ANNONS

Google tvingar e-handlare att kryptera kassan

Google tvingar e-handlare att kryptera kassan
En vanlig syn framöver

Efter att Google fått e-handlarna att mobilanpassa sig under förra året kommer nu nästa våg av påtryckningar.

ANNONS

Redan 2014 berättade vi att Google skulle börja belöna sidor som satsade på kryptering i form av HTTPS och SSL-certifikat. Belöning är dock inte vägen till framgång visar det sig när Google nu börjar stänga av e-handlare.

E-handlare som annonserar via Google och deras tjänst Google Shopping, tänk produktannonserna med bilder, måste nu använda HTTPS i kassan. Från och med februari 2016 är det ett krav på en krypterad kassa, annars blir butiken avstängd ifrån Google Shopping.

Från det att kunderna börjar skriva in uppgifter i nätbutiken måste e-handlaren jobba med en krypterad koppling via HTTPS och ett SSL-certifikat. SSL har numera ersatts av TLS men kallas ofta SSL ändå, som står för Secure Sockets Layer, helt enkelt en säker kanal där man kan överföra känslig data. TLS är en vidareutveckling av SSL och står för snarlika "Transport Layer Security".

Är Googles krav orimliga?

Googles krav på en säker anslutning är självklart inte orimligt. Det är ingen dum idé att kryptera kundernas uppgifter. Problemet är att det kostar pengar att skaffa HTTPS, om man inte redan har det. Du behöver bland annat ett certifikat, vilket man dock ska kunna skaffa gratis via den relativt nya tjänsten Let's Encrypt.

Det är dock långt ifrån alla som har kompetensen till detta. Många e-handlare använder dessutom betalplattformar eller betaltjänster där det är någon annan som måste installera krypteringen. Certifikaten måste även förnyas med jämna mellanrum.

När Google börjar dra i trådarna brukar det gå snabbt och med tanke på att sökjätten vill att alla sidor ska köra HTTPS lär det förmodligen komma fler liknande krav framöver. E-handlare kommer alltså behöva ett certifikat.

Vad kostar en godkänd kassa?

Vi kontaktade flera svenska e-handelsplattformar för att få deras syn på HTTPS och förstås vad de tar betalt för att få en Google-godkänd kassa. Katrin Lundgren på Kodmyran var snabb att meddela att de tar 995 kronor för en installation men att man får skaffa certifikatet själv.

- På längre sikt tror vi att samtliga butiker kommer att använda TLS, särskilt när protokoll som HTTP 2.0 blir allmänt använda. Även om HTTP 2.0-protokollet i sig inte kräver TLS 1.2 så gör de flesta läsare det, inklusive Chrome, Firefox, Opera, Safari och nu senast Edge. Det blir också fler och fler krav ifrån till exempel Google om att använda TLS för att inte få olika begränsningar, säger Katrin Lundgren, VD på Kodmyran.

Jonas Askås som är VD för e-handelsleverantören Askås meddelar att de tar 1920 kronor per år för ett certifikat på en domän. Vi frågade honom om man på egen hand kan ordna med själva certifikatet.

Kan man skaffa ett certifikat på egen hand, exempelvis gratis via Let's Encrypt, och sedan bara betala för installationen?

- Ja, det går att skaffa ett eget certifikat och enbart betala för installation, vi har dock inte stöd för Let's Encrypt än, då de inte utfärdar certifikat på samma sätt som traditionella utgivare. Let's Encrypt kräver installation på servern och i nuläget behöver de uppdateras var tredje månad, även om det går att automatisera till viss del. Priset för installation kan variera beroende på vilken typ av certifikat som installeras, säger Jonas Askås.

Let's Encrypt kommer bli ett alternativ

Det ska finnas flera olika sorters certifikat som har olika nivåer av krav och därmed säkerhet. Jonas håller med Katrin om att det framöver kommer bli ett krav på HTTPS eftersom Google tvingar fram det. Han ser även potential i Let's Encrypt.

- Let's Encrypt kommer helt klart bli ett alternativ när det kommer ur betastadiet, det kommer då leda till att installationen blir billigare och certifikaten gratis, säger Jonas Askås.

Christian Zanders, grundare och VD på Jetshop, meddelar kort och gott att de alltid använder HTTPS i kassan. Certifikat ska ingå för alla kunder som använder produkterna Enterprise och Elastic Commerce. Christian tar precis som Katrin upp webbstandarden HTTP 2.0 som när den införs sägs leda till fler krypterade sidor.

- Vi använder alltid HTTPS i kassan, inloggning samt hela admin. När stödet för HTTP 2.0 blir bättre och bättre för alla browsers kommer vi rekommendera att man köra alla sidor i HTTPS, säger Christian Zanders.

En faktor i Googles träfflista

Wikinggruppens VD Jonte Bergman meddelar likt Christian att SSL ingår i deras större avtalspaket. I de mindre paketen går det att köpa till en modul för 125 kronor i månaden, där installation av certifikat också ingår. Vill man installera ett eget certifikat, som Let's Encrypt, kostar det dock 600 kronor.

- Vi ser positivt på SSL/HTTPS då det ger en rad fördelar som säker autentiserad kommunikation och trygghet för kunden. SSL/HTTPS är ju nu dessutom även en faktor som påverkar till ens fördel i Googles träfflista. Vi har därför valt att låta det vara standard i våra större e-handelspaket, säger Jonte Bergman.

Hoppas kunna auto-aktivera SSL

Linda Ahnfeldt, marknadschef på plattformen Starweb, berättar att de inte ser det som att Google pressar någon till att skaffa en krypterad kassa.

- Vi tolkar det lite annorlunda än att Google pressar folk att skaffa SSL. Det handlar först och främst om att skydda besökarens kunduppgifter vilket ökar förtroendet för webbutiken. Och visst är det positivt att säkrare webbutiker rankas högre på Google. Vi använder SSL för alla våra butikers admindel, men det är upp till respektive att även skydda sin butiksdel, säger Linda Ahnfeldt.

Starweb tar mellan 300-500 kronor i månaden beroende på vilken typ av certifikat du vill ha. De ska också vara positiva till initiativet Let's Encrypt, men inväntar att tjänsten ska släppas i skarp version.

- På sikt hoppas vi på att kunna auto-aktivera SSL helt automatiskt med Let's Encrypt för våra kunder, och att kostnaden istället bakas in i månadshyran. Sen att de har valet att istället köpa till ett ännu säkrare SSL-certifikat. Då till en fast månadskostnad, säger Linda Ahnfeldt.

Ladda upp ett eget certifikat

Textalk som är en av Sveriges största plattformar säger sig jobba mot att låta kunderna ladda upp sitt eget certifikat.

- Vi befinner oss just nu i slutfasen av ett implementationsprojekt där vi möjliggör eget SSL-certifikat för våra kunder. Dels kommer man kunna använda ett certifikat från Let's Encrypt, dels kommer man kunna ladda upp ett eget certifikat som man köper själv, säger Fredrik Fastén, Produktchef på Textalk Webshop.

Den nya funktionen ska kosta 30 kronor i månaden och det ska inte finnas någon installationskostnad.

- Vi som plattform betraktar SSL som en självklarhet, all kommunikation mellan vår frontend och backend är därmed krypterad, säger Fredrik Fastén.

Julius Gunnilstam
julius@ehandel.se