Mikä on SSL-sertifikaatti ja miksi se on kotisivujen kannalta tärkeä?

Tiivistelmä: SSL-sertifikaatti mahdollistaa suojatun https-yhteyden käyttämisen kotisivulla. Suojattu yhteys parantaa sivuston käyttäjien tietoturvaa ja antaa luotettavan kuvan sivustosta. Lisäksi salattu sivusto saa positiivista nostetta Googlen hakutuloksissa.

Mitä SSL tarkoittaa?

SSL (Secure Sockets Layer) oli laajalti käytetty salausprotokolla, jolla suojattiin verkkoliikennettä, kunnes se korvattiin 1999 TLS:llä (Transport Layer Security). Terminä SSL on kuitenkin jäänyt elämään ja on monien tuntema ja käyttämä.

Mikä on SSL-sertifikaatti?

SSL-sertifikaatti on tiedosto, joka yhdistää organisaation tiedot ja salausavaimen toisiinsa. Palvelimelle asennettuna sertifikaatti mahdollistaa salatun ja suojatun https-yhteyden käyttämisen palvelimen ja Internet-selaimen välillä. Salaus näkyy netin käyttäjälle riippulukon kuvana selaimen osoiterivin alussa.

Kuka myöntää SSL-sertifikaatteja?

Sertifikaattien myöntämisestä vastaavat kansainväliset varmentajat (Certificate auhtority, CA). Varmentajat SSL-sertifikaattien hakijoiden olemassaolon ja oikeudet verkkotunnukseen, jolle sertifikaattia haetaan. Varmentajan tehtävänä on toimia luotettavana kolmantena tahoja ja vahvistaa, että sertifikaatin käyttäjä on se, joka väittääkin olevansa.

Kansainvälisiä varmentajia

Varmentajia ovat esimerkiksi,

  • Comodo
  • Symantec
  • GoDaddy
  • GlobalSign
  • GeoTrust
  • Verizon
  • Let’s Encrypt

HTTP vai HTTPS?

Http-yhteydellä tapahtuva verkkoliikenne on salaamatonta ja kaikki nettiselaimen ja palvelimen välillä tapahtuva viestintä tapahtuu selkokielisenä tekstinä. Tämä tarkoittaa, että kolmas taho voi kaapata ja lukea edestakaisin liikkuvan verkkoliikenteen.

Käytännössä verkkoliikenne voi tarkoittaa esimerkiksi

  • kotisivujen ylläpidon kirjautumistietoja,
  • yhteydenottolomakkeella lähetettyä viestiä,
  • verkkokaupassa tehtyä tilausta,
  • verkkokaupan asiakassivulle syötettyjä luottokortin tietoja

Https-yhteyttä käytettäessä verkkoliikenne ja selaimesta palvelimelle lähetettävät tiedot ovat salattuja ja turvassa kaappauksilta.

Verkkokauppojen suojaamisesta

Verkkokauppojen ostokset maksetaan yleensä jonkin maksunvälittäjän kautta (PayPal, Paytrail, Checkout), joiden yhteydet ovat kyllä suojattuja ja salattuja, vaikkei verkkokauppa itsessään olisikaan. Tosin verkkokaupan ja maksunvälittäjän välillä on riskin paikka, kun tilauksen tiedot siirtyvät kaupasta maksupalveluun, koska siihen väliin ulkopuolisten on vielä mahdollista päästä.

Miksi SSL:n käyttö kotisivuilla on tärkeää?

SSL-sertifikaatin hankkiminen ja https-yhteyden käyttäminen oman yrityksen verkkosivuilla on tärkeää turvallisuuden, luottamuksen ja hakukoneoptimoinnin kannalta.

1) SSL-sertifikaatti tekee sivustosta turvallisemman käyttää

Salauksen käyttö sivustolla suojaa sekä kotisivuja että niiden käyttäjiä. Asiattomat tahot eivät tällöin pääsee kaappaamaan sivustohallinnan kirjautumistietoja tai käyttäjien lähettämiä pankki-, yhteys- tai muita henkilökohtaisia tietoja.

Käyttäjien tietojen turvaaminen on hyvä asia myös Euroopan Unionin yhteistä tietosuojalainsäädäntöä (GDPR), jota aletaan käytännössä soveltaa toukokuussa 2018, silmällä pitäen. Uusi lainsäädäntö velvoittaa yrityksiä pitämään entistäkin parempaa huolto ihmisten yksityisistä tiedoista.

LUE MYÖS: Mitä työkaluja WordPress tarjoaa käyttäjien tietojen hallinnointiin

2) Sivuston suojaaminen herättää luottamusta

Vuoden 2017 aikana Googlen Chrome-selain on alkanut varoittaa käyttäjiään suojaamattomista verkkosivustoista. Varoitus näkyy osoitepalkissa ainakin niillä sivuilla, joilla kysytään salasanaa tai luottokortin tietoja. Googlen suunnitelmissa on kuitenkin ulottaa varoitus kattamaan kaikki vain http-yhteyttä käyttävät sivut.

