SSL-suo­jaus on teho­kas kei­no pitää kävi­jöi­den arka­luon­tei­set tie­dot parem­min tur­vas­sa net­ti­si­vuil­la­si. Kun han­kit sivus­tol­le­si SSL-ser­ti­fi­kaa­tin, sivus­ton käyt­tä­jien ja pal­ve­li­men väli­nen yhteys pys­ty­tään salaa­maan, jot­ta ulko­puo­li­set eivät pää­se käsik­si esi­mer­kik­si yhtey­den­ot­to­lo­mak­keel­le täy­den­net­tä­viin hen­ki­lö­tie­toi­hin.

Suo­sit­tu salaus­ta­pa

SSL on laa­jal­ti käy­tet­ty salaus­pro­to­kol­la, jon­ka toi­min­ta perus­tuu ser­ti­fi­kaat­tei­hin eli var­men­tei­siin. Var­men­teen avul­la verk­ko­si­vus­to todis­taa ole­van­sa se, mikä se väit­tää ole­van­sa. Nimi SSL tulee englan­nin kie­len sanois­ta Secu­re Soc­kets Layer. SSL-salaus­ta käy­te­tään pal­jon myös suo­jaa­maan lii­ken­net­tä säh­kö­pos­ti­pal­ve­li­men ja säh­kö­pos­tioh­jel­man välil­lä.

Help­po­jen koti­si­vu­jen kaut­ta saat vai­vat­to­mas­ti han­kit­tua SSL-ser­ti­fi­kaa­tin sivus­tol­le­si. Jär­jes­täm­me asiak­kail­lem­me ilmai­set kuu­kausi­mak­sut­to­mat SSL-ser­ti­fi­kaa­tit Let’s Enc­rypt -pal­ve­lun avul­la. Let’s Enc­rypt suo­jaa yli 47 mil­joo­naa domai­nia ympä­ri maa­il­maa.

SSL-ser­ti­fi­kaat­ti tekee sivus­tos­ta­si luo­tet­ta­vam­man

Ihmi­set alka­vat olla yhä val­veu­tu­neem­pia tie­to­tur­van ja yksi­tyi­syy­den suh­teen, ja monet netin­käyt­tä­jät ovat nyky­ään hyvin tark­ko­ja sii­tä, kenel­le uskal­ta­vat tie­to­jaan luo­vut­taa ver­kos­sa. Poten­ti­aa­li­set asiak­kaat alka­vat nopeas­ti kart­taa yri­tys­tä, jos eivät koe voi­van­sa luot­taa sii­hen tie­to­suo­ja-asiois­sa.

Tie­to­suo­jan tär­keys koros­tuu enti­ses­tään, kun EU:n ylei­nen tie­to­suo­ja-ase­tus alkaa vel­voit­taa yri­tyk­siä, jär­jes­tö­jä ja viran­omai­sia 25.5.2018 alkaen.

SSL-ser­ti­fi­kaat­ti osoit­taa sivus­ton käyt­tä­jil­le, että hei­dän yhtey­ten­sä sivus­tol­le ja sen kaut­ta lähe­te­tyt tie­dot on asian­mu­kai­ses­ti suo­jat­tu. Tämä on omi­aan lisää­mään luot­ta­mus­ta sivus­toa­si koh­taan ja ker­too kävi­jäl­le, että kans­sa­si on tur­val­lis­ta asioi­da. SSL paran­taa myös hie­man sivu­jen haku­ko­ne­nä­ky­vyyt­tä, sil­lä esi­mer­kik­si Google suo­sii haku­tu­lok­sis­saan tur­val­li­sia sivus­to­ja.

Monen­ta­soi­sia ser­ti­fi­kaat­te­ja

SSL-ser­ti­fi­kaat­te­ja on kol­men tasoi­sia:

  • Domain­var­men­net­tu (Domain Vali­da­ted eli DV)
  • Yri­tys­var­men­net­tu (Orga­niza­tio­nal­ly vali­da­ted eli OV)
  • Exten­ded vali­da­tion (EV), joka on var­men­teis­ta laa­jin

Var­men­teen taso kan­nat­taa vali­ta halu­tun käyt­tö­tar­koi­tuk­sen aset­ta­mien vaa­ti­mus­ten mukaan. Pie­nel­le yri­tyk­sel­le voi hyvin riit­tää pelk­kä domain­var­men­net­tu SSL-var­men­ne, joi­ta voi saa­da myös ilmai­sek­si. DV-var­men­net­ta hake­van yri­tyk­sen tie­to­ja ei tar­kas­te­ta.

