SSL-opas

SSL varmenne (SSL certifacte / TLS Certificate), SSL Lukko eli SSL Padlock kertoo että verkkoliikenne on salattua

Etsitkö tietoa tai apua varmenteiden käyttöön?

Mikäli varmenteiden toiminta on sinulle tuttua ja kaipaat vinkkejä niiden käyttämiseen, hyppää SSL Apua sivustollemme tästä

Milloin tarvitset SSL-varmennetta?

SSL-varmenne (eli SSL-sertifikaatti) tarvitaan kun haluat antaa verkkosivuillasi käyvälle henkilölle varmuuden siitä, että:
- hän on varmasti oman organisaatiosi tekemillä sivuilla
- hänen antamansa tiedot eivät joudu ulkopuolisen käsiin

Saatat olla vaikka mukana verkkopalveluja tuottavassa projektissa, ja joku projektin jäsen tulee sanomaan: "Tarvitsemme sivuille SSL-varmenteen - viitsitkö hankkia sellaisen. Saat sen netistä."

Mitä voi tapahtua, ellei SSL suojausta käytetä?

Kun olet normaalilla http-sivustolla, et pysty tarkastamaan, kuka palvelun tuottaa. Sinut on saatettu ohjata huijaussivustolle, joka matkii alkuperäistä sivustoa ja antaa väärää tietoa. Lisäksi http-sivuilta lukemasi tieto ja ennen kaikkea sivuille mahdollisesti antamasi tiedot liikkuvat salaamattomina verkossa. Joku ulkopuolinen voi seurata http-liikennettäsi helposti ja käyttää väärin sivuille antamiasi tietoja. Jos esimerkiksi luot itsellesi käyttäjätunnuksen ja annat sille salasanan, urkkija voi saada sen haltuunsa ja kirjautua puolestasi tuohon järjestelmään.

Turvataksesi verkkoliikenteesi, tulee nämä varmenteet tilata niiden toimittamiseen erikoistuneilta yrityksiltä. Nämä yritykset ylläpitävät järjestelmiä, joilla taataan varmenteiden luotettavuus.
Varmenteita toimittavat CA:t (Certificate Authority) ja niitä myyvät jälleenmyyjät. CA on samankaltainen instanssi kuin viranomainen, joka myöntää passit ja henkilötodistukset. CA:n tehtävänä on varmistaa, että ne henkilöt ja organisaatiot jotka varmenteita tilaavat, todellakin omistavat sivustot ja palvelimet, joihin varmenne laitetaan. Tämä on tärkeä prosessi ja sen tekevät kunnolla vain parhaat toimijat. CA Varmentajien toimintaa säätelee hyvin tiukoin ottein CA Browser forum, joka käytännössä sanelee kuinka varmentaminen tulee tehdä.

Miksi verkkoliikenne tulee suojata?

SSL, https, TLS - verkkoliikenne tulee olla salattua ja suojattu varmenteella (certificate)

Oletusarvoisesti internetiä selattaessa suuri osa liikenteestaä kulkee suojaamattomana. Kaikki, mitä selaimeen verkkosivuilla kirjoitat, voidaan lukea ja tallentaa selväkielisenä juuri kuten se on kirjoitettu. Tämä koskee myös suojaamattomiin palveluihin kirjautumista; käyttäjätunnuksesi ja salasanasi kulkevat verkossa selväkielisenä, vaikka verkkosivulla salasana näkyisikin vain mustina pisteinä. Tähän liikenteeseen verkkorikolliset haluavat päästä käsiksi, sillä luottokortti- ja identiteettitietosi ovat arvokasta valuuttaa hämärämiehille!

Tänä päivänä tilanne on jo parempi, joidenkin tilastojen mukaan jo yli 50% verkkoliikenteestä sivustoille on SSL salattua, eli https liikennettä. Tämä ei kuitenkaan poissulje sitä mahdollisuutta, että joudut tahtomattasi kalastelusivustolle, joka voi siis olla salattua liikennettä käyttävä sivusto. Tarkastellaan hieman eri tasoisten varmenteiden eroja

SSL - mikä se on?

SSL tulee englanninkielisistä sanoista Secure Socket Layer. Kyseessä on teknologia, jolla suojataan verkkoliikennettä. Pankkien kotisivut ja muut tärkeät palvelut pysyvät tämän teknologian avulla turvassa urkinnalta. Jos sinulla esimerkiksi siintää silmissäsi uusi web-kauppa, johon haluat asiakkaittesi luottavan, on sinun perehdyttävä tähän aiheeseen ainakin pinnallisesti. Jos tuntuu että tämä menee liian tekniseksi, käänny ihmeessä ammattilaisen puoleen. (Oikeasti TLS-protokolla - Transport Layer Security - on jo korvannut vanhemman SSL-protokollan, mutta edelleen puhutaan SSL-varmenteista - ssl/tls certificate).

