businessman in suite pressing touchscreen https

SSL sertifikaatti

Jokinetin kotisivut varustetaan Let’s Encrypt:in SSL-sertifikatilla, joka asennetaan UpCloudin pilvipalvelimelle kotisivujen yhteyteen. SSL-sertifikaatilla tarkoitetaan tuttavallisemmin HTTPS-ominaisuutta, jolla parannetaan sivujen tietoturvaa salaamalla liikenne selaimen ja palvelimen väliltä. Tällöin ulkopuoliset eivät pysty lukemaan (tai muokkaamaan) sivun sisältöä matkan varrella ilman, että salaus puretaan.

Mikä on HTTPS ja SSL-sertifikaatti?

HTTPS tulee sanoista  Hypertext Transfer Protocol Secure ja se käyttää salaukseen Transport Layer Security (TLS) protokollaa, jonka avulla voidaan siirtää tietoa netissä suojatusti. HTTPS on tärkeä ominaisuus silloin, kun sivulla on lomakkeita, joihin syötetään henkilötietoja. Vielä tärkeämpi se on silloin, jos sivulle syötetään käyttäjätunnuksia tai salasanoja. Kun liikenne on salattu HTTPS:n avulla, ei netin yli kulje tekstiä selkokielellä, vaan vahvasti kryptattuna.

SSL-sertifikaatti on web-palvelinympäristöön (esim. NGINX / Apache) asennettava sertifikaatti, jolla salataan palvelimen ja selaimen välinen liikenne. SSL tulee sanoista Secure Sockets Layer. Sertfikaatti voidaan luoda yhdelle verkkotunnukselle (esim. jokinetti.fi) tai siihen voi olla liitettynä useitakin verkkotunnuksia.

Mistä tunnistaa HTTPS:n käytön?

HTTPS:n käytön tunnistaa siitä, että osoite alkaa https:// -etuliitteellä. Kirjain “s” protokollan “http” lopussa tarkoittaa, että liikenne tähän web-osoitteeseen on salattu. Lisäksi osoitekentän vieressä on usein lukon symboli, jota klikkaamalla saa lisätietoa HTTPS sertifikaatista.

https

Jos selaimen osoitekenttään syöttää https-alkuisen osoitteen ja selain varoittaa sertifikaatista, voi HTTPS sertifikaatti puuttua kokonaan tai olla vanhentunut. Jos sivun osoite alkaa http:// -etuliitteellä, ei HTTPS ole silloin käytössä ja liikenne kulkee salaamattomana selaimen ja palvelimen välillä. Tällaiselle sivulle ei kannata syöttää käyttäjätunnusta tai salasanaa.

HTTPS käyttää oletuksena TCP/IP porttia 443, kun taas HTTP käyttää porttia 80.

Vaikuttaako HTTPS hakukonenäkyvyyteen?

HTTPS-sertifikaatilla on vaikutusta myös kotisivujen sijoittumiseen Googlen hakutuloksissa. Jos hakutuloksissa on olemassa hakukoneen mielestä kaksi “tasavertaista” yrityksen kotisivua, saa HTTPS sertifikaatilla varustettu sivu pienen edun hakukonesijoituksessa salaamattomaan sivuun verrattuna.

Google arvostaa SSL-sertifikaatilla varustettuja sivuja, joten sen asentaminen todella kannattaa!

HTTPS sertifikaatin hyödyt

HTTPS-suojausta käytetään usein autentikoinnin yhteydessä salaamaan liikenne internetin yli. Autentikoinnilla varmistetaan käyttäjän identiteetti, ts. että käyttäjä on se kuka väittää olevansa. Autentikointimetodeita on eri tasoisia ja HTTPSn käyttö näiden yhteydessä on perusteltua. HTTPS-salaus varmistaa sen, ettei käyttäjän toimia voida jäljittää, eikä informaatiota varastaa internetissä.

HTTPS:llä varmistetaan myös tietojen eheys, eli Man in the middle (mies keskellä) ei voi väärentää tietoja välissä, kun tiedostoja siirretään internetin yli.

Let’s Encryptin sertifikaatti on hyvä ja ilmainen perustason SSL sertifikaatti. Markkinoilla on olemassa myös kalliimpia HTTPS sertifikaatteja, joiden käyttö on perusteltua esim. verkkokaupoissa.

HSTS ja onko HTTPS aina käytössä?

Sivuille asennettu HTTPS-sertifikaatti ei välttämättä takaa sitä, että HTTPS olisi aina käytössä. Kotisivut voidaan kuitenkin pakottaa käyttämään HTTPS-ominaisuutta aina sivuilla vierailtaessa ottamalla käyttöön HSTS-ominaisuus (HTTP Strict Transport Security) sertifikaattia luodessa.

HSTS-ominaisuus käytännössä pakottaa liikenteen käyttämään aina HTTPS:ää, eikä liikenteen sallita “downgreidautua” salaamattomaan HTTP -liikenteeseen.

Jokinetin kotisivut luodaan HSTS-ominaisuudella varustetulla Let’s Encryptin SSL-sertifikaatilla, jolloin voit olla turvallisella mielellä siitä, että HTTPS on aina käytössä kotisivuillasi.

Vaihtoehtoisesti “HTTPS-pakotus” voidaan tehdä joko ohjelmallisesti toteuttamalla “Middleware” toiminto, joka varmistaa, että liikenne on aina HTTPS. Tai sitten myös konfiguroimalla web-palvelinta, esim. tekemällä sopiva .htaccess -määritys.

HSTS on kuitenkin paras vaihtoehto HTTPS-pakotukseen, koska se on standardi ja on automaattisesti otettavissa käyttöön ilman erillistä konfigurointia tai ohjelmointia.

SSL-sertifikaatti usealla palvelimella

Joskus tulee eteen tilanne, jossa kotisivut on asennettu usealle eri mantereelle (esim. Euroopan, Aasian ja pohjois-Amerikan mantereet). Tässä tapauksessa SSL-sertifikaatti täytyy olla asennettuna jokaisen maanosan palvelimelle erikseen, jotta ameriikassa sivuilla vieraileva John saa eteensä HTTPS-suojatun yhteyden.

Tällöin SSL-sertifikaatin luonti tapahtuu keskitetysti yhdellä palvelimella ja SSL-sertifikaatti siirretään ajastetusti muille palvelimille suojattua yhteyttä pitkin. Sertifikaatin luonti ja siirto muihin palvelimiin voidaan ajastaa siten, että kaikki toimii automaattisesti.

Jos  yritys toimii vain Suomessa, riittää vain yksi Let’s Encryptin SSL sertifikaatti, joka on asennettu esim. Helsingissä toimivaan pilvipalvelinympäristöön.

Kirjoittaja on yrittäjä Jokinetissä,
ja ohjelmistoinsinööri AMK
(vm. 1996-2000)

Jaa sivu:

Kiinnostuitko kotisivuistamme?

Klikkaa painiketta ja laita Jokinetille viestiä, niin saadaan yrityksesi kotisivuasia vireille!
Toimi heti
Scroll to Top