SSL Analyse af 870.000 danske domæner

Der er meget fokus på sikkerhed på hjemmesiden og GDPR regler så hvor udbredt er SSL certifikater på hjemmesider på trods af de mange varsler og anbefalinger fra Google og eksperter?

Dette satte vi os for

Ud fra en liste på 870.000 aktive domæner ifølge DK-Hostmaster analyserede vi dem for at finde ud at hvor mange af disse der reelt indeholdt hjemmesider og bagefter hvor mange af disse som ledte brugeren videre til den sikre HTTPS version med gyldigt certifikat.

Listen på 870.000 er frisk og verificeret via whois på domænet. Udløbne domæner, domæner på venteliste eller suspenderede er sorteret fra.

Derfor bør en hjemmeside have SSL installeret

Der er flere væsentlige faktorer som begrunder hvorfor der bør installeres et certikat på hjemmesiden

  • Ranking faktor for Google
  • Beskyttelse af dine kunders data
  • Sikring og større troværdighed for din hjemmeside eller webshop
  • Moderne browsere markerer hjemmesiden som usikker når den ikke har SSL.

Ranking faktor for Google

Ifølge Brian Dean fra backlinko som har udført et studie af ranking faktorer har de set en korrelation imellem ranking position og sider som har https hvilket kan give en lille fordel hvis konkurrenterne ikke har.

Beskyttelse af dine brugers data

Data som sendes til og fra serveren kan indeholde følsomme oplysninger i ukrypteret format. En hacker kan derfor udføre et man-in-the-middle angreb hvori der opsnappes disse data. Disse data kan være personfølsomme oplysinger, kreditkort oplysninger samt fortrolige oplysninger som ens virksomhed.

Sikring og troværdighed

Benyttes der en login form på hjemmesiden vil brugernavn og kodeord ikke blive krypteret når det sendes på serveren, derfor vil det være relativt nemt at opsnappe disse info og få adgang til kritiske systemer. Sikring med https vil forhindre dette.

Markering af browsere

Markeres din hjemmeside som usikker så vil mange potentielle kunder gå tilbage hvor de kom fra og lægges deres køb et andet sted. Det er en dyr pris at betale for et billigt certifkat.

Her er det domænet test.dk (som iøvrigt ejes af KMD) som ikke har et certifkat og markeres som usikkeret i Google Chrome.

Læs mere

Sådan blev der testet

Måden som vi verificerede at et domæne indeholdt et certifikat var at der blev forespurgt på denne adresse http://domæne.dk som er et usikkert request og endnu ikke krypteret.

Vi forventer derfor at hjemmesiden automatisk sender os videre til den sikre krypterede version som er https://domæne.dk eller https://www.domæne.dk afhængigt af konfiguration. Kan serveren ikke håndterer dette korrekt vil en alm. bruger også se en usikker hjemmeside ligesom softwaren der testes med.

Se eksempel på hvordan errorlog.dk opfører sig via værktøjet crawled.io og hvor du også kan teste din egen side.

Ønskes der en fuld og in-depth validering af SSL kan dette værktøj benyttes.

Følgende betingelser skal være opfyldt for at domæne markeres med gyldigt certifkat:

  • Certifikat skal bestå verificering, må ikke være self-signed.
  • Der må maks være 10 redirects fra udgangspunktet.
  • Endeligt response skal komme indenfor et 10 sekunders timeout.
  • Den endelige adresse skal starte med https og være på samme domæne.

Testen

Via egenbygget software blev der indexseret 870.000 domæner og analyseret deres response for gyldig hjemmeside og SSL. Testen tog lidt under 30 timer for at gennemgå alle domæner.

Forventninger

Der måtte forventeligt være en god del af domæner som blot er parkeret eller slet ikke opsat på en server, hvorfor disse må lave timeout eller helt mangle et response og blive sorteret fra. Så må der være en lille del som reelt har certifikat installeret men hvor serveren ikke er korrekt opsat til at sende brugeren korrekt videre til https versionen hvilket jo i sidste ende er en sikkerhedsfejl.

Af de sidste domæner med gyldige websites må man forvente at mange af de små hjemmesider som er bygget og håndteret af private ikke har så meget fokus på sikkerhed samt mindre virksomheder som blot har hjemmesiden som en del af deres online visitkort.

Vores gæt lå derfor på at af de 870.000 domæner måtte ca. 40% være dækket ind med et gyldigt certifkat.

Ifølge woorank.com som har lign. statistikker så har de lavet review af ca. 74.000 DK sider og af disse har 39% SSL som du kan se her. Vores datagrundlag er dog langt større og ikke biased af at webmastere selv har været inde og tjekke og derfor ligger i deres index.

Læs mere

Resultatet

Efter scanningen af 870.000 domæner måtte der sorteres 318.000 fra som ikke gav et forventet svar tilbage i rettelig tid. De aktive hjemmesider i testen udgør derfor 552.000.

Af de 552.000 hjemmesider blev der detekteret gyldigt SSL certifkat på 140.000 eller det som der svarer til 25% af de aktive hjemmesider.

Resultatet var overraskende negativt og indikere at selv i 2019 er der rigtig mange hjemmesider som ikke har et gyldigt og korrekt konfigureret SSL certifkat installeret.

One thought on “SSL Analyse af 870.000 danske domæner

  1. overraskende så få sider som ikke har ssl på endnu, troede det var langt højere. Hvor har du din liste med domæner fra?

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *