SSL – kaikki tietämisen arvoinen

Vaikka ei tietäisikään, mikä SSL on, sitä tulee mitä luultavimmin käyttäneeksi päivittäin. Esimerkiksi jokainen Google-haku on suojattu SSL:llä. Kyseessä on salausprotokolla, joka suojaa tietoliikennettä ja salaa lähetettävän informaation.

SSL:n voi nähdä käytössä nettiselaimessa. Ensinnäkin, vierailemasi verkkosivun osoitteen vieressä näkyy mitä todennäköisimmin lukkokuvake. Jos riippulukko on lukittuna, verkkosivusto käyttää SSL:ää.

Myös verkkosivuston osoitteesta voi päätellä, onko SSL käytössä vai ei. Jos osoitteen alussa on HTTPS (ei siis HTTP), sivustolla on käytössä SSL.

Entäpä sitten SSL:n käyttö omalla sivustolla? Tutkitaan asiaa tutustumalla alkajaisiksi siihen, miten SSL toimii.

Mikä on SSL?

Lyhenne tulee sanoista Secure Sockets Layer. Kuulostaa monimutkaiselta, mitä teknologia onkin, mutta perusperiaate on yksinkertainen. SSL liittyy asiakkaiden verkkosivuille syöttämän tiedon suojaamiseen, kun se kulkee Internetissä päätyen omalle palvelimelle. Tieto salataan siten, että ainoastaan oma palvelin ja käyttäjän selainohjelma voivat lukea sitä.

Tämä on tärkeää, koska ilman SSL:ää data voidaan siepata. Tällainen välistävetohyökkäys tunnetaan nimellä mies välissä –hyökkäys. Itse asiassa on hämmästyttävää, miten helposti hyökkääjät voivat kaapata verkkoyhteyden tai ottaa kopion siirrettävänä olevasta tiedosta. Olipa kyse sitten luottokorttitiedoista tai yhteydenottolomakkeeseen kirjoitetusta viestistä.

Tosiasiassa useimmat luottokorttitietoja käsittelevät sivustot ovat jo SSL-suojattuja. Ellei näin vielä ole, on SSL syytä ottaa käyttöön välittömästi.

SSL:n käyttöönottoa on hyvä harkita, vaikka sivusto ei käsittelisikään luottokorttitietoja. Salauksen käyttöönottoa puoltavat monet seikat, esimerkiksi Googlen tapa kohdella SSL-suojattuja verkkosivustoja.

Google Chrome ja SSL

Chrome on Googlen suosituin verkkoselain. Vuoden 2017 alussa se uudisti tavan, jolla se ilmoittaa sivustojen SSL-statuksen. Sen sijaan, että selain yksinkertaisesti vain näyttäisi avoimen lukon ja mahdollisuuden saada lisätietoja, Chrome näyttää nyt varoituksen ”Ei turvallinen”. Tämä koskee kaikkia sivuja, jotka keräävät salasanoja tai luottokorttitietoja.

Google suunnittelee tekevänsä tästä varoituksesta entistä näkyvämmän ja ottavansa sen käyttöön myös sellaisilla sivuilla, jotka eivät kerää salasanoja tai luottokorttitietoja.

Tämä synnyttää käyttäjille kysymyksen luotettavuudesta – ellei SSL ole käytössä, Chrome kertoo kävijöille sivuston olevan turvaton, suojaamaton. Jo yksistään tältä välttyminen on riittävän pätevä syy SSL:n käyttöönotolle, mutta sitä puoltaa moni muukin tekijä.

SSL:n käyttämisen hyödyt

• Käyttäjien luottamus – edellä kerrotun mukaisesti luotettavuus on sidoksissa tapaan, jolla Chrome kohtelee sivustoja, jotka eivät hyödynnä SSL-käytännettä. Tämä ei ole kuitenkaan ainoa pohtimisen arvoinen luottamuskysymys. Verkkosivujen käyttäjät ovat fiksuja ja ymmärtävät salauksen tärkeyden. SSL:n käyttöönotto lisää luottamusta.
• Hakukoneoptimointi (SEO) – Google kertoi vuonna 2014 SSL:n olevan yksi sivujen sijoitukseen eli rankingiin vaikuttava tekijä, joskaan ei merkittävä. Vaikka vaikutus onkin vähäinen, SSL:n käyttö saattaa parantaa sivuston sijoitusta hakutuloksissa.
• Nopeus – koska SSL:n ansiosta verkkosivusto latautuu selaimeen uudempaa HTTP-protokollaa käyttäen, useimmilla käyttäjillä sivusto latautuu nopeammin.
• Turvallisuus – salaus tietoa siirrettäessä aikaansaa merkittäviä turvallisuushyötyjä, suojaten sekä sivuston omistajan että kävijöiden tietoja.

