https protokolla

Suojattu https yhteys käyttöön sivustolle

Kirjoitin elokuussa 2015 siitä kuinka siirsin Corellian verkkosivuston käyttämään pelkästään suojattua https: -protokollaa kaikessa liikennöinnissä (https käyttöön Corellian sivustolla) . Nyt on aika palata aiheeseen. Ellei teillä ole https-yhteys käytössä olisi aika harkita asiaa uudelleen. Suojatun yhteyden merkitys kun on entistä suurempi ja se tulee aina vain tärkeämmäksi.

Miksi suojattu https –yhteys on tärkeää

Luettelen tässä syitä suojatun yhteyden käyttöönottoon. Esitysjärjestys ei välttämättä ole tärkeysjärjestys, joka voi eri toimijoilla vaihdella. Tärkeimmät syyt ovat mm.

  • Suojattu yhteys asiakkaan selaimen ja sivuston välillä
  • Tulevan http2 –protokollan käyttöönottoon valmistautuminen
  • Hakukonenäkyvyyden optimointi
  • Imagosyyt, asiakasviestintä

2015 kirjoittamassani jutussa käsittelin asiaa WordPress-sivustojen kannalta. Nyt kerron hieman laajemmin aiheesta.

Suojatun yhteyden merkitys

Lähes päivittäin saamme lukea viestimistä erilaisista tietoturvaan liittyvistä uhkista. Milloin kalastellaan pankkitunnuksia, milloin Adoben tai Applen ID kirjautumistietoja tai muita käyttäjätietoja. Tietojen kalastelu, hakkerointi, identiteettivarkaudet ja verkkorikollisuus koskee meitä kaikkia; ei vain käyttäjiä vaan myös verkossa toimivia yrityksiä tai julkishallinnon organisaatioita.

Valitettavasti harva ymmärtää kuinka vaarallisia monet vähäpätöisiltä vaikuttavat tiedot voivat paljastuessaan olla jos (kun) niitä osataan käyttää oikein ja yhdistellä.

Salatulla yhteydellä voimme taata ainakin sen, että loppukäyttäjän selaimen ja palvelun välinen liikenne säilyy salattuna eikä siihen pääse kukaan väliin. Suojattu yhteys onkin ehdoton edellytys verkkopankeissa ja sivuilla, joilla käyttäjä lähettää esimerkiksi yksilöiviä henkilötietoja tai maksutietoja kuten luottokortin tai muun maksupalvelun tietoja.

Itse näen, että kaikki liikenne, jossa käyttäjä lähettää sivustolle tietoja tulee tapahtua salattuna. Näin esimerkiksi vaikkapa pelkän uutiskirjeen tilaus tulee tapahtua https –protokollan välityksellä sillä siinä verkon välityksellä lähetetään asiakkaan sähköpostiosoite.

HTTP/2 protokollan vaatimukset

Toinen syy salauksen käyttöönottoon on verkkoliikenteen protokollauudistus. Tuleva HTTP/2 protokolla edellyttää (tarkkaan ottaen ei protokolla vaan se miten selaimet sitä toteuttavat) salatun yhteyden käyttöä. HTTP/2 tulee muuttamaan tapaa, jolla selaimet lataavat sisältöä palvelimelta ja voi mm. nopeuttaa sivujen latautumista merkittävästi. Tämä on tosin oltava huomioituna myös sivun toteutustekniikoissa. HTTP/2 protokolla on tulossa ja siihen on hyvä varautua ajoissa.

HTTP/2 protokollasta ja sivuston nopeudesta on ansiokas blogikirjoitus wp-palvelun sivuilla. Suosittelen lukemaan. https://wp-palvelu.fi/blogi/http2-nopeuttaa-verkkosivujen-latautumista/

Hakukoneet ja näkyvyys

Google ilmoitti omassa blogissaan jo vuonna 2014 ottavansa suojatun yhteyden käytön huomioon hakukonealgoritmeissa sivustoa suosivana tekijänä. 2014 suojatun yhteyden merkitys hakukonenäkyvyydessä oli ehkä vähäinen mutta uskon sen vaikuttavan nykyisin jo paljon enemmän ja tulevaisuudessa se voi olla jo ratkaiseva.

