SSL (Secure Sockets Layer) on internetliikennettä salaava sertifikaatti, joka mahdollistaa suojatun yhteyden tietokoneen ja palvelimen välillä. Kun suojattu yhteys on muodostettu, ulkopuoliset tahot eivät pääse vakoilemaan yhteyden kautta kulkevaa dataa.
SSL:n tarkoituksena on suojella sekä käyttäjien että verkkosivuston turvallisuutta. Se estää kolmansia osapuolia sieppaamasta tekstiä, luottokortti- sekä muita tietoja, joita internetin käyttäjät haluavat suojella. Salausominaisuuksien lisäksi SSL mahdollistaa myös internetin välityksellä tapahtuvan todennuksen. Tällöin tietokoneet sallivat yhteyden ainoastaan validoiduilla varmenteilla varustettuihin kohteisiin.
SLL-suojauksen merkitys on nykyään suurempi, koska vuodesta 2018 alkaen Google on merkinnyt suojaamattomia verkkosivustoja turvattomiksi. Tällä on suuri vaikutus erityisesti yritysten imagon kannalta, sillä suojaamattomalla verkkosivustolla vieraileva käyttäjä näkee osoiterivillä viestin “Ei turvallinen”. Asialla on myös selkeä vaikutus hakukonenäkyvyyteen, koska hakukoneet suosivat mieluiten SSL-varmennettuja sivustoja.
Suojauksella on myös merkitystä EU:n yleisen tietosuoja-asetuksen kannalta, joka velvoittaa yrityksiä huolehtimaan tietosuojastaan. Vaikutus on ennen kaikkea psykologinen, mutta merkitsemällä verkkosivustoja “ei turvallisiksi” tai “turvallisiksi” tunnetut selaimet haluavat vähentää haittaohjelmien leviämistä verkossa sekä estää arkaluontoisen tiedon päätymistä vääriin käsiin.
Mistä nimi SSL-tulee ja miten se toimii?
SSL-kirjainyhdistelmä tulee sanoista Secure Sockets Layer. Sen toiminta perustuu valtuutettuihin varmenteisiin, joilla sivustot todistavat olevansa hyvämaineisia ja turvallisia. Näitä varmenteita myöntävät yritykset, jotka pystyvät takaamaan varmenteen hakijan identiteetin. SSL toimii ikään kuin niin, että verkkosivusto ennemminkin ansaitsee SSL-sertifikaatin ja käyttää tätä todisteena verkkosivuston luotettavuudesta.
SSL-varmenteen puuttuminen voi myös välillisesti aiheuttaa tietoturvaongelmia, koska erilaiset haittaohjelmat etsivät mielellään suojaamattomista sivustoista haavoittuvuuksia.
Ennen SSL-salauksen yleistymistä, selaimet ja palvelimet käyttivät tiedonsiirtoon niin kutsuttua HTTP-siirtoprotokollaa, joka tulee sanoista HyperText Transfer Protocol. HTTP toimi pitkään tiedonsiirron perustana internetissä, mutta siitä alkoi ajan kuluessa paljastua tietoturva-aukkoja. Tämän vuoksi kehitettiin uusi turvallisempi tiedonsiirtoprotokolla, jota kutsutaan nimeltä HTTPS (Hypertext Transfer Protocol Secure). HTTPS on ikään kuin HTTP:n ja SSL-salauksen yhdistelmä.
Yleiskielellä kyseinen salausprotokolla tunnetaan nimellä SSL, mutta periaatteessa virallinen ja nykyaikaisempi muoto on TLS (Transport Layer Security). Koska salausprotokollan tarkoitus ja toimintaperiaate on kuitenkin käytännössä sama, nimitys SSL on jäänyt käyttöön puhekielessä.
Miksi SSL-salauksen käyttö on tärkeää?
Tärkein syy SSL-salauksen käyttämiseen nykypäivänä on se, että Google on virallisesti ilmoittanut suosivansa sivustoja, jotka käyttävät suojattua HTTPS-siirtoprotokollaa. Tämä tarkoittaa sitä, että näennäisesti muuten samankaltaiset sivustot asettuvat Googlen ja muiden hakukoneiden silmissä eriarvoiseen asemaan riippuen salausprotokollan käyttämisestä tai sen käyttämättä jättämisestä. Käytännössä tämä tarkoittaa sitä, että suojauksella varustetut sivustot nousevat paremmille sijoituksille hakukoneissa.