Varoituksen näkyminen sivustolla voi saada sivukävijät säikähtämään ja siirtymään kilpailijoiden suojatuille sivustoille. SSL-sertifikaatin hankkiminen ja https-yhteyden käyttöönotto omalla sivustolla onkin investointi yrityksen julkisuuskuvaan ja luotettavuuteen.

Suurena toimijana Google on suunnannäyttäjä, joten lienee vain ajan kysymys ennen kuin muidenkin valmistajien selaimet alkavat toimia vastaavalla tavalla.

3) Google arvostaa suojattuja sivustoja

Kannustaakseen sivustoja siirtymään suojattuihin yhteyksiin, Google palkitsee suojatut sivustot pisteyttämällä ne korkeammalle hakutuloksissa kuin suojaamattomat sivustot. Parempi hakusijoitus johtaa yleensä kasvaneeseen liikennemäärään sivustolla. Enemmän kävijöitä yrityksen kotisivuilla tarkoittaa taas useampia kaupanteon mahdollisuuksia ja lisäkassavirtaa.

SSL-sertifikaattivaihtoehdot ja niiden erot

Salausvarmenteita on kolmenlaisia – domain, organization ja extended validation. Salaustaso on jokaisessa varmennetyypissä yhtä hyvä. Erona sertifikaateissa on vain hakijan varmentamisen perusteellisuus ja miltä varmenne näyttää nettiselaimissa.

Domain validation

Domain validation (DV) on varmenteiden alin taso. Sertifikaatin myöntäjä tarkistaa vain, että hakija hallinnoi verkkotunnusta, jolle varmennetta haetaan. Hallinnointi varmistetaan vain tunnuksen mukaiseen sähköpostiosoitteeseen lähetettävällä viestillä. Hakijan olemassaoloa tai laillisuutta ei domain validation kohdalla tarkisteta.

DV-sertifikaatti on helppo ja nopea tapa suojata oma verkkosivustonsa. Käyttäjien tiedot ja sivuston käyttö on salattua, mutta käyttäjä ei voi sertifikaatista varmistaa, kuka on linjan toisessa päässä vastaanottamassa lähetettyjä tietoja.

Organization validation

Organization validation (OV) varmenteessa sertifikaatin myöntäjä tarkistaa verkkotunnuksen hallinnoinnin lisäksi hakijayrityksen olemassa olon eri rekistereistä ja toimitettavien dokumenttien avulla. Sertifikaatin tietoihin tulee tällöin näkyviin yrityksen tiedot, jolloin sivuston käyttäjä voi olla varma, että hän asioi oikean tahon kanssa.

Extended validation

Extended validation (EV) on sertifikaattien korkein taso ja sen saaminen edellyttää perusteellisen taustatietojen tarkistuksen läpäisemistä. Varmentaja tarkistaa perusteellisesti hakijan laillisen, fyysisen ja toiminnallisen olemassaolon.

Kun DV- ja OV-sertifikaatteja käytettäessä selaimen osoitepalkissa näkyy vain vihreä riippulukko, niin EV-varmenteen kanssa osoitepalkissa näkyy vihreällä myös yrityksen nimi. Tyypillisesti EV-sertifikaatteja näkee käytettävän esimerkiksi pankkien, vakuutusyhtiöiden ja suurten verkkokauppojen sivustoilla. EV-varmenteen kohdalla ei jää epäselväksi, kenen kanssa asioi verkossa.

Yhdelle vai useammalle verkkotunnukselle?

Sen lisäksi, että sertifikaateissa on eroja varmennuksen perusteellisuudessa, niin sertifikaattiin sisältyvien verkkotunnusten määrä voi vaihdella. Samaa sertifikaattia on mahdollista käyttää joko yhden tai useamman verkkotunnuksen kanssa, mutta myös jokerivarmenteet ovat mahdollisia.

  • Single domain – varmenne yhdelle verkkotunnukselle, esimerkiksi (www.)yritys.fi. Yhden tunnuksen varmenne suojaa monessa tapauksessa sekä www-alkuisen että ilman olevan verkkotunnuksen.
  • Multi domain – useamman verkkotunnuksen suojaaminen samalla varmenteella, esimerkiksi yritys.fi ja kauppa.yritys.fi.
  • Wildcard – jokerivarmenne, jota voi käyttää verkkotunnuksen ja kaikkien alitunnusten kanssa, esimerkiksi yritys.fi, kauppa.yritys.fi ja yritys.com.

Mikä SSL-sertifikaateista on omalle sivustolleni sopiva?

Sertifikaattivaihtoehtoja on useampia ja niistä voi olla vaikea valita omalle yritykselleen ja sivustolleen sopiva vaihtoehto. Mitä enenmmän henkilökohtaisia tietoja sivustolla käsitellään sitä perusteellisemmin varmennettu sertifikaatti kannattaa valita. Varmennettavien verkkotunnusten määrä tulee suoraan yrityksen hallinoimien sivustojen määrästä.

