Tarvitseeko verkkosivustoni HTTPS-salausta?

Monet kuvittelevat, ettei yksinkertaisella sivustolla tarvita mitään salausta, kun on sivustolla ei kerätä mitään tunnuksia tai henkilökohtaista tietoa. Tämä on turha harha, sillä ilman HTTPS-salausta voidaan välimieshyökkäyksen (MITM) avulla lisätä materiaalia avatessasi verkkosivun. Onko tämä ihan utopiaa? Ei ole ja tätä tapahtuu myös meillä Suomessakin!

Onnibussin ilmaisessa langattomassa WLAN-verkossa on lisätty mainoksia sivustolle välityspalvelimen, eli avulla sekä javascriptin avulla. Tämä on helposti mahdollista, kun välityspalvelin on välissä ja voidaan lisätä erilaisia javascriptejä suoraan sivustolle käyttäjän huomaamattakin. Vaikka tässä ei ole tarkoitettu pahaan tarkoitukseen, niin samalla tässä voidaan tehdä erilaisia hyökkäyksiä ja injektoida scriptejä kryptovaluutan laskemiseen laitteesi tehoilla.

Tässä on hyvä englanninkielinen video, joka selittää hyvin miksi HTTPS on tärkeä ja mitä kaikkea voi tehdä mikäli sivusto ladataan salaamattomana.

Hyökkääjänä voi toimia palveluntarjoaja, rikollinen tai valtiollinen taho. Syynä on usein, että esimerkiksi lisämällä mainoksia sivustolle on mahdollista tienata rahaa. Toinen tapa on varastaa salasanoja tai murtautua kotisi reitittimelle mahdollisen haavoittuvuuden avulla.

HTTPS ei pelkästään suojaa sinua – se suojaa sinun sivustosi vieraijoitasi! Kai sinä haluat, että sivustosi vierailijat ovat turvassa eikä sinun sivustoasi hyödynnetä mahdollisten hyökkäyksiin?

HTTPS on ilmaista – sen ei maksa mitään ylimääräistä ja se ei ole vaikeaa

HTTPS-salaus ei ole kallista tai vaikeaa – Ilmainen Let’s Encrypt -projekti on tarjonnut tätä varten vaadittuja varmenteita maksutta jo useamman vuoden ajan kuluttajille ja eri organisaatioille. Webhotelli-palveluntarjoajat voivat tämän ottaa käyttöön ja tarjota asiakkailleen. On hienoa, kun meillä Suomessakin on useita palveluntarjoajia, jotka tarjoavat tätä maksutta asiakkailleen.

Olen koonnut listan suomalaista palveluntarjoajista, jotka tarjoavat ilman erillistä maksua SSL-salauksen asiakkailleen.

Ulkomaalaisia palveluntarjoajia löytyy täältä listalta Let’s Encryptin foorumilta.

Toinen hyvä tapa on käyttää CloudFlaren välityspalvelinta verkkosivulle, joka salaa sivustosi yhteyden vähintään CloudFlaren välityspalvelimelle. Tässä on helppo ohje kuinka saat salauksen käyttöön CloudFlarea käyttäessä. CloudFlare myös suojaa sivustoasi palvelunestohyökkäyksiltä.

Toinen vaihtoehto on ranskalaisen OVH:n SSL-yhdykäytävä-palvelu. OVH:n palvelu toimii vastaavalla tavalla kuin CloudFlaren palvelu eli sivuston liikenne ohjataan OVH:n välityspalvelimelle, joka suojaa sivustoa myös palvelunestohyökkäyksiltä.

Vieläkö et ole vakuutunut tai tuntuu hankalalta?

Google painostaa käyttämään HTTPS-salausta Google Chrome-selaimellaan. Seuraavassa Chrome-versiossa (versio numero 68), joka julkaistaan heinäkuussa 2018 tulee merkitsemään kaikki sivustot turvattomiksi virheilmoituksella. Mozilla Firefox seuraa myös perässä ja tulee merkitsemään salamattomat sivut turvattomiksi, koska ei voida ollenkaan tarkistaa onko sivustoa muokattu alkuperäisestä.

Chrome merkitsee 68-version jälkeen salaamattomat (HTTP)-sivut turvattomiksi.

Ethän halua että sivustoasi merkitään turvattomaksi?

Pyydä palveluntarjoajaltasi apua HTTPS:n käyttöönotossa. Tehdään yhdessä palakerrallaan internetistä entistä turvallisempi.

Vastaa