SSL/TLS-salaus näkyy siansaksana, mutta salaamaton yhteys paljastaa kaiken

Tarvitsevatko nettisivut salausta?

Internetissä surffailtaessa hyödynnetään taustalla toimivaa menetelmää, joka tarjoaa tiedonsiirron palvelimen ja nettisivulla käyvän asiakkaan välille. Tätä menetelmää kutsutaan nimellä HTTP (Hypertext Transfer Protocol). Ongelmana tässä on se, että siirrettävä tieto liikkuu täysin salaamattomana verkkokaapeleita pitkin ja mahdollistaa siksi ulkopuolisen tarkkailun. Tähän ongelmaan oleva ratkaisu on yksinkertaistetusti HTTPS (HTTP Secure), jonka avulla tiedonsiirto palvelimen ja asiakkaan välillä salataan. On kuitenkin hyvä esittää muutama kysymys. Tarvitsevatko yritykseni nettisivut salausta? Ja millä tavalla salaus hyödyttäisi verkkosivujani?

  1. 1

    Ensimmäinen asia on tarkistaa, tarvitsevatko verkkosivusi asiakkaat turvallista yhteyttä yhdistäessään sivustoosi. Eli vaaraantuuko kävijöidesi tietosuoja ilman salausta? Jos sivuillasi on verkkokauppa tai tarjoat jonkinlaista kirjautumismahdollisuutta (esim. keskustelupalsta), on salaus välttämätön. Jos et tällaisessa tapauksessa tarjoa salausta, voi tästä koitua vakavia ongelmia tietomurtojen ja lainsäädännön suhteen, koska tällöin voidaan osoittaa, ettet ole tarjonnut edes perustavanlaatuista tietoturvaa asiakkaillesi.

  2. 2

    Toinen lähes yhtä tärkeä tilanne, jolloin tiedonsiirron salaaminen on ehdotonta, on käytettäessä jotakin kirjautumisjärjestelmää. Jos verkkosivusi hyödyntää esimerkiksi sisällönhallintajärjestelmää (CMS, Content Management System), kuten Wordpressiä, Drupalia tai Joomlaa, mihin kirjaudutaan selaimella, on tiedonsiirron suojaaminen on tärkeää. Jos tämän jättää suojaamatta, on mahdollista, että joku hyökkää lähiverkosta käsin ja varastaa täysin huomaamatta kirjautumistunnukset ja salasanat. Tämä uhkaskenaario pahenee entisestään, jos hyökkääjä löytää käytetystä CMS-järjestelmästä tai palvelimesta haavoittuvuuden, jonka avulla tätä huolimattomuutta voidaan hyväksikäyttää etänäkin.

  3. 3

    Kolmas merkittävä tilanne syntyy, kun hyödynnät jotain kolmannen osapuolen järjestelmää, joka tarjoaa jonkin tärkeän toiminteen salatun yhteyden yli. Esimerkki tällaisesta voisi olla vaikka maksutapahtumien hoitaminen salauksella kolmannen osapuolen kautta muun sivun toimiessa ilman salausta. Tällöin uhkatilanne muodostuu käyttäjälle, joka altistuu huolimattomuutesi vuoksi tietoturvauhalle. Esimerkkiskenaariossa asiakas voisi olla Internet-kahvilassa suorittamassa maksutapahtumaa sivuillasi, kun samassa lähiverkossa olisi toinen kahvilan asiakas, joka muuttaisikin IP-paketteja matkalla ja vaihtaisi oman valesivunsa sivujesi tilalle. Koska HTTPS-salausta ei ole, olisi vaihtaminen suhteellisen helppoa ja hyökkääjä voisi ohjata maksutapahtuman käsittelyn oman laitteensa kautta ja siirtää maksusuorituksen suuremmalla summalla omalle tililleen. Hyvin konfiguroituna salaus saattaa estää tämänkaltaisen hyökkäyksen kokonaan.

  4. 4

    Jos yritykselläsi on vain staattiset sivut, jotka eivät mahdollista kirjautumisia tai kerää tietoja kenestäkään, ei salauksen käyttö tietoturvasyistä ole perusteltavissa. Tästä huolimatta asiaa kannattaa harkita, koska Google ottaa salauksen huomioon hakukonerankingissään. Nimittäin luotetulla sertifikaatilla varustetut HTTPS-sivut saavat suoraan paremmat pisteet kuin salaamattomat sivut. Ja hakukonesijoitus voi olla hyvinkin suuri tekijä siinä, kuinka paljon asiakkaita yrityksesi tulee saamaan.