  • Tyypilliselle yrityssivustolle, jonka erikoisin toiminnallisuus on yhteydenottolomake, riittänee yhden tunnuksen DV- tai OV-sertifikaatti.
  • Verkkokaupat ja runsaasti verkkoliikennettä keräävien sivustojen on taas hyvä valita vähintään OV-sertifikaatti, mutta EV-sertifikaattia voi myös harkita.

Paljonko SSL-sertifikaatti maksaa?

SSL-sertifikaattien hinnat vaihtelevat varmentajien ja välittäjien (esimerkiksi webhotellipalvelu) välillä. Suomessa vuosihinnat vaihtelevat noin sadasta eurosta muutamaan sataan euroon sertifikaatin tason mukaan. Jotkin toimijat voivat tarjota DV-tason sertifikaatteja muutamien kymppienkin vuosihinnalla. Osa palveluntarjoajista on pilkkonut varmenteen hinnan kuukausimaksuiksi.

Ilmainen SSL-sertifikaatti

Let’s Encrypt on pari vuotta sitten toimintansa aloittanut varmentaja, joka tarjoaa ilmaisia SSL-sertifikaatteja. Let’s Encryptin tukijoukoissa on monia Internetjättejä, yhtenä esimerkkinä Facebook, ja sen tavoitteena saada https-yhteys laajamittaiseen käyttöön. Tavoitteeseensa Let’s Encrypt pyrkii tarjoamalla automaattisesti myönnettäviä ilmaisia SSL-sertifikaatteja.

Automaatio poistaa varmenteen myöntämisestä ja käyttöönotosta turhaa käsityötä helpottaen ja nopeuttaen koko prosessia. Automaation kääntöpuolena tosin on, että sen avulla voidaan myöntää vain Domain validation -tason sertifikaatteja.

Monet suomalaiset webhotellipalvelujen tarjoajat ovatkin ottaneet Let’s Encryptin osaksi palvelupakettejaan. Näin jokaisella verkkosivujen omistajalla on mahdollisuus suojata sivustonsa helposti ilman lisäkuluja.

Mistä SSL-sertifikaatteja saa?

Jos omaan webhotellipakettiin kuuluu ilmainen Let’s Encryptin salausvarmenne ja se riittää omiin tarpeisiin, niin erillistä sertifikaattia ei ole välttämätöntä tilata. Jos palvelupakettiin ei sisälly ilmaista varmennetta tai sivustoa varten tarvitaan OV- tai EV-sertifikaatti, niin sertifikaatti on siinä tapauksessa tilattava erikseen.

Helpoin tapa tilata salausvarmenne on ottaa yhteyttä omaan webhotellinpitäjän myynti- tai asiakaspalveluun. Sertifikaatin voi myös tilata suoraan kansainvälisiltä varmentajilta. Tällöin tosin on itse huolehdittava sertifikaatin asentamisesta sivustolleen.

SSL-sertifikaatin käyttöönotto

Salausvarmenteen saamisen jälkeen on oma sivusto vielä asetettava käyttämään https-yhteyttä.

WordPress

WordPress-sivustolla käyttöönotto hoituu muuttamalla yleisistä asetuksista WordPressin ja sivuston osoitteet https alkuisiksi tai esimerkiksi Really Simple SSL-lisäosalla.

Lue myös: Https-yhteyden käyttöönotto WordPress-sivustolla

Sivuston htaccess-tiedostoon hyvä myös lisätä komento, joka pakottaa kaiken liikenteen https-yhteydelle. Tällöin käyttäjät eivät vahingossa pääse surffaamaan sivustolla suojatta.

Joomla

Joomla-sivustolla salausvarmenne otetaan käyttöön sivuston asetuksista ja muokkaamalla configuration- ja htaccess-tiedostoja.

Englanninkielinen ohje SSL:n käyttöönottoon Joomlassa.

Drupal

Drupal-sivustolla https-yhteyden käyttöönotto vaatii htaccess-tiedoston muokkaamista kotisivutilassa.

Englanninkielinen ohje SSL:n käyttöönottoon Drupalissa.

Magento

Magento-verkkokaupan saa käyttämään https-yhteyttä muuttamalla järjestelmän turvallisuusasetuksia.

Englanninkielinen ohje SSL:n käyttöönottoon Magento 1.x ja Magento 2 versioissa.

Apua salausvarmenteen https:n käyttöönottoon

Jos itseltä tai omasta yrityksestä ei löydy osaamista sen tekemiseen, eikä webhotellinpitäjä auta asiassa, niin tällöin voi kääntyä esimerkiksi FissioMedian puoleen. Autamme mielellämme niin https:n käyttöönotossa kuin koko tilausprosessin hoitamisessa.

Lisätietoja SSL:stä GlobalSign:n tietopankista, jota on käytetty tämän artikkelin läheteenä.