Why SSL is important.

Mikä SSL-varmenne on?

SSL-varmenne on digitaalinen varmenne, joka todentaa verkkosivuston ja mahdollistaa salatun yhteyden. SSL tulee sanoista ”Secure Sockets Layer”, joka tarkoittaa suojausprotokollaa, joka luo salatun yhteyden verkkopalvelimen ja selaimen välille.

Yritysten ja organisaatioiden on lisättävä SSL-varmenteet sivustoihinsa verkkotapahtumien turvaamista ja asiakastietojen yksityisyyden suojaamista varten.

Lyhyesti sanottuna: SSL suojaa Internet-yhteydet ja estää rikollisia lukemasta tai muokkaamasta kahden järjestelmän välillä siirrettäviä tietoja. Kun näet riippulukon osoiterivillä olevan URL-osoitteen vieressä, tämä tarkoittaa, että vierailemasi sivusto on suojattu SSL:n avulla.

SSL-protokolla otettiin käyttöön noin 25 vuotta sitten, ja sen jälkeen siitä tuli useita eri versioita, joissa kaikissa oli jossakin vaiheessa tietoturvaongelmia. Niitä seurasi parannettu ja uudelleen nimetty versio TLS (Transport Layer Security), joka on käytössä edelleenkin. SSL-lyhenne jäi kuitenkin käyttöön, joten uutta protokollaa kutsutaan yleensä edelleen vanhalla nimellä.

Miten SSL-varmenteet toimivat?

SSL varmistaa, että käyttäjien ja verkkosivustojen välillä tai kahden järjestelmän välillä siirrettäviä tietoja ei voi lukea. Se käyttää salausalgoritmeja siirrettävien tietojen koodaamiseen, jotta hakkerit eivät voi lukea yhteyden välityksellä siirrettäviä tietoja. Ne voivat sisältää arkaluonteisia tietoja, kuten nimiä, osoitteita, luottokorttien numeroita tai muita raha-asioihin liittyviä tietoja.

Prosessi toimii seuraavasti:

  1. Selain tai palvelin yrittää muodostaa yhteyden verkkosivustoon (eli verkkopalvelimeen), jossa on SSL-suojaus.
  2. Selain tai palvelin pyytää verkkopalvelinta tunnistautumaan.
  3. Verkkopalvelin lähettää selaimelle tai palvelimelle vastauksena SSL-varmenteensa kopion.
  4. Selain tai palvelin tarkistaa, luottaako se SSL-varmenteeseen. Jos luottaa, se ilmoittaa tästä verkkopalvelimelle.
  5. Verkkopalvelin lähettää digitaalisesti allekirjoitetun kuittauksen ja käynnistää SSL-salatun istunnon.
  6. Salatut tiedot siirretään selaimen tai palvelimen ja verkkopalvelimen välillä.

Tästä prosessista käytetään toisinaan nimitystä ”SSL-kättely”. Vaikka se kuulostaa pitkältä prosessilta, se tapahtuu millisekunneissa.

Kun verkkosivusto on suojattu SSL-varmenteella, URL-osoitteessa näytetään lyhenne HTTPS (joka tulee sanoista ”HyperText Transfer Protocol Secure”). Ilman SSL-varmennetta siinä näytetään vain kirjaimet HTTP ilman suojaukseen viittaavaa S-kirjainta (”Secure”). URL-osoitteen rivillä näkyy myös riippulukkokuvake. Tämä ilmaisee luotettavuutta ja toimii vahvistuksena sivustossa vieraileville.

Voit tarkastella SSL-varmenteen tietoja napsauttamalla selaimen palkissa näkyvää riippulukkokuvaketta. SSL-varmenteissa on yleensä seuraavat tiedot:

  • verkkotunnus, jolle varmenne myönnettiin
  • henkilö, organisaatio tai laite, jolle se myönnettiin
  • myöntänyt varmenneviranomainen
  • varmenneviranomaisen digitaalinen allekirjoitus
  • tähän liittyvät aliverkkotunnukset
  • varmenteen myöntämispäivä
  • varmenteen voimassaolon päättymispäivä
  • julkinen avain (yksityistä avainta ei näytetä)

Miksi SSL-varmenne tarvitaan?

