Lisäys joulukuussa 2017: nyt voit kuunnella tämänkin kirjoituksen Samin lukemana. Kaikki ääniraidat kokosimme tänne.

 

Kirjainlyhtenteet HTTP ja HTTPS tarkoittavat siirtoprotokollaa, jota selaimet ja palvelimet käyttävät tiedonsiirtoon. Jälkimmäisessä ylimääräinen S-kirjain tarkoittaa suojattua. Suojatussa yhteydessä tieto salataan ennen lähettämistä ja ulkopuolisen tahon myöntämää varmennetta käytetään yhteyden osapuolien todentamiseksi.

Suurin osa internetissä olevista verkkosivuista käyttää edelleen suojaamatonta yhteyttä.

Väitteitä ja myyttejä

Suojattu yhteys on väitetysti hitaampi, varmenne maksaa kuulemma rahaa ja sen asentaminen vaatii sellaista asiantuntemusta, jota itsellä tai ylläpidosta vastaavalla ei ole. Sitäpaitsi, miksi salata mitään sellaista missä ei ole mitään salattavaa. Jos kyseessä ei ole verkkokauppa tai sivuilla ei käsitellä henkilötietoja tai muuta arkaluontoista, niin eikö yhteyden suojaaminen ole liioiteltua?

Ei hidasta

Tiedon salaaminen vie laskentatehoa, mutta kuinka paljon? Vuosikymmen sitten olisi voinut esittää vielä väitteen, että merkittävän määrän. Laskentateho kuitenkin jatkaa eksponentiaalista kasvuaan vuosi vuodelta ja vanha läppärikin selviää sertifikaatin allekirjoituksesta millisekunneissa, puhumattakaan tehokkaasta ja dedikoidusta palvelinraudasta.

Hitainta on yhteyden muodostaminen, jossa selain ja palvelin vaihtavat tietoja käyttäen niin sanottua epäsymmetristä salausta. Tämä tarkoittaa, että tieto salataan ja puretaan käyttäen eri salausavainta. Tästä syntyy liikennöintiin aloitusviive, jota ei suojaamattomassa yhteydessä ole. Mitattavissa oleva viive on kuitenkin noin kymmenen millisekunnin luokkaa, joten se on loppukäyttäjälle varsin merkityksetön osa sivun lataamiseen kuluvaa kokonaisaikaa.

Kaikki uudet selaimet ja palvelinohjelmistot tukevat uutta HTTP/2-protokollaa, mutta vain salatun yhteyden yli. Uusi versio siirtoprotokollasta sallii esimerkiksi useiden tiedostojen siirtämiseen samaan aikaan ja palvelin voi ennakoiden lähettää tietoja selaimelle ilman erillistä HTTP-pyyntöä, jolloin HTTP/2-protokollaa käytettäessä salattu yhteys on huomattavasti nopeampi – testaa vaikka itse!

Ei kallista

Yksinkertainen domaintason (DV) sertifikaatti riittää, että selaimen osoiteriville saa suojauksesta kertovan vihreän lukon ja kaikki tieto käyttäjän ja verkkopalvelun välillä kulkee salattuna. Domaintason sertifikaatti on maksanut tyypillisesti halvimmillaan 8 euroa vuodessa. Vuodesta 2016 alkaen on ollut saatavilla myös maksuton Let’s Encrytp -varmenne. Let’s Encrypt on avoin ja julkinen varmenteen myöntäjä automatisoitujen ja ilmaisten varmenteiden hankkimiseen.

Organisaatiotason (EV) sertifikaatti on noin kymmenen kertaa kalliimpi domain-varmenteeseen verrattuna. Tämä on luksustuote, jolla lukon lisäksi osoiteriville saadaan palvelua toimittavan organisaation nimi.

Kallis on myös suhteellinen käsite. Pelkkä verkkotunnus maksaa usein jo enemmän, kuin varmenne.

Ei vaikeaa

Varmenteen asentaminen vaatii palvelinympäristön tuntemusta, eikä haettua varmennetta ihan kuka tahansa pysty asentamaan. Työ on kuitenkin rutiinitoimenpide ylläpitopalvelua tarjoavalle. Käytännössä tämä tarkoittaa toimitetun varmenteen sekä avaimen siirtämistä palvelimelle ja palvelinohjelmiston asettamista käyttämään salattua yhteyttä.

Lisäksi tulee huomioida uudelleenohjaukset suojaamattomasta suojattuun yhteyteen ja mahdolliset ulkoiset linkitykset sivustolla, jotka saattavat käyttää vielä suojaamatonta yhteyttä. Selaimet estävät latauksen ja varoittavat käyttäjää tilanteessa, jossa suojaamattoman yhteyden yli ladattavat tiedostot heikentävät suojatun sivuston tietoturvaa.

WordPressille löytyy myös lähes automatisoitu ratkaisu varmenteen asentamiseen Really Simple SSL laajennuksen muodossa. Tarvitaan vain varmenne ja laajennus lupaa hoitaa loput.

Ei salattavaa

Oletataan, että ei ole mitään salattavaa. Tässä tilanteessa voidaan myös uskotella, ettei suojatusta yhteydestä ole mitään hyötyä. Verkkopalvelun loppukäyttäjän näkökulmasta suojattu yhteys on kuitenkin aina hyödyllinen, aina toivottava ja aina arvostettu.

Esimerkiksi kahvilan ilmaista, mutta suojaamatonta langatonta yhteyttä käyttäessäsi otat aina riskin. Kun käytät suojaamatonta yhteyttä ja suojaamatonta sivua, voi kuka tahansa vääräleuka halutessaan urkkia välikätenä tekemisiäsi. Suojaamattoman lomakelähetyksen kautta voidaan kaivaa henkilökohtaisia tietoja tai kaapata vaikka sisäänkirjautumiseen käytetyt tunnukset. Vaikka yhteys olisi suojaamaton mutta käytetty sivu on suojattu, voit olla varma siitä, että selaimen ja sivun välinen tiedonsiirto tapahtuu salassa.

Suojattu yhteys on hakukoneoptimointia

Myyvin argumentti salauksen puolesta on kuitenkin se, että suojattu yhteys on alimman tason hakukoneoptimointia. Google ilmoitti vuonna 2014 nostavansa yhdeksi hakutuloksien kriteeriksi suojatun yhteyden ja vuoden 2017 tammikuussa se on lisännyt myös selaimensa käyttäjille varoituksia suojaamattoman yhteyden turvallisuusriskistä.

Käyttääkö verkkosivusi jo suojattua yhteyttä? Onneksi olkoon, kuulut vielä toistaiseksi vähemmistöön.

Kaikki meiltä lähtevät ja meillä ylläpidettävät uudet toteutukset käyttävät suojattua yhteyttä aina ja automaattisesti.