Ssl/Tls

Nginx-webpalvelimen uusin versio (1.1.3 tai uudempi) tukee TLS1.3:sta, kunhan käytössäsi on uusin OpenSSL 1.1.1-versio palvelimella asennettuna. TLS1.3 parantaa sivuston latausnopeutta ja turvallisuutta. CloudFlaren blogissa tämä on hyvin selitetty. Ubuntu 18.04 LTS tarjoaa vain OpenSSL 1.1.0:n ja toki on mahdollista päivittää kirjasto, mutta tämä ei ole hyvä asia sillä se voi rikkoa jotakin. Tästä syystä on parempi kääntää Nginx OpenSSL-kirjaston kanssa ottaakseen käyttöön TLS1.3-käyttöön. Huomaa, että webbiselaimet eivät tue TLS1.3 viimeistä versiota kuin vasta lokakuun 2018 tulevassa päivityksessä, eli Chrome 70 on yksi ensimmäisistä versiosta, joka tätä tukee. Mikäli haluat jo testata tätä, sinun tulee asentaa BETA-versio Chromesta. ...

SSL/TLS-salauksen tehtävänä on suojata verkkoselaimessasi webbiliikenteen kohdepalvelimen ja selaimesi välillä. Salaus on tehtävä, jotta voimme turvata luottamuksellinen liikenne ja estää tietojen vuotaminen ulkopuolisille. SSL/TLS-salaus perustuu algoritmeihin, joita on vaikea murtaa järkevässä ajassa, jolloin voimme todeta että nämä ovat turvallisia. Selaimen viimeisimmät versiot tukevat turvallisia tekniikoita ja estävät heikkojen salauksien käytön. Kuitenkaan selaimen valmistaja ei voi kaikkea tehdä vaan loppukädessä vastuu on sinun mitä teetkin selaimen kanssa. Selaimessa on paljon tietoturvaominaisuuksia ja varoittaa mikäli olet tekemässä typerää. Kaikkea se ei kuitenkaan osaa joten olethan valpas verkossa. ...

Monet kuvittelevat, ettei yksinkertaisella sivustolla tarvita mitään salausta, kun on sivustolla ei kerätä mitään tunnuksia tai henkilökohtaista tietoa. Tämä on turha harha, sillä ilman HTTPS-salausta voidaan välimieshyökkäyksen (MITM) avulla lisätä materiaalia avatessasi verkkosivun. Onko tämä ihan utopiaa? Ei ole ja tätä tapahtuu myös meillä Suomessakin! Onnibussin ilmaisessa langattomassa WLAN-verkossa on lisätty mainoksia sivustolle välityspalvelimen, eli avulla sekä javascriptin avulla. Tämä on helposti mahdollista, kun välityspalvelin on välissä ja voidaan lisätä erilaisia javascriptejä suoraan sivustolle käyttäjän huomaamattakin. Vaikka tässä ei ole tarkoitettu pahaan tarkoitukseen, niin samalla tässä voidaan tehdä erilaisia hyökkäyksiä ja injektoida scriptejä kryptovaluutan laskemiseen laitteesi tehoilla. ...

Sähköpostiliikenne on oletuksena salaamatonta, joten se tulee konfiguroida sähköpostipalvelimelle, että liikenne saadaan salatuksi. Harmillisesti monet sähköpostiohjelmat eivät näytä onko sähköpostipalvelinten välinen liikenne salattua vai salaamatonta, joten tämä ei näy yleensä loppukäyttäjille. Yleensä kuvitellaan että sähköpostiliikenne on salaattua kun IMAP ja SMTP-yhteys asetuksiin ruksataan salausa päälle, mutta salaus tapahtuu tosiaan vain oman palveluntarjoajan palvelimelle, mutta siitä lähtien liikenne voikin olla salaamatonta. Gmailissa tämä näkyy todella selkeästi lukkokuvakkeiden avulla, onko sähköposti vastaanotettu salattuna. Gmail lähettää sähköpostit salattuna, mikäli vastaanottava postipalvelin tukee tätä toimintoa. ...