Verkkosivustot tarvitsevat SSL-varmenteita käyttäjien tietojen suojaamiseen, verkkosivuston omistajan vahvistamiseen, estämään hyökkääjiä luomasta väärennettyä versiota sivustosta ja luotettavuuden osoittamiseen käyttäjille.

Jos verkkosivusto pyytää käyttäjiä kirjautumaan sisään, antamaan henkilökohtaisia tietoja, kuten luottokorttien numeroita, tai tarkastelemaan luottamuksellisia tietoja, kuten sairauspäivärahoja tai raha-asioita, on tärkeää pitää tiedot luottamuksellisina. SSL-varmenteet auttavat pitämään verkossa suoritetut toimet luottamuksellisina ja takaamaan käyttäjille, että verkkosivusto on aito ja että sivustossa voi antaa turvallisesti yksityisiä tietoja.

Yritysten kannalta on tärkeämpää, että SSL-varmenne vaaditaan HTTPS-osoitetta varten. HTTPS on HTTP:n suojattu muoto, mikä tarkoittaa, että HTTPS-verkkosivustojen liikenne salataan SSL:llä. Suurin osa selaimista käyttää ilman SSL-varmenteita toimivissa HTTP-sivustoissa merkintää ”ei suojattu”. Se on käyttäjille selvä merkki siitä, että sivusto ei välttämättä ole luotettava, ja tämä kannustaa yrityksiä siirtymään HTTPS:n käyttöön.

SSL-varmenne auttaa suojaamaan esimerkiksi seuraavanlaisia tietoja:

  • kirjautumistiedot
  • luottokorttitapahtumat tai pankkitilin tiedot
  • henkilötiedot: koko nimi, osoite, syntymäaika tai puhelinnumero
  • oikeudelliset asiakirjat ja sopimukset
  • terveystiedot
  • omistusoikeuden suojaamat tiedot

SSL-varmenteiden tyypit

On olemassa erityyppisiä SSL-varmenteita, joilla on eri vahvistustasot. Nämä ovat kuusi päätyyppiä:

  1. Extended Validation -varmenteet (EV SSL)
  2. Organization Validated -varmenteet (OV SSL)
  3. Domain Validated -varmenteet (DV SSL)
  4. Wildcard SSL Certificate -varmenteet
  5. Multi-Domain SSL Certificate -varmenteet (MDC)
  6. Unified Communications Certificate -varmenteet (UCC)

Extended Validation -varmenteet (EV SSL)

Tämä on paras ja kallein SSL-varmenteen tyyppi. Sitä käytetään yleensä tunnetuilla verkkosivustoilla, jotka keräävät tietoja ja joihin liittyy verkkomaksuja. Kun tämä SSL-varmenne asennetaan, se näyttää riippulukkokuvakkeen, yrityksen nimen ja maan selaimen osoiterivillä. Kun verkkosivuston omistajan nimi näytetään osoiterivillä, tämä auttaa erottamaan sivuston haittasivustoista. Jotta EV SSL -varmenteen voi ottaa käyttöön, omistajan on käytävä läpi standardoitu identiteetin vahvistusprosessi, jolla vahvistetaan, että taholla on lainmukainen yksinoikeus verkkotunnukseen.

Organization Validated -varmenteet (OV SSL)

Tässä SSL-varmenteen versiossa on samankaltainen vahvistustaso kuin EV SSL -varmenteessa, sillä sen hankkiminen vaatii verkkosivuston omistajaa käymään läpi tarkan vahvistusprosessin. Myös tämäntyyppinen varmenne näyttää verkkosivuston omistajan tiedot osoitepalkissa, jotta se erottuu haittasivustoista. OV SSL -varmenteet ovat yleensä toiseksi kalleimpia (EV SSL -varmenteiden jälkeen), ja niiden ensisijaisena tarkoituksena on salata käyttäjän arkaluonteiset tiedot tapahtumien aikana. Kaupallisten tai julkisten verkkosivustojen on asennettava OV SSL -varmenne sen varmistamiseksi, että asiakkaiden jakamat tiedot pysyvät luottamuksellisina.

