Digivinkki #11 Mikä on salattu yhteys ja miksi kaikkien pitää käyttää sitä, aina?


Mitä tarkoittaa HTTPS ja miksi kaikkien pitää käyttää sitä, aina?

Vinkin vaikeusaste: keskitasoa

Hakukoneet painottavat salatun yhteyden yli tarjotun sisällön merkittävyyttä. Selaimet varoittavat käyttäjää avaamasta sivuja, jotka eivät toimi salatun yhteyden kautta. Etenkin jos verkkosivuilla on lomakkeita, nämä varotoimenpiteet saattavat estää salaamattoman verkkosivun käytön kokonaan. Mitä salattu yhteys tarkoittaa, miten sen voi hankkia ja mitä se maksaa?

Selaimen viestit puutteellisesta salauksesta

Kun avaat salaamattoman verkkosivun, selaimessasi on viesti ei-turvallisesta sisällöstä. Itse sivu joko avautuu tai jää kokonaan virheilmoituksen alle. Selaimen osoiterivillä näkyy seuraavaa:

Firefox

Chrome

Jos yrittää avata salatun yhteyden, mutta verkkopalvelussa ei ole TLS/SSL asennettuna, virhe näkyy korostettuna:

Oikein toimivassa sivussa osoitepalkilla näkyy näin:

Kaikissa tapauksissa klikkaamalla avaimen tai kilven symbolia saa lisää tietoa, mikä on salauksen tila.

Mitä ihmeen väliä tällä on?

Selainten antamat virheilmoitukset antavat huonon kuvan viestinnästäsi. Ne saattavat käännyttää ihmisiä pois palvelustasi ja joissain tapauksissa selain ei edes anna avata sellaista sivua, missä salaus ei ole käytössä. Näin voi käydä etenkin lomakkeita sisältävien sivujen kanssa. Jotta selain antaa sivustollesi puhtaat paperit suojauksesta, yhteyden on oltava suojattu verkkosivujesi palvelimen ja palvelun käyttäjän välillä, plus myös verkkosivujesi palvelimen ja kaikkien sen alaosien välillä. Esimerkiksi YouTube-upotuskoodi on osa sivuasi, joka tulee kuitenkin toiselta palvelimelta. Tällainen yhteys on oltava myös suojattu, muutoin verkkopalvelusi käyttäjä saa asiasta varoittavan ilmoituksen.

Hakukoneet suosivat suojattuja sisältöjä, joten suojauksen pois jättäminen ei ole missään tapauksessa perusteltua. Jos oma sivusi sisältää sisältöjä, joita katsotaan muiden sivujen kautta, palvelusi on oltava salattu, jotta yhteistyökumppanisi asiakkaat eivät saa virheilmoituksia puutteellisten yhteyksien takia.

Miksi salaus ei ole päällä automaattisesti?

Vastaus on raha. Salaus ei ole ollut päällä automaattisesti, koska TLS/SSL-sertifikaatista on yleensä joutunut maksamaan. Tämä ei kuitenkaan pidä enää paikkaansa. Maksullisia sertifikaatteja on olemassa, joille on omat käyttönsä. Tavallisiin yhteyksiin soveltuu maksuton Lets Encrypt -suojaus. Useimmat verkkopalveluiden tuottajat tarjoavat Lets Encrypt -salauksen tänä päivänä ilmaiseksi. Jos verkkosivusi ei ole vielä salattu, pyydä verkkosivujen ylläpitäjää hoitamaan asia. Tänään. Jos työstä joutuu maksamaan, kohtuullinen kertakorvaus asennustyöstä voi olla paikallaan. Itse sertifikaatista ei kuitenkaan ole tarpeen maksaa, poislukien tapaukset joissa nimenomaan maksullinen sertifikaatti on tarpeen. Maksullisia sertifikaatteja käytetään muun muassa pankkiyhteyksien salaamiseen.

Mikä on sertifikaatti ja mitä se salaus oikeastaan tarkoittaa?

TLS/SSL tai SSL on TCP/IP -protokollaan liittyvä salaus- ja varmennemenetelmä. SSL on TLS:n vanha nimitys, usein puhutaan edelleen SLL:stä tai TLS/SSL-suojauksesta. Menetelmästä käytetään joissain yhteyksissä nimitystä sertifikaatti.

Yhteydessä palvelimen ja käyttäjän välillä on kaksi turvatarkistusta

  • palvelin ja käyttäjä salakirjoittavat keskinäisen liikenteensä yhdessä sopimansa salakirjoitusavaimen kanssa
  • yhteyden avausvaiheessa palvelin neuvoo käyttäjää varmentamaan identiteettinsä kolmannen osapuolen toimesta

Tämä kolmas osapuoli on se taho, josta sertifikaatti hankitaan, esimerkiksi maksuton Lets Encrypt. Edellä kuvatut toimenpiteet vahvistavat käyttäjän luottamusta palvelimeen, että palvelin todella on se oikea palvelu johon oli tarkoitus ottaa yhteyttä ja avausvaiheen jälkeen hankaloittaa kommunikaation salakuuntelua ja muuntelua. 

Tarkista oma verkkopalvelusi. Mitä minun pitää nyt tehdä?

  • Avaa oma verkkopalvelusi selaimeen ja varmista, että lukko- tai kilpisymboli on aktiivinen, kts esimerkkikuvat yllä
  • Jos salauksessa on puutteita, ota yhteyttä verkkosivutoimittajaasi ja pyydä hoitamaan asia kuntoon
  • Salauksen tuottamiseen liittyy kaksi osaa: palvelimeen on asennettava TLS/SSL varmenne ja verkkosivusi kaikki mahdollisesti muualta haettavat sisällöt on toimitettava salatun yhteyden yli

 

Yrityssalon digivinkit:

 

 

 

 

Julkaistu 14.12.2020 // Mainostoimisto Kuke

Pidätämme oikeuden muutoksiin.

 

Digivinkit ovat osa Coastal Bootcamp -hankkeen toimenpiteitä. Tavoitteena on edistää yritysten digitaitoja ja -osaamista.
Lue lisää hankkeesta täältä