Keräsimme tietoa, mikä SSL-sertifikaatti on ja miten se vaikuttaa yritysten verkkosivuihin ja niiden käyttäjiin.
SSL tulee sanoista Secure Sockets Layer, joka tarkoittaa suojausprotokollaa. SSL-sertifikaatti on internetliikennettä salaava sertifikaatti, joka mahdollistaa suojatun yhteyden tietokoneen ja palvelimen välille. SSL-varmenteella sivustot todistavat olevansa hyvämaineisia ja turvallisia.
Miten SSL-sertifikaatti toimii?
SSL-varmenteen tärkein tehtävä on suojata palvelin-asiakas-viestintää (client-server). Varmenteen toinen päätehtävä on todentaa verkkosivusto.
Kun suojattu yhteys on muodostettu, ulkopuoliset eivät pääse näkemään yhteyden kautta kulkevaa dataa. Suojaus on myös tärkeä EU:n yleisen tietosuoja-asetuksen kannalta, se velvoittaa yrityksiä huolehtimaan tietosuojastaan. Suojatun sivun tunnistaa osoiterivillä olevasta riippulukosta ja “suojattu” tai “turvallinen” tekstistä.
Selaimet haluavat vähentää haittaohjelmien leviämistä
Google teki SSL:stä pakollisen vuonna 2018, ja tällä on iso vaikutus yritysten hakukonenäkyvyyteen, sillä hakukoneet suosivat mieluiten SSL-varmennettuja sivustoja. Selaimet haluavat tällä vähentää haittaohjelmien leviämistä verkossa ja estää arkaluontoisen tiedon vuotamista vääriin käsiin.
Suojaamaton sivusto vaikuttaa yrityksen imagoon
Suojaamaton sivusto vaikuttaa myös yrityksen imagoon, sillä sivustolla vieraileva käyttäjä näkee osoiterivillä “Ei turvallinen” tai “Ei suojattu” tekstin. Tällainen sivusto pistää hälytyskellot heti soimaan ja siltä poistutaan nopeasti. Google myös joskus tulkitsee sivun turvattomaksi, vaikka sivustolla olisikin käytössä SSL-varmenne. Google nimittäin tulkitsee https://www- ja www- alkuiset osoitteet erillisiksi sivustoiksi, vaikka kyse olisi samasta verkkosivustosta. Tämä vaikuttaa myös hakukonenäkyvyyteen, koska samaa sisältöä löytyy kahdesta eri URL-osoitteesta.
Eritasoiset sertifikaatit
SSL-sertifikaatteja on kolme erilaista: Domain Validation (DV), Organization Validation, (OV) sekä Extended Validation (EV), joka on sertifikaateista laajin. Sertifikaatin taso kannattaa valita sen mukaan, mikä sivuston käyttötarkoitus on. Pienen yrityksen verkkosivuille voi riittää mainiosti pelkkä Domain Validation (DV) sertifikaatti. DV-sertifikaatit ovat suojaustasoltaan matalampia, eikä niitä hakevien yritysten tietoja tarkasteta.
Jos sivustolla kerätään käyttäjien arkaluonteisia tietoja, kuten terveystietoja tai luottokorttitietoja, on käytössä yleensä jompikumpi laajemmista varmenteista. Organization Validation sertifikaatin hakijoiden tiedot tarkastetaan perusteellisemmin, mikä tekee siitä luotettavan myös käyttäjien kannalta. Extended Validation sertifikaatti on sertifikaateista kaikkein luotettavin, sillä sitä hakevien sivustojen tiedot tarkastetaan kaikista laajimmin.
SSL-varmenteen hankkiminen
SSL-sertifikaatit hankitaan aina ulkopuoliselta turvallisuusyritykseltä, mikä takaa suojauksen luotettavuuden ja turvallisuuden. Yleensä sertifikaatista maksetaan vuosittainen maksu, joka myöntävästä tahosta riippuen on noin 100–300 euroa domain-osoitetta kohden. Vuosimaksun lisäksi varmenteen asennuksesta palvelimelle, pitää maksaa pienimuotoinen kertamaksu.
Jotkin tahot myöntävät SSL-sertifikaatteja jopa täysin ilman vuosimaksuja. Yksi ilmaisista sertifikaatin tarjoajista on Let’s Encrypt, jonka tuottaa kaliforniassa toimiva yleishyödyllinen järjestö Internet Security Research Group (ISRG). Tämä on avoimen lähdekoodin projekti.
Minkälainen sertifikaatti toimii yritykselle?
Extended Validation (EV) SSL-varmenteita käyttävät esimerkiksi valtionhallinnon organisaatiot, pankit, vakuutusyhtiöt, erilaiset yritykset ja säätiöt. EV-varmenteen kohdalla ei jää epäselväksi, asioiko varmasti oikealla sivulla.
Organization Validation (OV) SSL-varmenteita käyttävät yleensä sellaiset sivustot, jotka keräävät ja tallentavat asiakkaiden henkilökohtaisia tietoa, esimerkiksi suuret verkkokaupat (joilla oma app). Kuten EV:n kohdalla, myös OV:n käyttävien yritysten sivuilla ei ole epäilystä kenen sivuilla on, koska varmenteen tiedoissa lukee yrityksen nimi.
Domain Validation (DV) SSL-varmenteita käyttävät sellaiset yritykset, joilla ei ole esimerkiksi verkkokauppaa tai he eivät kerää asiakkaiden tietoja. DV- varmenne kyllä suojaa sivun ja käyttäjien tiedot, mutta se ei ole yhtä luotettava, kuin OV tai EV. Käyttäjä ei voi myöskään sertifikaatista varmistaa, meneekö luotettavat tiedot oikeaan paikkaan vai huijarille.
Muista uusia SSL-varmenne
Let’s Encrypt SSL -sertifikaatti on voimassa 90 päivää ja se uusitaan yleensä palveluntarjoajan puolesta automaattisesti. Maksulliset SSL-varmenteet hankitaan yleensä vuodeksi tai pariksi kerrallaan, ja niiden uusiminen vaatii yleensä ylläpitotoimenpiteitä palveluntarjoajan puolesta, sillä uusittavat sertifikaatit pitää yleensä erikseen asentaa palvelimelle. Näin niillä voidaan tehokkaammin valvoa varmenteita käyttävien tahojen luotettavuutta.
Kun SSL-varmenteen voimassaolo päättyy, tämä estää pääsyn kyseiseen sivustoon. Käyttäjän selain tarkistaa SSL-varmenteen voimassaolon millisekunneissa, ja jos SSL-varmenteen voimassaolo on päättynyt, kävijät saavat viestin, joka on esim. ”Tämä sivusto ei ole turvallinen” tai “Mahdollinen tietoturvariski”. Sivuston omistajien kannalta tällä on suuri vaikutus sivustosta poistumisen määriin, sillä käyttäjät siirtyvät nopeasti muualle.
Erilaisia SSL-sertifikaatteja voi hankkia ja vertailla esim. tältä sivulta.