SSL/TLS-salauksen tehtävänä on suojata verkkoselaimessasi webbiliikenteen kohdepalvelimen ja selaimesi välillä. Salaus on tehtävä, jotta voimme turvata luottamuksellinen liikenne ja estää tietojen vuotaminen ulkopuolisille. SSL/TLS-salaus perustuu algoritmeihin, joita on vaikea murtaa järkevässä ajassa, jolloin voimme todeta että nämä ovat turvallisia. Selaimen viimeisimmät versiot tukevat turvallisia tekniikoita ja estävät heikkojen salauksien käytön.
Kuitenkaan selaimen valmistaja ei voi kaikkea tehdä vaan loppukädessä vastuu on sinun mitä teetkin selaimen kanssa. Selaimessa on paljon tietoturvaominaisuuksia ja varoittaa mikäli olet tekemässä typerää. Kaikkea se ei kuitenkaan osaa joten olethan valpas verkossa.
Varmenteet ovat sama asia kuin todistus. Ethän luota vanhentuneisiin todistuksiin tai virheellisiin todistuksiin verkossakaan! Sivuston ylläpitäjien tehtävänä on suojata sivuston vierailijoiden tiedot.
Voit saada sivuston vierailjana virheilmoitukset kun:
- sivuston varmenne ei ole voimassa, eli yleensä vanhentunut. Syynä voi myös olla että selaimesi kellonaika on virheellinen.
- sivusto käyttää vanhentunutta salausta ja selaimesi ei luota tähän salaukseen.
- verkkoyhteyttäsi häiritään ja yritetään tehdä välimieshyökkäystä (Man-In-The-Middle-Attack). Tässä hyökkäystyypissä sinun yhteyden väliin yritetään tulla ja mahdollisesti varastaa tietojasi. Kuitenkin ohittamatta tätä varoitusta olet suojassa.
- Sivuston SSL/TLS-varmenne on asennettu virheellisesti sivustolle.
Paras tapa kaikissa virhetilanteissa on olla yhteydessä sivuston ylläpitäjään.
Esimerkkejä
Yllä olevassa kuvankaappauksessa on yleinen virheilmoitus kun menet sivustolle, jossa on ns. itseallekirjoitettu SSL/TLS-varmenne (Self-Signed SSL/TLS-certificate), johon selaimesi ei luota. Sinunkaan ei tulisi tällöin luottaa sivustoon ja palata takaisin aikaisemmalle sivustolle. Mikäli käyt usein tällä sivustolla etkä aikaisemmin ole saanut kuvanmukaista virheilmoitusta, niin ilmoitathan tämä sivuston ylläpitoon, jotta voivat korjata.
Toinen kuvassa on varmenne virhe kun sivustolle minne menet on varmenne, joka on tarkoitettu toiselle sivustolle. Tällöinkään sivustolle ei kuuluisi mennä, sillä varmenne on virheellinen.
Vasemmalla olevassa kuvankaappauksessa sivustolla on käytössä suojaus, jota kutsutaan HSTS:ksi (HTTP Strict Transport Security), jonka tehtävänä on pakottaa selaimet ohjaamaan HTTPS-puolelle ja vaatii voimassaolevan SSL/TLS-varmenteen. Tämä tarkoittaa, ettei sivustolla vieraileva voi ollenkaan ohittaa tätä varoitusta, kunhan on vähintään kerran vieraillut sivustolla. Google on myös kehittänyt HSTSPreload-listauksen, joka on selaimessa oleva lista joka kertoo että sivusto on vain HTTPS tukeva sivusto. Tämä tarkoittaa, että listaa käyttävät selaimet ohjaavat tällä listalla olevat URLit HTTPS:n puolelle aina.
Oikealla puolella olevassa kuvankaappauksessa on vanhentuneen SSL/TLS-varmennetta esittävä kuvankaappaus. Tämä virheilmoitus tulee silloin kun SSL/TLS-varmenne ei ole voimassa. Tämä voi olla myös virhe sinun selaimessasi tai laitteessasi. Tarkista tällöin että kellonaika on oikein laitteesi asetuksista.
Lisää virheilmoituksia voi testailla badssl.comissa.
Vinkkejä sivuston ylläpitäjille
Sivuston ylläpitäjien on tärkeä vahtia SSL/TLS-varmenteet uusitaan ajoissa ja muut suojaukset sivustolla on oikein. Olen koonnut tähän listan erilaisista ilmaisista ratkaisuista, joitka auttavat ylläpitäjiä tässä hommassa:
- Tarkista sivuston suojaus Qualys SSL Lab testillä: https://www.ssllabs.com/ssltest/analyze.html . Tämä testi on paras sivuston salauksen testaamisessa ja kertoo yksilökohtaisesti tietoja salauksesta.
- Ilmainen SSL/TLS-vcarmenteiden valvontaan varten olisi Let’s Monitor. Palvelu on ilmainen SSL/TLS-varmenteiden valvonnassa ja tämä ilmoittaa sähköpostiisi kun varmenne alkaa vanheta ja ehdit näin uusimaan SSL/TLS-varmenteesi ajoissa. Maksullisessa versiossa on mahdollista saada muita valvontaominaisuuksia käyttöön ja myös ilmoituksia tekstiviestillä.
- Ota sivustolla HSTS, joka estää virhetapauksissa sivuston vierailijoiden käynti mikäli sivuston liikennettä häiritään tai varmenne olisi virheellinen. Suojaa sivustosi käyttäjät tällä tavoin tyhmyyksiltä, sillä kuitenkin sivuston vierailija yrittää ohittaa suojauksen mm. kiireellä.