Jos sivus­to kerää ihmis­ten arka­luon­tei­sia hen­ki­lö­tie­to­ja, kuten luot­to­kort­ti­tie­to­ja tai ter­veys­tie­to­ja, sen voi kui­ten­kin olla suo­si­tel­ta­vaa hank­kia jom­pi kum­pi laa­jem­mis­ta ser­ti­fi­kaat­ti­tyy­peis­tä. Nii­den haki­jat tar­kis­te­taan perus­teel­li­sem­min (esi­mer­kik­si yri­tys­re­kis­te­ris­tä), mikä saa sivus­ton vai­kut­ta­maan tur­val­li­sem­mal­ta kävi­jöil­le.

Exten­ded Vali­da­tion -ser­ti­fi­kaat­tia var­ten haki­jan tie­dot syy­nä­tään kaik­kein tar­kim­min, mikä tekee var­men­tees­ta eri­tyi­sen luo­tet­ta­van.

Miten vie­rai­li­ja tun­nis­taa SSL-ser­ti­fi­kaa­tin?

Sivus­ton kävi­jöil­le SSL-suo­jaus osoi­te­taan käyt­tä­mäl­lä verk­ko-osoit­tees­sa https-etu­lii­tet­tä perin­tei­sen http:n sijaan, sekä yleen­sä vih­reäl­lä luk­ko-iko­nil­la osoi­te­ri­vil­lä. Exten­ded Vali­da­tion -var­men­tees­sa osoi­te­ri­vil­le tulee lisäk­si näky­viin yri­tyk­sen nimi ja maa­tun­nus joko vih­reäl­lä teks­til­lä tai vih­reäl­lä taus­tal­la, riip­puen kävi­jän selai­mes­ta. Monet verk­ko­se­lai­met myös varoit­ta­vat käyt­tä­jää sivus­tois­ta, joi­ta ei ole SSL-suo­jat­tu.

Domain­var­men­net­tu tai yri­tys­var­men­net­tu SSL-ser­ti­fi­kaat­ti näkyy vie­rai­li­jal­le näin:

Exten­ded Vali­da­tion -var­men­ne puo­les­taan näyt­tää kävi­jäl­le täl­tä:

Ser­ti­fi­kaa­tin myön­tä­jän takaa­ma

SSL-ser­ti­fi­kaat­ti toi­mii todis­tee­na sii­tä, että var­men­teen myön­tä­jä (Cer­ti­fica­te Aut­ho­ri­ty, CA) takaa sen hal­ti­jan iden­ti­tee­tin. Mer­kit­tä­viä ser­ti­fi­kaat­te­ja myön­tä­viä yri­tyk­siä ovat muun muas­sa Como­do ja Syman­tec.

Verk­ko­se­lain­ten val­mis­ta­jat pitä­vät aktii­vi­ses­ti lis­taa luo­tet­ta­vis­ta ser­ti­fi­kaa­tin myön­tä­jis­tä, joi­den voi­daan taa­ta nou­dat­ta­van vaa­dit­tu­ja tie­to­tur­vas­tan­dar­de­ja var­men­tei­ta jakaes­saan. Selai­mis­sa tämä lis­ta tulee auto­maat­ti­ses­ti selai­noh­jel­man muka­na.

Kos­ka selai­noh­jel­ma luot­taa sen lis­tal­ta löy­ty­vään var­men­teen myön­tä­jään, luot­taa se myös sivus­toi­hin, joil­le tämä on myön­tä­nyt SSL-ser­ti­fi­kaa­tin. Näin selain voi ker­toa käyt­tä­jäl­leen, että sivus­ton käyt­tä­mi­nen on tur­val­lis­ta.