Domain Validated -varmenteet (DV SSL)

Tämäntyyppisen SSL-varmenteen hankinnan vahvistusprosessi on minimoitu, ja tästä syystä Domain Validation -tyypin SSL-varmenteet tarjoavat heikomman vahvistuksen ja minimaalisen salauksen. Niitä käytetään yleensä blogeissa ja tietosivustoissa, eli sivustoissa, joihin ei liity tietojen keruuta tai verkkomaksuja. Tällainen SSL-varmenteen tyyppi on yksi edullisimmista ja nopeimmista hankkia. Vahvistusprosessi vaatii vain sen, että verkkosivuston omistaja todistaa olevansa verkkotunnuksen omistaja vastaamalla sähköpostiviestiin tai puheluun. Selaimen osoitepalkissa näytetään vain HTTPS ja riippulukkokuvake, mutta ei yrityksen nimeä.

Wildcard SSL Certificate -varmenteet

Wildcard SSL Certificate -varmenteiden avulla voit suojata verkkotunnuksen ja rajoittamattoman määrän aliverkkotunnuksia samalla varmenteella. Jos sinun on suojattava useita aliverkkotunnuksia, Wildcard SSL Certificate -varmenteen hankkiminen on paljon edullisempaa kuin erillisten SSL-varmenteiden hankkiminen kullekin niistä. Wildcard SSL Certificate -varmenteissa on tähti * osana yhteistä nimeä osoittamassa aliverkkotunnukset, joilla on sama verkkotunnuksen perusosa. Yhdellä Wildcard-varmenteella *sivustoa varten voi suojata seuraavat:

  • omaverkkotunnus.com
  • omaverkkotunnus.com
  • omaverkkotunnus.com
  • omaverkkotunnus.com
  • omaverkkotunnus.com

Multi-Domain SSL Certificate (MDC)

Multi-Domain SSL Certificate -varmenteella voi suojata useita verkkotunnuksia ja/tai aliverkkotunnuksia. Tämä kattaa sellaisten yksilöityjen verkkotunnusten ja aliverkkotunnusten yhdistelmän, joilla on erilainen ylätason verkkotunnus, paikallisia/sisäisiä lukuun ottamatta.

Esimerkkejä:

  • esimerkki.com
  • org
  • tämä-verkkotunnus.net
  • muu.com.au
  • esimerkki.com
  • esimerkki.org

Multi-Domain-varmenteet eivät oletusarvoisesti tue aliverkkotunnuksia. Jos sinun on suojattava sekä www.esimerkki.com että esimerkki.com samalla Multi-Domain-varmenteella, kumpikin isäntänimi on määritettävä varmennetta hankittaessa.

Unified Communications Certificate (UCC)

Unified Communications Certificate -varmenteiden (UCC) katsotaan kuuluvan Multi-Domain SSL -varmenteisiin. UCC-varmenteet suunniteltiin alun perin suojaamaan Microsoft Exchange- ja Live Communications -palvelimia. Nykyisin kuka tahansa verkkosivuston omistaja voi käyttää näitä varmenteita useiden verkkotunnusten suojaamiseen samalla varmenteella. UCC-varmenteet vahvistetaan organisaation perusteella ja ne näyttävät selaimessa riippulukkokuvakkeen. UCC-varmenteita voi käyttää EV SSL -varmenteina, jotta verkkosivuston kävijät saavat parhaan mahdollisen vahvistuksen vihreän osoiterivin avulla.

On tärkeää tuntea erityyppiset SSL-varmenteet, jotta voit hankkia oikeantyyppisen varmenteen sivustoasi varten.

SSL-varmenteen hankkiminen

SSL-varmenteita voi hankkia suoraan varmenneviranomaiselta. Varmenneviranomaiset eli varmentajat myöntävät miljoonia SSL-varmenteita joka vuosi. Ne ovat keskeisessä roolissa siinä, miten Internet toimii ja miten vuorovaikutus verkossa voi olla avointa ja luotettavaa.

