Sådan fik jeg topscore på min hjemmeside hos “Sikker på nettet”

Hvor sårbar er din hjemmeside? – For dig og for dine kunder? Det kan du nu teste på hjemmesiden sikkerpånettet.dk

Hvem er sikkerpånettet.dk?

Sikkerpånettet.dk er udviklet af DK Hostmaster og en række partnere, som et led i arbejdet med at fremme internetudviklingen i samfundet.

Hvem står bag sikkerpånettet.dk?

Det gør flere forskellige offentlige institutioner og virksomheder, og du kan se hele listen nederst på sikkerpånettet.dk

Hvad er formålet?

Formålet er at få mere fokus på sikkerheden på virksomheders hjemmesider.

Hvad bør jeg gøre?

Du bør teste din hjemmeside på sikkerpånettet.dk. Det tager et par minutter, og du vil få en score fra 0-100, med hvor sikker din hjemmeside er.

Kan jeg bruge resultatet til noget?

Ja, der testes på en del relevante parametre. Udfordringen er dog, at resultatet kræver forskellige ekspertiser, der ofte ikke bare findes hos en person, og måske slet i din virksomhed.

Egen erfaring med at komme fra 45% til 100%:

Da jeg startede med at teste min hjemmeside www.schmitto.dk, fik jeg en lav score. Det er selvfølgelig ikke OK, taget i betragtning af at jeg markedsfører mig som sikkerheds ekspert 🤓.

Dele af resultaterne kunne jeg godt forholde mig til, f.eks. at min hjemmeside ikke kører den nyeste og bedste kryptering.

Kommunikationen https:

Jeg forudsætter, at din hjemmeside kun vil acceptere https kommunikation. Så når du skriver www.schmitto.dk, vil min hjemmeside kun kommunikere via TLS 1.3. Mange hjemmesider tilbyder dog ofte at gå ned i TLS version. Måske helt ned til version 1.0, der i dag betragtes som en usikker version. Hjemmesider tilbyder dette, så man er sikker på at de er kompatible med stort set alle browsere. Men det er altså ikke OK. Hvis du vil have en sikker hjemmeside skal kun tilbyde version 1.3 og nyere.

DNSSEC:

DNSSEC gør det sværere at overtage din DNS, så din hjemmeside “udskiftes”. Sker dette tror kunder, at de er på din side, men faktisk har en hacker omdirigeret til en hjemmeside han kontrollerer.

Sikkerhedsindstillinger:

Der testes for forskellige Sikkerhedsindstillinger på din hjemmeside, blandt andet for at sikre imod, at den ikke kan misbruges af eksterne angribere, der vil tilføje data til hjemmesiden

Jeg valgte at bruge Cloudflare:

Cloudflare er en DNS service, der også tilbyder, at din hjemmeside trafik kører igennem deres verdens omspændende netværk. Når din hjemmeside trafik kører igennem deres netværk, tilbyder de forskellige services, der optimerer og sikrer din hjemmeside. De tilbyder også betalte services som Web applikations firewall og beskyttelse mod DDOS angreb med mere.

Den service jeg bruger er gratis, og giver udover DNS services nogle ekstra muligheder, såsom at sikre at besøgende til min hjemmeside skal køre TLS version 1.3.

Husk også at opdatere din hjemmeside.

Cloudflare beskytter som udgangspunkt ikke din hjemmeside mod de angreb, hvor angriberen udnytter en sårbarhed. Med mindre du tilkøber Cloudflare web applikations firewall. Så du skal stadig sikre dig, at din hjemmeside sikkerhedsopdateres.

Er Cloudflare kun godt?

Nej, der er også udfordringer med brugen af Cloudflare. Trafikken til din hjemmeside skal jo pludselig igennem en service, som du ikke har kontrol over. Så hvis Cloudflare er nede eller gør uventede ting, ja så kommer besøgende måske ikke frem til din hjemmeside. Du kan altid se Cloudflare Status.

Mit setup er ikke fejlfrit.

Man kan gå til min hjemmeside uden om Cloudflare, hvis man kender IP-adressen. Så hvis man vil sikre at al trafik skal passere Cloudflare, skal der laves en regel på firewall’en foran ens hjemmeside, der kun tillader web trafik fra Cloudflare. Så har du en større hjemmeside og gerne vil udnytte Cloudflare muligheder, vil jeg foreslå at du vælger en af deres betalte services, hvor du også kan få hjælp til setup.

Problemer og udfordringer

Jeg ved heller ikke hvilke problemer jeg kan få med de settings jeg har sat i Cloudflare, men allerede nu kan jeg se at det giver problemer at publicere links til artikler på hjemmeside på Linkedin. Det tyder på de kun understøtter TLS 1.2, så når de skal hente billede og link til artiklen fejler det da jeg kun understøtter TLS 1.3.

Så jeg vil nok i et senere nyhedsbrev komme med erfaringer med setup, og hvordan jeg løste dem.

Referencer for mere info:

  • Vil du holde dig opdateret med seneste nyt inden for IT sikkerhed?

    Du får tips og rådgivning til IT-sikkerhed direkte i din indbakke hver anden fredag.

    Schmitto A/S vil bruge den info som du har givet til og udsende email med nyheder, tips og tricks, invitationer til webinar og måske også et godt tilbud