SSL - mitä se tekee?

Yksinkertaisesti kyse on salakirjoituksesta. Tarkemmin sanottuna palvelun identifioinnista ja verkkoliikenteen salakirjoituksesta.
Verkkosivustolle on asennettu SSL-varmenne, joka palvelee kahta tarkoitusta:
1. Kertoo sivustolle tulevalle asiakkaalle kuka verkkosivuston oikeasti omistaa
2. Salakirjoittaa kaiken tiedon mitä asiakkaan ja sivuston välillä liikennöidään

Varmenteen kaksi merkittävää ominaisuutta

Varmenne antaa https-sivustolle kaksi merkittävää ominaisuutta. Ensimmäinen on tieto sivuston tuottajasta. Käydessäsi https-sivulla pääset näkemään varmenteen sisällön. Siitä löytyy tieto muun muassa varmentajasta, esimerkiksi Symantec, Digicert, Entrust, VRK, Let’s Encrypt ja niin edespäin, sekä varmennetun sivuston osoitteesta, esimerkiksi www.yritys.fi. Toinen ominaisuus on salaus. Kun sivustolla on SSL-varmenne, kaikki liikenne kulkee selaimen ja palvelimen välillä salattuna, eivätkä sivulliset pääse näkemään sivustolle syöttämiäsi tietoja.

Varmentamisessa on kolme eri tasoa, alin näistä on DV, johon ilmaiset varmenteet perustuvat

Varmistus, eli validointi, on tarkka prosessi ja se voidaan tehdä kolmella eri tavalla:

OV – Organizational Validation
Organisaation validointi tarkoittaa lyhyesti sitä, että varmenteesta löytyvä organisaation nimi on varmistettu kuuluvaksi sitä käyttävälle palvelulle. Tämä validointi ei luota pelkästään sähköpostiin tai muuhun teknisesti tuotettuun tietoon, vaan sisältää varmentajan henkilökohtaisesti tekemän tarkistuksen tilaajan aitouden todentamiseksi. Tämä organisaation validointi on tapahtuma joka tehdään ensimmäisellä kerralla, kun tilauksia tehdään, ja tarkistetaan 27kk välein. Tämä tarkistusväli on riippumattoman organisaation säätämä ja hyväksymä standardi. Voit lukea tästä tarkemmin täältä

Organisaation nimi ei näy osoiterivillä, mutta se löytyy katsottaessa varmenteen tietoja – seuraavassa on esimerkki:

SSL varmenne (SSL certifacte / TLS Certificate), OV SSL Lukko eli SSL Padlock kertoo myös verkkopalvelun omistajan, että salaa liikenteen

EV – Extended Validation
Vastaava prosessi kuin organisaation validointi, mutta entistäkin syvemmälle uppoava. Tätä käytetään korkeaa tietoturvaa vaativilla sivuilla kuten verkkokaupoissa, verkkopankeissa ja sivuilla, jonne käyttäjän pitää antaa esim. luottokorttitietoja tai henkilökohtaisia tietojaan. Kun selaimessa näkyy vihreä palkki, tiedät että sen saamiseksi on tarvittu suuri määrä salapoliisityötä ja tarkistuksia.

Organisaation nimi näkyy heti osoiterivillä sekä varmenteen tarkemmissa tiedoissa - seuraavassa on esimerkki:

SSL varmenteita (SSL certifacte / TLS Certificate) on eritasoisia. Domain Validated, Organization Validated ja Extended Validated

DV – Domain Validation
Domain Validation on palvelun domainiin (esim. www.domain.fi) perustuva tarkistus. Tämä on validoinnin heikoin lenkki. Omistajuuden tarkistus perustuu pääsääntöisesti automatiikkaan ja tiettyihin domainin sähköpostiosoitteisiin. Prosessi on edullinen, mutta onko se luotettava? Ei välttämättä. Jokaisen organisaation, joka haluaa taata varmenteidensa oikeellisuuden ja minimoida riskit väärinkäytöksistä, pitää käyttää OV/EV-varmenteita.

Seuraavassa on esimerkki. Organisaation nimeä ei näy missään, koska kukaan ei ole varmentanut, mikä organisaatio domainin on pystyttänyt tai kuka sen on valtuuttanut.
(Kuten näet, käyttää blogialustamme toimittaja Let’s Encrypt menetelmän tarjoamia ilmaisia DV-varmenteita. Näemme asiakkaidemme osin siirtyvän pois Let’s Encrypt -käytöstä, koska verkkosivujen omistajan tunnistaminen on noussut tärkeäksi palveluiden tuottajan varmentamisessa.

SSL varmenne (SSL certifacte / TLS Certificate), DV SSL Lukko eli SSL Padlock salaa liikenteen