SSL-varmenteiden hinta voi vaihdella maksuttomasta satoihin euroihin riippuen siitä, millaisen suojaustason tarvitset. Kun olet päättänyt, minkätyyppisen varmenteen tarvitset, voit etsiä varmenteiden myöntäjiä, jotka tarjoavat tarvitsemasi tason SSL-varmenteita.

SSL-varmenteen hankkiminen sisältää seuraavat vaiheet:

  • Valmistaudu määrittämällä palvelin ja varmistamalla, että WHOIS-tietosi ovat ajan tasalla ja vastaavat tietoja, jotka lähetät varmenneviranomaiselle (niissä on oltava yrityksen oikea nimi ja osoite jne.).
  • Luo varmenteen allekirjoituspyyntö palvelimellasi. Tämä on toimenpide, jossa verkkoisännöintiyrityksesi voi auttaa.
  • Lähetä pyyntö varmenneviranomaiselle verkkotunnuksesi ja yrityksesi tietojen vahvistamista varten.
  • Asenna varmenne, jonka saat prosessin päätteeksi.

Kun varmenne on hankittu, sinun on määritettävä se verkkoisännöintipalveluun tai omiin palvelimiisi, jos isännöit verkkosivustoa itse.

Se, kuinka nopeasti saat varmenteen, riippuu siitä, minkätyyppisen varmenteen hankit ja mistä varmennepalvelusta hankit sen. Vahvistustasoihin kuluu eripituinen aika. Yksinkertainen Domain Validation -tyypin SSL-varmenne voidaan myöntää minuuttien sisällä tilauksesta, mutta Extended Validation -varmenteen saamiseen voi kulua viikko.

Types of SSL certificates

Yhtä SSL-varmennetta voi käyttää useissa verkkotunnuksissa samassa palvelimessa. Tarjoajasta riippuen voit käyttää yhtä SSL-varmennetta myös useissa palvelimissa. Tämä johtuu Multi-Domain SSL Certificate -tyypistä, joka käsiteltiin edellä.

Multi-Domain SSL Certificate -varmenteet toimivat useiden verkkotunnusten kanssa. Määrän päättää myöntävä varmenneviranomainen. Multi-Domain SSL Certificate poikkeaa Single Domain SSL Certificate -varmenteesta, joka on suunniteltu yksittäisen verkkotunnuksen suojaamiseen.

Hämmennystä voi aiheuttaa se, että Multi-Domain SSL Certificate -varmenteista käytetään myös nimitystä SAN-varmenne. SAN tulee sanoista ”Subject Alternative Name”. Kullakin usean verkkotunnuksen varmenteella on lisäkenttiä (SAN), joihin voi lisätä verkkotunnukset, jotka haluat mukaan varmenteeseen.

Myös Unified Communications Certificate - ja Wildcard SSL Certificate -varmenteet sallivat useita verkkotunnuksia, ja jäljempi myös rajoittamattoman määrän aliverkkotunnuksia.

Mitä tapahtuu, kun SSL-varmenteen voimassaolo päättyy?

SSL-varmenteet eivät ole ikuisia, vaan niiden voimassaolo päättyy ennen pitkää. Certificate Authority/Browser Forum, joka toimii SSL-alan tosiasiallisena sääntelyelimenä, toteaa, että SSL-varmenteiden käyttöiän pitäisi olla enintään 27 kuukautta. Käytännössä tämä tarkoittaa kahta vuotta ja kolmea lisäkuukautta, jos SSL-varmenne uusitaan edellisen varmenteen voimassaoloaikana.

SSL-varmenteet vanhenevat, koska kuten missä tahansa todennustavassa, tietojen paikkansapitävyys on tarkistettava säännöllisesti. Internetissä asiat muuttuvat, kun yrityksiä ja verkkosivustoja ostetaan ja myydään. Kun ne vaihtavat omistajaa, myös SSL-varmenteiden kannalta oleelliset tiedot muuttuvat. Voimassaolon päättymisen tarkoituksena on varmistaa, että palvelinten ja organisaatioiden todennukseen käytettävät tiedot ovat mahdollisimman hyvin ajan tasalla ja mahdollisimman tarkkoja.