Miten SSL tek­ni­ses­ti toi­mii?

Kun SSL-var­men­ne on myön­net­ty, se asen­ne­taan verk­ko­pal­ve­li­mel­le, jos­sa sivus­to sijait­see. Samal­la luo­daan kak­si avain­ta (yksi­tyi­nen ja jul­ki­nen), joi­den avul­la tie­to­jen salaus ja salauk­sen pur­ka­mi­nen hoi­de­taan.

Kun käyt­tä­jä ottaa yhtey­den SSL-suo­jat­tuun sivus­toon, pal­ve­lin lähet­tää selai­mel­le sivus­ton jul­ki­sen avai­men sekä kopion SSL-ser­ti­fi­kaa­tis­ta auten­ti­koi­mis­ta var­ten. Selain tar­kis­taa, että verk­ko­si­vus­ton nimi vas­taa var­men­teen tie­to­ja, ser­ti­fi­kaat­ti on voi­mas­sa ja sen myön­tä­jä on luo­tet­ta­va.

Var­mis­tet­tu­aan SSL-ser­ti­fi­kaa­tin aitou­den selain luo unii­kin sym­met­ri­sen avai­men, jon­ka se salaa saa­mal­laan jul­ki­sel­la avai­mel­la ja lähet­tää pal­ve­li­mel­le. Pal­ve­lin pys­tyy avaa­maan tämän salauk­sen ser­ti­fi­kaa­tin hank­ki­mi­sen yhtey­des­sä luo­dul­la yksi­tyi­sel­lä avai­mel­laan.

Tämän pro­ses­sin jäl­keen selain ja verk­ko­si­vus­ton sisäl­tä­vä pal­ve­lin voi­vat muo­dos­taa suo­ja­tun yhtey­den, jon­ka kaik­ki data suo­ja­taan molem­pien hal­lus­sa ole­val­la sym­met­ri­sel­lä avai­mel­la. Käy­tön jäl­keen sym­met­ri­set avai­met hävi­te­tään, ja seu­raa­vaa istun­toa var­ten selain luo taas koko­naan uuden sym­met­ri­sen avai­men.

SSL ja TLS

Kos­ka parem­min tun­net­tua SSL-ter­miä laa­jal­ti käy­te­tään sekä SSL- että TLS-ser­ti­fi­kaa­teis­ta, olem­me käyt­tä­neet sitä myös täs­sä artik­ke­lis­sa. Itse asias­sa uusim­mat var­men­teet käyt­tä­vät kui­ten­kin TLS-pro­to­kol­laa (Trans­port Layer Secu­ri­ty). TLS on SSL:n seu­raa­ja, joka muo­tou­tui SSL-pro­to­kol­lan jat­ku­van kehi­tys­työn tulok­se­na. SSL:n ver­sios­ta 3.0 siir­ryt­tiin suo­raan TLS:n ver­sioon 1.0.

Täl­lä het­kel­lä uusin ja tur­val­li­sin ver­sio on TLS 1.2, jon­ka myös Help­po­jen koti­si­vu­jen asiak­kaat saa­vat käyt­töön­sä.

SSL-ser­ti­fi­kaa­tin 6 kes­keis­tä hyö­tyä:

1. Pitää sivus­to­si käyt­tä­jien tie­dot suo­jas­sa salaa­mal­la yhtey­den
2. Ser­ti­fi­kaa­tin myön­tä­jän takaus saa sivus­to­si vai­kut­ta­maan luo­tet­ta­vam­mal­ta
3. Kävi­jä tie­tää var­mas­ti ole­van­sa sinun sivus­tol­la­si, eikä esi­mer­kik­si vas­taa­val­la hui­jaus­si­vus­tol­la
4. Google suo­sii haku­tu­lok­sis­saan SSL-suo­jat­tu­ja sivus­to­ja
5. SSL-suo­jat­tu sivus­to ja sen kuvat latau­tu­vat käyt­tä­jäl­le nopeam­min
6. SSL-var­men­teen avul­la voit parem­min täyt­tää EU:n tie­to­suo­ja-ase­tuk­sen vaa­ti­muk­set