än det vi fick gratis i one.com.

Därefter kontaktade jag min son som har erfarenhet av detta. Han sa att när man aktiverar ett SSL-certifikat från en tredjepartsfirma så sänder dom automatiskt ett mail till admin@mindomän.se. Man ska då svara på det mailet, men om man inte har den funktionen igång (som vi inte hade) så funkar det inte och ingen vet var felet ligger. Alltså aktiverade jag den funktionen för vår hemsida.
Därefter kontaktade jag one.com's support med detaljerade frågor om vad som skulle hända. Dom skrev att man kunde efter någon tomrad bara lägga till instruktionerna i vår befintliga .htaccess-fil.

Uppdatering av länkar

Sen tänkte jag att om vi i vår hemsida har länkar till andra föreningar som inte har https så blir ju det fel. Därför gick jag genom alla länkar från vår hemsida för att kolla och då visade det sig att flera länkar var inaktiva och behövde uppdateras. Detta alldeles oavsett https. Då uppdaterade jag som som är mest frekvent använda.

Trycka på knappen...

Till slut inväntade jag en dag då jag kunde få support och var i övrigt obokad så att jag skulle kunna ha tid att lösa eventuella problem. På morgonen gjorde jag det där tillägget i .htaccess-filen. Pang. Inget havererade, men jag fick inget litet hänglås. Jag väntade några dagar och då visade det sig att jag fick ett hänglås som försvann efter 2 sekunder. Det var ju mystiskt. Då kontaktade jag support på one.com igen.

Svaret kom ganska snart: Anledningen till att sidan inte visas som säker är att det finns en url som fortfarande laddar via http, så detta behöver åtgärdas. Dom sände en länk till  "why no padlock" som kollar upp varför vi inte hade något hänglås.

Jaha, så då körde jag den där "why no padlock" och fick då reda på att det var en inbyggd gammal sidvisningsräknare som varit med sedan starten 2005 som sade ungefär att vi hade haft 15 000 sidvisningar sedan starten 2005. Den hade jag glömt och den gick ta bort, eftersom jag använder Google Analytics för analys av sidvisningar per artikel och månad. Jag tog bort den lilla programvaran och nu fungerar hänglåset och https. Skönt!

Ulf Kjellsson 2019-02-20

Artikeln är licensierad enligt Creative Commons  (CC BY 4.0).

Tillbaka till toppen