Aiemmin SSL-varmenteita saatettiin myöntää jopa viideksi vuodeksi, mutta sen jälkeen aika lyhennettiin kolmeen vuoteen ja viimeksi kahteen vuoteen ja kolmeen lisäkuukauteen. Vuonna 2020 Google, Apple ja Mozilla ilmoittivat vaativansa yhden vuoden voimassa olevia SSL-varmenteita, vaikka Certificate Authority/Browser Forum äänesti ehdotusta vastaan. Tämä tuli voimaan syyskuussa 2020. On mahdollista, että tulevaisuudessa voimassaoloaikaa lyhennetään entisestään.

Kun SSL-varmenteen voimassaolo päättyy, tämä estää pääsyn kyseiseen sivustoon. Kun käyttäjän selain saapuu verkkosivustoon, se tarkistaa SSL-varmenteen voimassaolon millisekunneissa (osana SSL-kättelyä). Jos SSL-varmenteen voimassaolo on päättynyt, kävijät saavat viestin, joka voi olla esimerkiksi ”Tämä sivusto ei ole turvallinen. Mahdollinen tietoturvariski”.

Vaikka käyttäjillä on mahdollisuus jatkaa, sitä ei suositella, koska tähän liittyy kyberriskejä, kuten haittaohjelmien mahdollisuus. Verkkosivuston omistajien kannalta tällä on suuri vaikutus sivustosta poistumisen määriin, sillä käyttäjät siirtyvät sivustosta nopeasti muualle.

SSL-varmenteiden voimassaolon päättymisen seuraaminen on haaste suuremmille yrityksille. Pienillä ja keskisuurilla yrityksillä saattaa olla vain yksi varmenne tai muutamia varmenteita hallittavanaan, mutta suuryrityksillä, jotka voivat toimia eri markkinoilla ja joilla voi olla useita verkkosivustoja ja verkkoja, niitä on paljon enemmän. Jos tämän tason yrityksen SSL-varmenne vanhenee, kyseessä on yleensä huolimattomuus eikä osaamattomuus. Suurille yrityksille paras keino pysyä ajan tasalla SSL-varmenteiden voimassaolon päättymisestä on varmenteiden hallintajärjestelmän käyttäminen. Markkinoilla on eri tuotteita, jotka löytyvät verkkohaulla. Niiden avulla suuryritykset voivat katsella ja hallita koko infrastruktuurinsa digitaalisia varmenteita. Jos käytät tällaista palvelua, on tärkeää kirjautua sisään säännöllisesti, jotta tiedät, milloin varmenteet on uusittava.

Jos päästät varmenteen vanhenemaan, se ei enää kelpaa, eikä sivustossasi voi enää suorittaa suojattuja tapahtumia. Varmenneviranomainen kehottaa sinua uusimaan SSL-varmenteesi ennen sen voimassaolon päättymistä.

Varmenneviranomainen tai SSL-palvelu, jolta hankit SSL-varmenteesi, lähettää sinulle säännöllisin väliajoin ilmoituksia voimassaolon päättymisestä, yleensä alkaen 90 päivää ennen voimassaolon päättymistä. Pyri varmistamaan, että nämä muistutukset lähetetään sähköpostilistalle eikä yksittäiselle henkilölle, joka on voinut jo lähteä yrityksestä tai vaihtaa tehtävää, kun muistutuksia alkaa saapua. Mieti, mitkä yrityksen sidosryhmät ovat tällä jakelulistalla, jotta voit varmistaa, että oikeat henkilöt näkevät muistutukset oikeaan aikaan.

Mistä tietää, onko sivustossa SSL-varmenne?

Helpoin keino nähdä, onko sivustossa SSL-varmenne, on katsoa selaimen osoiteriviä.