  5. 5

    Viidentenä asiana salauksen puolesta on luotettavuuden antaminen. Luottaisitko itse verkkopankkiin, joka ei käyttäisi salausta? Tai uskaltaisitko ostaa verkkokaupasta, joka ei anna mitään viitteitä tietoturvallisesta tiedonkäsittelystä? Lukon merkki selaimen osoitepalkissa on ollut jo pitkään tae turvallisesta yhteydestä. Osa selaimista jopa ilmoittaa asian "turvallinen"-tekstillä.

Haittapuoliakin tietysti on, vaikkakin ne ovat aika mitättömiä. Ensimmäisenä salauksen käyttäminen monimutkaistaa sivujen ylläpitoprosessia, mutta tämä tuskin on ongelma, jos käytät ulkopuolista tukea tai palvelua tässä asiassa. Toinen seikka on, että salauksen hyödyntäminen vaatii hieman enemmän tehoja palvelimelta, mutta kyse on pienestä lisävaatimuksesta ja tätäkään ei tarvitse syvällisesti miettiä, jos palvelimen vuokraa muualta. Kannattaa kuitenkin ottaa huomioon sivujen latausnopeuden hidastuminen, joka sivuista ja palvelimesta riippuen on merkittävä tai vähemmän merkittävä. Tähän on olemassa ratkaisuja, mutta nämä ovat täysin kiinni siitä, tukeeko palvelimentarjoajasi näitä. Jos vuokraat meiltä palvelimen ylläpitoineen, järjestämme luonnollisesti nämä asiat kuntoon.

Kannattaako SSL-sertifikaatista maksaa?

Lyhyesti vastattuna ei kannata. HTTPS-salaus toteutetaan digitaalisten varmenteiden avulla ja selaimet luottavat tiettyjen varmentajien (Certificate/Certification Authority) tarjoamiin sertifikaatteihin, mikä näkyy käyttäjälle selaimessa lukon kuvakkeena. Jos varmennetta ei ole todentanut luotettava kolmas osapuoli, varoittaa selain tästä eikä päästä käyttäjää suoraan sivuille. Tämä auttaa käyttäjää huomaamaan, jos varmenne on väärennetty. En mene tässä artikkelissa yksityiskohtiin, mutta jos haluat tietää asiasta enemmän, voit lukea kirjoitukseni Yksityisyydensuoja.fi-sivulla.

Varmenteiden myöntäminen ja todentaminen on liiketoimintaa siinä missä monet muutkin asiat, ja tämän vuoksi monet yritykset tarjoavat varmenteita ja hinnat voivat vaihdella hyvinkin suuresti. Varmenteen ostamisessa on hyvä ottaa huomioon se, voiko varmenteen vaihtaa nopeasti ja ilmaiseksi, jos esimerkiksi salausavaimet vuotavat jonkin haavoittuvuuden vuoksi. Selaimet kuitenkin luottavat tukemiinsa varmentajiin yhtä hyvin eikä yksikään saa erikoiskohtelua tässä asiassa, mikä nostaisi jonkun varmentajan muita arvostetummaksi. Näin ollen ilmainen sertifikaatin myöntäjä/varmentaja on siis aivan yhtä hyvä ja myös asiakkaalle näkyvästi yhtä luotettava kuin maksullinen kilpailija. Luotettava ja ilmainen varmentaja on Let's Encrypt, jota hyödynnämme itsekin. Tätä suosittelemme kaikille, mutta jos tarvitset apua maksullisen sertifikaatin kanssa, niin osaamme kyllä asentaa niitäkin.

Valkohattu.fi sai A+ Qualysin SSL Labs-testissä

Toivottavasti artikkeli valaisi verkkosivusi salauksen tarvetta ja sait paremman käsityksen sen hyödyllisyydestä. Salauksen käyttämisen lisäksi se kannattaa konfiguroida mahdollisimman turvalliseksi hyödyntämällä kaikkia ominaisuuksia, mitä voit käyttää ilman, että verkkosivustosi kärsii siitä. Voit katsoa Qualysin SSL Labs-testillä millaisessa kunnossa yrityksesi sivujen salaus on. Jos haluat ulkoistaa palvelimen ylläpidon tai tarvitset apua salauksen asentamisessa palvelimellesi, ota yhteyttä ja katsotaan yhdessä, miten voimme auttaa.


30.8.2018 | Vesa Viljanen

Yhteydenottopyyntö

Olen robotti Olen ihminen
Kaikki kentät sekä tietosuojaehtojen hyväksyminen ovat pakollisia täyttää. Lisätietoja löydät tietosuojaehdoistamme. Muista valita ihminen ylläolevasta spämmitestistä!
Robotti pyytää vierailijalta suostumuksen analytiikan käyttöön

__________________________

Sulkemalla tämän viestin hyväksyn

keksitiedoston asettamisen.

Lisätietoja löydät tietosuojaehdoista.