Tietoturvaa kotisivuille: HTTPS ja SSL-sertifikaatti
Verkkosivujen käyttö oli pitkään turvatonta. Selaimen ja kotisivujen välinen liikenne, kuten tunnukset ja salasanat, kulkivat verkossa suojaamatonta HTTP-yhteyttä käyttäen. Turvallisempi HTTPS-yhteys oli pitkään vain verkkopankkien tai vastaavien palvelujen käytössä.
Viime vuosien aikana HTTPS on kuitenkin yleistynyt voimakkaasti ja monet selaimet edellyttävät sen käyttöä verkkosivuilla. Mutta mitä hyötyä turvallisemmasta yhteydestä on?
Kolminkertainen turva
HTTPS salaa selaimen ja kotisivujen välisen yhteyden ja varmistaa sivuston luotettavuuden. Suojatun yhteyden tunnistaa selaimen osoiterivin https:// alusta ja sen vieressä olevasta lukon kuvasta. Kun yhteys on suojattu:
- Käyttäjä voi varmistua olevansa haluamallaan verkkosivulla, eikä esimerkiksi huijaussivustolla
- Ulkopuoliset eivät voi lukea tai muuttaa käyttäjän verkkopalvelussa täyttämän lomakkeen tietoja
- Verkkosivun käyttäjälle esitetty sisältö pysyy salassa eikä sitä ole peukaloitu matkalla
SSL-sertifikaatti on sivuston aitoustodistus
Vyörytän nyt lisää teknisiä lyhenteitä, mutta pyydän kärsivällisyyttä. HTTPS saadaan, kun suojaamaton HTTP-yhteys salataan SSL- tai TLS-tekniikalla. Vanhempi SSL on jäänyt jo pois käytöstä uudemman TLS:n tieltä, mutta yleisesti puhutaan edelleen SSL-sertifikaateista.
SSL-sertifikaatti myönnetään sivuston osoitteelle, kuten www.karhuhelsinki.fi ja sen voidaan ajatella olevan sivuston aitoustodistus. Ilman sertifikaattia mikä tahansa huijaussivu internetissä voisi tekeytyä toiseksi sivustoksi. Sertifikaatti, eli varmenne, myös varmistaa että yhteys selaimen ja sivuston välillä on oikeasti salattu ja turvallinen.
Luottamuksen ketju
Mutta mistä voi tietää että sertifikaatti itsessään on aito ja luotettava?
Kuka tahansa voi teknisesti myöntää SSL-sertifikaatin, mutta se ei tee siitä vielä luotettavaa. Luotettavuus varmistetaan ketjulla, jossa:
- Käyttäjä luottaa selainohjelmaan (esim. Google Chrome tai Safari)
- Selain luottaa sertifikaattien varmentajaan (esim. Entrust tai Digicert)
- Verkkosivuston palvelinylläpitäjä pyytää varmentajalta sertifikaattia esimerkiksi www.karhuhelsinki.fi osoitteelle
- Varmentaja tarkistaa että verkkosivuston omistaja on pyytänyt sertifikaattia ja toimittaa sen vain siinä tapauksessa palvelimen ylläpitäjälle
Ilman sertifikaattia mikä tahansa huijaussivu internetissä voisi tekeytyä toiseksi sivustoksi. Sertifikaatti, eli varmenne, myös varmistaa että yhteys selaimen ja sivuston välillä on oikeasti salattu ja turvallinen.
Kolme tapaa varmentaa sertifikaatti
Sertifikaatin varmentaminen on yleensä ainoa vaihe, joka edellyttää toimia verkkosivuston omistajalta. Siinä on kolme eri tasoa.