SSL-myyttien murtaminen

• HTTPS on kallis – ei suinkaan. Itse asiassa SSL-teknologian voi hankkia omalle sivustolle ilmaiseksi eri lähteistä, joista esimerkkeinä CloudFlare ja Let’s Encrypt.
• HTTPS on hidas – tämä käsiteltiin ja kumottiin jo aiemmin. Sivusto toimii yleensä nopeammin SSL:ää käytettäessä.
• HTTPS on tarpeen vain verkkokaupankäynnissä – SSL on tärkeä monilla muillakin verkkosivustoilla ja juuri tästä syystä verkossa ollaan yleisesti siirtymässä SSL:ään.
• HTTPS tarvitsee dedikoidun IP-osoitteen – dedikoidusta IP-osoitteesta on hyötyä monessa asiassa, mutta ei SSL-teknologian käyttöönoton mahdollistamisessa. Toisin sanoen SSL:ää varten ei tarvita dedikoitua IP-osoitetta.
• Maksuttomat SSL-sertifikaatit eivät ole yhtä turvallisia kuin maksulliset – tämäkään myytti ei pidä paikkaansa. Maksulliseen SSL-sertifikaattiin saattaa kyllä sisältyä enemmän ominaisuuksia, mutta maksullisessa ja ilmaisessa suojaustaso on sama.

SSL-sertifikaatin asennuksen jälkeen muistettavat asiat

Kun SSL-sertifikaatti on saatu verkkosivustolle, täytyy tehdä monta asiaa, jotta voidaan varmistaa sivuston kaikkien sivujen toimivuus ja niiden löytyminen Googlesta.

Seuraavassa SSL-asennuksen jälkeinen muistilista:

• Tarkista toimimattomat linkit – sivuston sisäiset linkit saattavat lakata toimimasta, kun SSL-sertifikaatti asennetaan. Tästä syystä mahdolliset rikkinäiset linkit on hyvä etsiä ja korjata. Voit käyttää apuna työkaluja, kuten Screaming Frogin SEO Spider.
• Korjaa yhdistelmäsisällön ongelmat – käyttäjät saavat yhdistelmäsisältövaroituksia verkkoselaimiinsa, kun verkkosivustolla on sekä suojattua että suojaamatonta sisältöä. Ongelmat yhdistelmäsisällön kanssa saattavat mitätöidä SSL:n hyödyt, joten ongelmat on syytä korjata. Koko verkkosivuston yhdistelmäsisältöongelmien etsintään ja läpikäyntiin on olemassa monia työkaluja, niin maksullisia kuin maksuttomiakin.
• 301-uudelleenohjaukset – aseta pysyvät uudelleenohjaukset (englanniksi 301 redirect) siten, että selaimet ja sivujen indeksointirobotit ohjautuvat vanhoilta HTTP-sivuilta uusille HTTPS-sivuille. Varmista ohjausten toimivuus riippumatta siitä, onko osoitteen alussa ”www” vai ei.
• Google Search Console – varmista, että Google Search Consolessa verkkosivustoksi on määritetty sivuston HTTPS-versio.
• Robots.txt – päivitä tiedostoon robots.txt, että sivukartan URL-osoitteessa käytetään HTTPS:ää.

• Tarkista SSL-sertifikaatti – SSL-sertifikaatin asetukset ja konfigurointi on myös aiheellista tarkistaa. Tässä auttaa Qualys SSL Labsin SSL Server Test.

SSL on vakaa ja vankka teknologia, joka on tullut jäädäkseen. Sen käyttöönotto omalla verkkosivustolla on perusteltua.

Tarvitsetko apua?

Asiantuntijamme auttavat mielellään SSL liittyvissä asioissa. Ota yhteyttä ja kerro miten voisimme olla avuksi.