  • Jos URL-osoitteen alussa on HTTPS eikä HTTP, tämä tarkoittaa, että sivusto on suojattu käyttämällä SSL-varmennetta.
  • Suojatuissa sivustoissa näkyy riippulukkokuvake, jota napsauttamalla näet suojauksen tiedot. Kaikkein luotettavimmissa sivustoissa on vihreä riippulukkokuvake tai osoiterivi.
  • Selaimet näyttävät myös varoitusmerkkejä, kun yhteys ei ole suojattu, esimerkiksi punaisen riippulukon, avatun riippulukon, viivan verkkosivuston nimen päällä tai varoituskolmion riippulukkokuvakkeen päällä.

Miten voit varmistaa turvallisen verkkoistunnon?

Anna henkilötietoja ja verkkomaksutietoja vain verkkosivustoissa, joissa on EV- tai OV-varmenne. DV-varmenteet eivät sovellu käytettäväksi verkkokauppasivustoissa. Voit tarkistaa, onko sivustossa EV- tai OV-varmenne, katsomalla osoitepalkkia. Jos kyseessä on EV SSL, organisaation nimi näkyy itse osoitepalkissa. Jos kyseessä on OV SSL, näet organisaation nimen tiedot napsauttamalla riippulukkokuvaketta. Jos kyseessä on DV SSL, näkyvissä on vain riippulukkokuvake.

Lue verkkosivuston tietosuojakäytäntö. Siitä näet, miten tietojasi käytetään. Luotettavat yritykset kertovat avoimesti, miten ne keräävät tietojasi ja mitä ne niillä tekevät.

Etsi verkkosivustoista luotettavuuden merkkejä.
SSL-varmenteiden lisäksi näitä ovat hyvämaineiset logot tai merkit, jotka osoittavat, että verkkosivusto täyttää tietyt suojausvaatimukset. Muita keinoja, joilla voit päätellä sivuston aitouden, ovat fyysisen osoitteen ja puhelinnumeron etsiminen, palautus- tai hyvityskäytännön tarkistaminen ja sen varmistaminen, että hinnat ovat uskottavia eivätkä liian hyviä ollakseen totta.

Varo tietojenkalasteluhuijauksia.
Joskus kyberhyökkääjät luovat sivustoja, jotka jäljittelevät aitoja sivustoja, huijatakseen ihmisiä ostamaan jotakin tai kirjautumaan tietojenkalastelusivustoonsa. Tietojenkalastelusivusto voi hankkia SSL-varmenteen ja salata kaiken käyttäjän ja sivuston välissä kulkevan liikenteen. Yhä suurempi osa tietojenkalasteluhuijauksista tehdään HTTPS-sivustoissa harhauttamalla käyttäjiä, jotka luottavat sivustoon riippulukkokuvakkeen takia.

Voit välttää tällaiset hyökkäykset seuraavasti:

  • Tarkista aina sivuston verkkotunnuksen nimen oikeinkirjoitus. Väärennetyn sivuston URL-osoitteessa voi olla vain yhden merkin ero, esim. amaz0n.com eikä amazon.com. Jos et ole varma, kirjoita verkkotunnus suoraan selaimeen ja varmista, että luot yhteyden juuri haluamaasi sivustoon.
  • Älä koskaan anna kirjautumistunnuksia, salasanoja, pankkitunnuksia tai muita henkilökohtaisia tietoja sivustossa, ellet ole varma sen aitoudesta.
  • Mieti aina, mitä tietty sivusto tarjoaa, näyttääkö se epäilyttävältä ja kannattaako sinun rekisteröityä siihen.
  • Varmista, että laitteesi on suojattu hyvin: Kaspersky Internet Security vertaa URL-osoitteita laajaan tietojenkalastelusivustojen tietokantaan ja tunnistaa huijaukset siitä riippumatta, kuinka ”turvalliselta” sivusto näyttää.

Kyberriskit muuttuvat jatkuvasti, mutta se, että osaa etsiä tietyntyyppiset SSL-varmenteet ja erottaa turvalliset ja mahdollisesti vaaralliset sivustot toisistaan, auttaa Internetin käyttäjiä välttämään huijauksia ja suojaamaan henkilötietojaan kyberrikollisilta.

Aiheeseen liittyviä artikkeleita:

SSL-varmenne – määritelmä ja selitys

Kaspersky Logo