Nyt on jo korkea aika varmistaa, että verkkosivusi toimii salattuna. Salattu sivu näkyy selaimesi osoitepalkissa virheänä lukkokuvakkeena ja verkko-osoite alkaa https:nä. Salaamattomassa sivussa osoite alkaa http:nä. Jos tämä löytyy jo, hyvä juttu! Sivusi on salattu ja ilkeät vihulaiset eivät pääse välimieshyökkäystä eli varastamaan käyttäjän ja palvelimen välistä tietoja, esimerkiksi luottokortti tai käyttäjätietoja.
Sisällysluettelo
Mikä HTTPS?
HTTPS (Hypertext Transport Protocol Secure) on yleisin tapa suojata tietojen eheyttä ja luottamuksellisuutta käyttäjän tietokoneen ja verkkosivuston välillä. Käyttäjä odottavat saavansa turvallisen ja yksityisen verkkokokemuksen käyttäessä verkkosivuasi. HTTPS-toteutetaan TLS-protokolan avulla, joka tarjoaa kolme tärkeää suojaustasoa: salauksen, tiedon eheyden ja todennuksen.
Salaus suojaa sinua muodostamasi yhteyden verkkosivustoon niin, ettei kukaan kolmas osapuoli voi kuunnella tai seurata tietokoneesi ja palvelimen välillä tapahtuvaa viestintää.
Tietojen eheys tarkoittaa sitä, ettei kukaan kolmas osapuoli ei voi huomaamatta muokata tai vahingoittaa tietoja siirron aikaan tahallisesti tai tahottomasti.
Todennus: SSL/TLS-varmenteen myöntäjä vahvistaa, että tietokoneesi keskustelee oikean verkkosivun kanssa. Tämä estää välimieshyökkäyksiä ja lisää käyttäjän luottamusta.
Sivullani ei ole mitään salattavaa, joten miksi ottaisin HTTPS:n käyttöön?
Internet-selaimet ilmoittavat verkkosivusi ”Ei turvallisiksi”, kun sivusi ei ole salattu ja pyytää käyttäjätunnuksia tai luottokorttitietoja. Pian myös kaikissa sivuissa, mitkä pyytävät jotakin tietoja lomakkeiden avulla ilmoitetaan turvattomaksi.
Salattu sivu myös nousevat esille paremmin hakukonetuloksissa. Tämä tarkoittaa, että kilpailevat verkkosivut, joilla on HTTPS-käytössä löytyvät paremmin hakukoneissa.
Itse en näe yhtään syytä miksi et ottaisi HTTPS:ää käyttöön. Etkö halua suojata verkkosivusi vierailijoiden yksityisyyttä? Salauksen avulla muut eivät näe mitä käyttäjä tekee verkkosivulla. Lisäksi käyttöönotto on entistä helpompaa, ilmaista ja jopa yhden napin painalluksen päässä.
Mikä on SSL-varmenne?
Varmenteen avulla kolmasosapuoli, eli varmenteen myöntäjä (Certificate Authority, CA) vahvistaa kun käyttäjä saapuu verkkosivullesi, että se on aito. Jokainen voi luoda omat varmenteensa (self-signed), mutta muut käyttäjät eivät luota näihin varmenteisiin. Tästä syystä nämä tulee hankkia myöntäjältä, johon käyttäjät luottavat. Voit avata varmenteen selaimellasi tarkistaaksesi, kuka on varmenteen myöntäjä.
SSL-varmenteita on erilaisia
Kaikilla varmenteilla on sama periaate. Eli todistaa sivun kävijälle, että verkkosivu on se mitä väittää ja on luotettava. Mutta erona näissä varmenteissa on hinta, varmennustaso ja vahvistaako se vain yhden verkkotunnuksen (domain validation), kaikki aliverkkotunnukset verkkotunnuksesta (wildcard) tai useita verkkotunnuksia (Multidomain). Lisäksi on EV-varmenne, jonka tilaamiseen vaaditaan paljon varmennuksia ja siitä saa organisaation nimen selaimen osoitepalkkiin.
Näissä myös hinnoittelu on erilaista. Hinnoittelu lähtee 0€:sta ja sitten hinnoittelu kasvaa useisiin satoihin euroihin vuodessa. Kaupalliset varmenteet ovat pääsääntöisesti voimassaa 1-3 vuotta.
Millainen SSL-varmenne on sivustolleni sopiva?
Suurimmalle osalle verkkosivulle riittää ilmainen Let’s Encrypt-varmenne. Let’s Encrypt-varmennetta on todella helppo käyttää ja se on luotettava. Tämän kehitystä ja ylläpitoa sponsoroivat suuria yrityksiä kuten Mozilla, Akamai ja Cisco. Monissa webhotelleissa tämän aktivointi on maksutonta ja onnistuu muutaman napin painalluksella. Kysy lisää palveluntarjoajaltasi miten tämä onnistuu teidän webhotelleissa. Jos tätä ei vielä ole saatavilla, ehdota heille että ottavat mahdollisimman pian käyttöön.
Jos sinulla on verkkokauppa sivustolla tai haluat lisätä luotettavuutta sivustollasi, voin suositella paremmin kaupallista varmennetta, organisaatio varmennetta (Organisation Validation). Tässä varmenteen myöntäjä varmistaa, että organisaatio ketä ilmoittaa on aito.
Mikäli sinun yritykselläsi on aliverkkotunnuksia paljon, kannattaa hankkia Wildcard-varmenne, jolla voit varmentaa kaikki yrityksesi aliverkkotunnukset. Näistä kannattaa kysyä lisätietoa varmenteen myöntäjältä.
Määritä palvelimelle 301-uudelleenohjaus HTTPS:lle – Uudelleenohjaa salaamaton yhteys aina salatuksi.
Kun verkkosivullasi on toimiva HTTPS-yhteys ja siinä on voimassaoleva varmenne, kannattaa ohjata sivuston käyttäjät aina salatulle puolelle uudelleenohjauksen avulla. Uudelleenohjaukset voi tehdä yleensä helposti webhotellisi hallinnasta. Kysythän tarvittaessa apua palveluntarjoajaltasi.
Lisänä voit ottaa HSTS-headerin käyttöön
HSTS-headerin voit lisätä, kun sinulla on täysin toimiva HTTPS-sivu. Kaikkien sivujen elementit tulee toimia HTTPS:nä täydellisesti. HSTS-tehtävänä on kertoa selaimelle että ohjaa suoraan HTTPS:lle vaikka käyttäjä kirjoittaisi osoitepalkkiin http. Tämä myös ohjaa hakukoneissa näyttämään https alun eikä http:tä hakutuloksissa.
Ole varovainne lisätessä includeSubDomains HSTS-headeriin, sillä tämä tarkoittaa että kaikki aliverkkotunnukset tukisivat HTTPS:sää ja tällöin tekisi uudelleenohjauksen automaattisesti.
Käytä suositeltuja asetuksia
Paranna salaustasi käyttämällä uusimpia vain uusimpia protokolia verkkosivullasi. Tämä vaatii palvelimen puolella konfigurointia usein, joten tästä tulee olla yhteydessä palveluntarjoajaan.
Voit tarkistaa omasi sivusi SSL/TLS-suojauksen taso täälä Qualys SSL Labs -työkalulla. Syötä työkaluun verkkosivusi -osoite niin sivusto kertoo luokituksen. A+ on paras luokitus mitä voi saada.
