Sedan i fredags går det inte längre att besöka min webbplats på adressen https://anders.thoresson.se. Istället är det https://anders.thoresson.se som gäller. Den extra bokstaven som är skillnaden mellan http och https betyder att den här texten och allt annat innehåll på min webbplats skickades krypterat från min webbserver till din webbläsare. S står för secure. Varför undrar du kanske? Här finns ju ingen känslig information.
Sedan våren 2015 går det bara att besöka min webbplats på adressen https://anders.thoresson.se. Den extra bokstaven som är skillnaden mellan http och https betyder att den här texten och allt annat innehåll på min webbplats skickades krypterat från min webbserver till din webbläsare. S står för secure.
Varför undrar du kanske? Här finns ju ingen känslig information.
Kanske inte för dig. Eller för mig. Men det är inte vår sak att avgöra.
Börja med att läsa om hur Bris slarvat med krypteringen på bris.se. I samband med den texten ställde jag mig frågan om vem som lär våra barn att titta efter ett hänglås i webbläsarens adressfält.
Eftersom jag skriver en hel del om nätsäkerhet här på min webbplats vill jag att de som är intresserade av de frågorna ska kunna läsa utan att någon – en förälder eller arbetsgivare – tittar över axeln. Och som jag skrev i somras: Det räcker med att söka efter Tails eller Tor för att bli misstänkt av NSA.
(Av samma anledning tycker jag för övrigt att alla redaktioner borde flytta sina webbplatser till en krypterad förbindelse. Deras publik ska inte behöva fundera över vem som möjligen tittar på vilka artiklar de läser.)
Den andra aspekten handlar om de tips som då och då trillar in via formuläret. Än har det inte handlat om några känsliga saker. Och skulle någon vilja tipsa mig om något hemligt så uppmanar jag till andra kontaktvägar. Men genom att kryptera sidan så gör jag åtminstone något för att skydda källan. Jag tycker helt enkelt att vi som jobbar som journalister har ett ansvar för hur vi ber om tips och att vi bör göra vad vi kan för att få in dem på lämpligast möjliga sätt.
Hur svårt var det att flytta till https? #
Jag har haft “Flytta anders.thoresson.se till https” på min att göra-lista ganska länge. Men det har inte blivit av. Jag har utgått från att det är en bökig och svår process. Men efter att ha twittrat ut länken till min text om journalister och källskydd fick jag ett påpekande om att min egen webbplats saknar https.
Då bestämde jag mig för att åtminstone undersöka exakt hur bökigt det skulle vara.
Inte alls, visade det sig. Knappt åtta timmar efter uppmaningen kunde jag nöjt meddela omvärlden att webbplatsen fått https. Och den effektiva tiden handlade om mindre än tre timmar.
Hos mitt webbhotell kunde jag köpa det SSL-certifikat som behövs för krypteringen och installera det. Det kostar 495 kronor per år, men med bakgrund i de argument jag lyfter fram ovan menar jag att det är värt de pengarna.
För att sedan flytta webbplatsen från https://anders.thoresson.se till https://anders.thoresson.se använde jag tre plugins till Wordpress:
iThemes Security använder jag sedan tidigare, för att säkra upp olika aspekter av min webbplats. Det visade sig att det tillägget hade en inställning för att aktivera SSL.
Jag kom dock inte hela vägen med iThemes Security utan behövde också installera SSL Insecure Content Fixer och Velvet Blues Update URLs. Det förra ser till att en del interna länkar flyttar från http till https, det senare gör det möjligt att snabbt och enkelt ändra sökvägar till exempelvis alla mina bilder så att även de skickas över en krypterad förbindelse.
Slutligen gick jag in och ändrade webbplatsens adress till https://anders.thoresson.se i Wordpress kontrollpanel.
När det var gjort dök det hänglåset upp i webbläsaren, hänglåset som indikerar att innehållet i webbläsaren har skickats krypterat.
Nu återstår bara att göra de sista justeringarna så att jag höjer sajtens betyg från B till A i SSL Labs test.