Verkkotunnus (Domain Validation, DV)
Varmentaja tarkistaa vain että sertifikaatin hakijalla on käyttöoikeus siihen sivuston verkkotunnukseen (esimerkiksi yrityksesi.fi), jolle sertifikaattia haetaan. Tämän voi tehdä teknisesti kolmella eri tavalla:
- Varmentaja lähettää vahvistuslinkin sähköpostilla, esimerkiksi webmaster@yrityksesi.fi osoitteeseen
- Palvelimen tai verkkosivuston ylläpitäjä lisää sivustolle tarkistussivun varmentajan pyytämään osoitteeseen, esimerkiksi www.yrityksesi.fi/abcd1234
- Nimipalvelujen ylläpitäjä (usein sama kuin palvelinylläpitäjä tai teleoperaattori) lisää varmentajan pyytämän tietueen verkkotunnuksen yrityksesi.fi tietoihin
Pelkän verkkotunnuksen tarkistaminen onnistuu usein saman työpäivän aikana, eikä se välttämättä edellytä toimia verkkosivuston omistajalta. Se on kuitenkin keveydessään vähiten turvallisin varmennustapa.
Organisaatio (Organization Validation, OV)
Varmentaja tarkistaa verkkotunnuksen lisäksi, että sertifikaatti myönnetään sille organisaatiolle, jonka verkkosivut on tarkoitus suojata. Varmentaja tarkistaa tietoja rekistereistä ja soittaa organisaation puhelinvaihteeseen tai viralliseen numeroon. Organisaation varmennuksessa kestää tyypillisesti muutamia työpäiviä.
Laajennettu (Extended Validation, EV)
Laajennetussa varmennuksessa on korkeimman mahdollisen turvatason lisäksi yksi merkittävä etu. Se on ainoa tapa saada oman organisaation nimi näkyviin selaimen osoiteriville, pelkän verkko-osoitteen lisäksi. Tämä lisää käyttäjien luottamusta sivustoon ja parantaa mielikuvaa organisaatiosta.
Laajennettu varmennus on samantyyppinen kuin organisaation varmennus, mutta perusteellisempi. Sen valmistumisessa voikin kestää noin viikon ajan. Rahaliikennettä tai esimerkiksi henkilötietoja käsitteleville sivustoille laajennettu varmennus on erittäin suositeltavaa.
Säästöä ilmaisella sertifikaatilla?
Varmentajat tietenkin veloittavat tarkistustyöstään ja sertifikaatin myöntämisestä. SSL-sertifikaatin kustannus vaihtelee tyypillisesti muutamista kymmenistä euroista muutamiin satoihin euroihin vuodessa.
Suurten internet-yhtiöiden perustama avoimen lähdekoodin Let’s Encrypt on ilmainen sertifikaattien varmentaja. Sen toiminta perustuu verkkotunnuksen automaattiseen varmennukseen. Automaattisen prosessin ylläpito ja valvonta voivat vaatia kuitenkin työtä palvelimen ylläpidossa ja eikä varmennuksen prosessi kevene välttämättä verkkosivuston omistajankaan näkökulmasta.
Ilmaisen sertifikaatin kokonaiskustannus ei siksi välttämättä olekaan kaupallista sertifikaattia matalampi, mutta tämä on toki tapauskohtaista.
Verkkosivuston omistajan muistilista
HTTPS ja SSL-sertifikaatit ovat varsin teknisiä aiheita, joista huolehtiminen kannattaa jättää verkkosivuston toimittajan vastuulle. Sivuston tilaajan on kuitenkin hyvä huomioida ainakin seuraavat seikat.
- Edellytä verkkosivuston toimittajalta HTTPS-suojausta sivustollesi
- Varmista sujuva tiedonkulku ja vastuunjako verkkosivuston toimittajan, palvelinylläpitäjän ja verkkotunnuksesi nimipalvelujen ylläpitäjän kanssa
- Harkitse laajennettua varmennusta (Extended Validation SSL-sertifikaatti) luottamuksen herättäjänä ja erottautumistekijänä
Lue myös: Mikä on SSL-sertifikaatti?
