Mikä ihmeen SSL-sertifikaatti?

TL;DR

• SLL-sertifikaatti suojaa sivun vierailijan ja verkkosivun välisen yhteyden.
• Tunnistat sen https:// alkavasta osoitteesta osoitepalkin lukkoikonista.
• Google suosii SSL-sertifikaatilla suojattuja sivuja hakutuloksissaan.

Suojattu ja salattu tiedonsiirto

SSL-sertifikaatit ovat pieniä datatiedostoja, jotka varmistavat, että verkkosivu on tosiaan oikean organisaation hallinnassa. Asennettuna se mahdollistaa suojatun yhteyden verkkopalvelimelta selaimeen. SSL:ää käytetään yleensä maksutapahtumien, tiedonsiirron ja kirjautumisten turvaamiseen. Toisin sanoen, kun täytät kaavakkeen internetissä, SSL-sertifikaatti huolehtii, ettei tiedot vuoda pitkäkyntisille.

Ilmaisia ja maksullisia sertifikaatteja

Pitkälti kaikki varteenotettavat webbihotellit ja helppokäyttöiset verkkosivualustat sisällyttävät SSL-sertifikaatin. Jos kuitenkin haluat tehdä kaiken itse, voit hommata sertifikaatin ilmaiseksi esimerkiksi Let’s Encrypt -palvelusta. Suuremmat yritykset saattavat sijoittaa kustomoituihin sertifikaatteihin joita tarjoaa mm. Comodo, Sectigo ja GeoTrust. 

Sertifikaatti ostoksille ei tarvitse rynnätä. Perusverkkosivut toimivat hyvin, kunhan sivuilla on käytössä jokin SSL-sertifikaatti. Kannattaa kuitenkin varmistaa, ettei sivusta ole samanaikaisesti julki myös suojaamaton versio. Jos yritykseesi kohdistuu merkittäviä tietoturvauhkia tai pyörität poikkeuksellisia sovelluksia selaimessa, niin kannattaa perehtyä maksullisiin vaihtoehtoihin. 

Erilaisia sertifikaatteja

SSL-sertifikaatin voi siis ostaa monesta paikasta, mutta niitä on myös kolmea eri tasoa.

• Domainin varmennus (Domain Validated eli DV)
• Yrityksen varmennus (Organizationally validated eli OV)
• Laajennettu varmennus (Extended validation eli EV)

‍

Nimet viittaaat tietenkin varmennettavaan kokonaisuuteen. Alimmalla tasolla vahvistetaan, että domain on tosiaan sen ostajan hallinnassa. Ilmaiset sertifikaatit ovatkin pitkälti näitä alimman tason varmennuksia. Seuraavat tasot vaativat yleensä perusteellisempia varmennuksia hakijan puolesta. OV ja EV tasot ovat suositeltavia etenkin, jos sivuston läpi kulkee arkaluontoista tietoa kuten maksutietoja. 

SSL-sertifikaatti lisää sivuston luotettavuutta

SSL-sertifikaatti näkyy käyttäjälle pienenä lukkoikonina osoitepalkissa. Sen puuttuminen on usein se näkyvämpi vaihtoehto. Chrome esimerkiksi ilmoittaa sivun olevan “ei turvallinen”. Tietoturvan ollessa monen mielessä, tämä varmasti vaikuttaa uskottavuuteesi.

SSL-sertifikaatin vaikutus Google näkyvyyteen

Toimiva sertifikaatti lisää sivustosi uskottavuutta myös Googlen silmissä. Google ei kerro suoraan, miten se muodostaa hakutulokset. Tämä asian IT-jätti on kuitenkin sanonut suoraan. Niin ja tämä tapahtui jo vuonna 2015.

We’d like to announce that we’re adjusting our indexing system to look for more HTTPS pages. Specifically, we’ll start crawling HTTPS equivalents of HTTP pages, even when the former are not linked to from any page.

SSL-sertifikaatti ja GDPR

Vastuuvapautus: En ole lakimies eli noudatat ohjeita omalla vastuullasi.

EU:n yleinen tietosuoja-asetus eli tuttavallisemmin GDPR liittyy tietenkin tähänkin asiaan. Kyseinen asetushan määrää henkilötietojen käsittelystä ja vaikuttaa moneen muuhunkin kuin verkkosivuihin. Tuossa ihanassa dokumentissa ei suoraan sanota, että SSL-sertifikaatti on pakollinen. Tästä huolimatta GDPR:n noudattaminen sitä vaatii. 

Niitä (henkilötietoja) on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia.

Nuo asianmukaiset tekniset toimet kyllä maallikkokin ymmärtää sisältävän ilmaisen sertifikaatin, joka tulee oletuksena jokaisen verkkosivun mukana. 

SSL ja TLS

SSL ja TLS menevät välillä vähän sekaisin. Kyse on eri protokollista. SSL on se tunnetumpi ja TLS on sen seuraaja. TLS tulee sanoista Transport Layer Protocol. 

Mistä se SSL-sertifikaatti hankitaan?

SSL-sertifikaatin voit hankkia webbihotellin myyjältä. Yleensä se kuuluukin webbihotelleihin. Joskus joudut kuitenkin laittamaan sen päälle. Jos haluat laajemman varmenteen, voit kysyä siitäkin webbihotellin tarjoajalta. He toimivat usein välikätenä vaikka sertifikaatin myöntääkin jokin toinen taho.