Asialla on myös suurta merkitystä verkkosivustojen imagon ja käytettävyyden kannalta. Henkilön vieraillessa suojauksen osalta puutteellisella sivustolla, selain ilmoittaa tästä käyttäjille varsin suoraan. Osoiterivillä voi esimerkiksi lukea, ettei kyseinen sivusto ole turvallinen.
Käyttäjä saattaa myös joutua tilanteeseen, jossa hän ei edes pääse sivustolle ollenkaan. Hänelle avautuu selaimeen näkymä, joka kertoo kyseisen sivuston tietoturvariskistä ja suosittelee jättämään sivustolla vierailun väliin. Käyttäjälle jää kaksi vaihtoehtoa: joko siirtyä sivustolle “omalla vastuulla” tai poistua kokonaan. Tässä tilanteessa suurin osa käyttäjistä luonnollisesti poistuu, koska tämä tilanne ei todellakaan herätä luottamusta. Ymmärrettävistä syistä tällä voi olla suoria ja epäsuoria vaikutuksia yritysten imagoon ja myyntiin.
Joskus Google saattaa tulkita sivuston turvattomaksi vaikka sivustolla olisikin käytössä SSL-varmenne. Google saattaa nimittäin tulkita https://www- ja www- alkuiset osoitteet erillisiksi sivustoiksi, vaikka näennäisesti kyse on samasta verkkosivustosta. Tällä on myös merkitystä hakukonenäkyvyyden kannalta, koska samaa sisältöä löytyy kahdesta eri URLista. Tässä tapauksessa kannattaa tarkistaa, että verkkosivuston uudelleenohjaukset määritellään oikein.
SSL-salauksen toimiessa oikein, käyttäjät näkevät selaimessaan, että kyseinen sivusto on turvallinen (esim. lukon kuva osoiterivillä). Moni ei välttämättä edes osaa kiinnittää asiaan huomiota, koska suojatut sivustot ovat nykyaikana enemmän sääntö kuin poikkeus. Suojaamattomia sivustoja on kuitenkin edelleen olemassa ja niihin törmääminen herättää helposti epäluottamusta.
SSL-salauksen asentaminen ja käyttöönotto
SSL-suojauksen käyttöönotosta voi kysyä verkkosivustoasi ylläpitävältä palvelutarjoajalta. Joissain tapauksissa SSL-varmenteen voi myös ottaa käyttöön webhotellin hallintapaneelista. Usein prosessi onnistuu varsin helposti, mutta tästä voi koitua jotain kustannuksia. Kustannukset ovat kuitenkin pieniä suhteessa saavutettuihin hyötyihin, sillä SSL-varmenne parantaa verkkosivustosi turvallisuutta, imagoa ja hakukonenäkyvyyttä. URLin uudelleenohjauksen voi määritellä esimerkiksi .htaccess tiedostossa.
SSL-salaus hankitaan aina vain vuodeksi tai pariksi kerrallaan, jonka avulla voidaan tehokkaammin valvoa varmenteita käyttävien tahojen luotettavuutta. Tämän vuoksi kannattaa pitää mielessä, että vaikka SSL on kerran hankittu, se voi myös mennä vanhaksi. Oikealla tavalla suojatun verkkosivuston URLissa tulisikin lukea ennen varsinaista verkkotunnusta “https://”, joka toimii käyttäjälle merkkinä SSL-suojauksen käytöstä.
Puuttuuko sivutoltanne toimiva SSL-varmenne?
SSL-varmenne kannattaa ottaa käyttöön mahdollisimman nopeasti. Jos yrityksesi sivustolta puuttuu SSL-varmenne etkä osaa asentaa sitä itse, kannattaa pyytää jotain asiaan perehtynyttä hoitamaan asia loppuun. Mikäli aihe tuntuu vieraalta tai teillä ei ole tarpeeksi aikaa paneutua asiaan, me voimme laittaa verkkosivustonne SSL-varmenteen sekä tarvittavat uudelleenohjaukset kerralla kuntoon.