Let’s Encrypt on ilmainen, automaattinen ja avoin varmennemyöntäjä (Certificate Authority). Se on todella suosittu nykyisin sen helppokäyttöisyyden ja ilmaisuuden takia. Tämän avulla saat verkkosivusi salatun yhteyden taakse ja suojattua vierailijoiden käynnit verkkosivullasi. Selaimet luottavat oletuksena hyvin Let’s Encryptin käyttämään Identrust-varmennejuureen, joten se toimii kaikilla nykyaikaisilla selaimilla. Käytämme ohjeessamme Ubuntu 16.04 LTS versiota. Ohje soveltuu myös uudemmille versioille. Asenna Certbot Asenna Certbot-ohjelmisto. sudo apt update sudo apt install software-properties-common sudo add-apt-repository ppa:certbot/certbot sudo apt update sudo apt install python-certbot-apache Haetaan varmenne Cerbot-ohjelmisto tukee erilaisia lisäosia, joiden avulla SSL/TLS–sertifikaattia voi asentaa. Jo nyt voi useimmille sovelluksille kuten Apachelle että Nginxille:kin. Itse olen kuitenkin suositellut manuaalista asennusta ja käyttäen esimerkiksi webroot-menetelmää. Se on toimiva kaikilla webpalvelimilla, jotka ovat julkisessa internetissä saatavilla. Lisäksi on DNS:llä tapahtuva todennus, jolloin nimipalvelimeen lisätään TXT-nimipalvelintietue. Tätä suositellaan myös käytettäväksi, kun sinulla on pääsy nimipalvelimille eikä webpalvelimellesi ole pääsyä julkisesta verkosta. ...

WordPress on yksi maailman tunnetuimmista ja käytetyimmistä sisällönhallintaohjelmistoista, joten se on yksi yleisisimmistä kohteista, mihin rikolliset yrittävät murtautua verkossa. Yleensä sivustoihin istutetaan haitallista koodia esimerkiksi mainoksia, uudelleenohjaus scriptejä, sähköpostiroskaposti robotteja tai jopa nykyisin kryptovaluutan mainaus scriptejä. Olen koonut tähän yleisesti mitä suosittelen jokaiseen WordPress-asennukseen tehtäväksi. Varmuuskopioi säännöllisesti Tärkein ensimmäiseksi, eli varmuuskopiointi. Varmuuskopioimalla WordPress-asennuksesi tietokantoineen säännöllisesti, esimerkiksi viikottain, helpottaa paljon sivustosi palautusta esimerkiksi haittaohjelman hyökkäyksen jälkeen. Yleensä näiden hyökkäysten jälkeen sivustojen palauttaminen on haastavaa ilman varmuuskopiointia. ...

Nyt on jo korkea aika varmistaa, että verkkosivusi toimii salattuna. Salattu sivu näkyy selaimesi osoitepalkissa virheänä lukkokuvakkeena ja verkko-osoite alkaa https:nä. Salaamattomassa sivussa osoite alkaa http:nä. Jos tämä löytyy jo, hyvä juttu! Sivusi on salattu ja ilkeät vihulaiset eivät pääse välimieshyökkäystä eli varastamaan käyttäjän ja palvelimen välistä tietoja, esimerkiksi luottokortti tai käyttäjätietoja. Mikä HTTPS? HTTPS (Hypertext Transport Protocol Secure) on yleisin tapa suojata tietojen eheyttä ja luottamuksellisuutta käyttäjän tietokoneen ja verkkosivuston välillä. Käyttäjä odottavat saavansa turvallisen ja yksityisen verkkokokemuksen käyttäessä verkkosivuasi. HTTPS-toteutetaan TLS-protokolan avulla, joka tarjoaa kolme tärkeää suojaustasoa: salauksen, tiedon eheyden ja todennuksen. ...