Imagosyyt

Suojatun yhteyden avulla yritys tai organisaatio osoittaa asiakkailleen ja sivustollaan vieraileville, että kunnioittaa asiakkaidensa yksityisyyttä ja haluaa omalla toiminnallaan ylläpitää turvallisempaa verkkoa ja asiointia. Ainakin valveutuneemmat käyttäjät tunnistava suojatun yhteyden ja osaavat sitä arvosta.

Miten protokolla näkyy selaimessa ja miten se muuttuu lähiaikoina

Google pitää suojatun yhteyden käyttöä erittäin tärkeänä. Kaikki selaimet ilmaisevat visuaalisesti suojatun yhteyden vihreällä lukolla ja tekstillä. Myös käytetyn sertifikaatin voin tarkistaa. Ei-suojattua yhteyttä ei ole tähän asti osoitettu mitenkään erityisesti mutta siihen on tulossa muutos.

secure connection in browser address bar

Googlen selainten julkistamisen aikataulun mukaan tammikuun lopussa pitäisi tulla uusi versio Chrome-selaimesta. Uudessa Chrome selaimessa tullee olemaan ominaisuus, joka ilmaisee visuaalisesti, ettei sivusto ole turvallinen ellei käytössä ole https-protokolla.

Aivan jokaista sivua ei sentään leimata ”Not Secure” merkinnällä vaan ainoastaan ne, jotka sisältävät lomakekenttiä, joissa kysytään esimerkiksi luottokorttitietoja tai salasanatietoja. Miten Google tuon tunnistuksen tekee jää vielä nähtäväksi. Tämä on kuitenkin vasta ensimmäinen askel, joka näyttää suuntaa mihin olemme menossa. Aiheesta on hyvä blogiartikkeli Wordfence blogissa https://www.wordfence.com/blog/2017/01/chrome-56-ssl-https-wordpress/

Emme varmaankaan halua sivustomme osoitepalkin näyttävän tällaiselta?

not secure alert in browser address bar

Miten suojattu yhteys käyttöön sivustolla

Vuonna 2015 kirjoittamassani artikkelissa käsittelin asiaa lähinnä sen kannalta, miten itse tein siirtymän sivustollemme. Nyt siirtyminen suojatun yhteyden käyttöön on vielä paljon helpompaa. SSL-sertifikaattien hinnat ovat edullisia ja jotkut web-hotellipalvelut mm. tarjoavat ilmaisen sertifikaatin asiakkailleen. Näin mm. pääkaupunkiseudulla toimiva Zoner https://www.zoner.fi/

Oma palveluntarjoaja voikin tehdä tarvittavat operaatiot, ellei ilmaiseksi, niin ainakin kohtuullista korvausta vastaa. Sertifikaattien hinnat eivät ole kuin kymppejä vuodessa. WordPress-sivustoille suojatun yhteyden käyttöönotto on tullut huomattavan helpoksi, kun enää ei tarvitse edes miettiä sivuston osoitteiden muokkausta http -> https, sillä siihenkin löytyy helppokäyttöisiä lisäosia.

Asia mikä aiemmin piti pystyä tekemään manuaalisesti, on muuttunut helpoksi tai no – ainakin paljon helpommaksi. Yllätyksiin kannattaa silti varautua kuten aina, jos WordPress asennukseen tekee muutoksia; ota kunnon varmuuskopio koko sivustosta (tietokanta ja tiedostot) ennen operaation aloittamista.

  • Lue ohjeet hyvin ja käy koko operaatio mielessäsi läpi ennen aloittamista
  • Dokumentoi mitä aiot tehdä ja mitä teit
  • Testaa toimivuus kattavasti
  • Ota uudet varmuuskopiot kun siirtymä on tehty
  • Muista ilmoittaa / korjata linkit muualla
  • Ilmoita muutoksesta Google Web Master työkaluilla Googlelle
  • Tee siirtymä suunnitellusti sellaisena aikana, jolloin hetkellinen katkos sivuston toiminnassa ei olisi kriittistä.

Aiheeseen löytyy verkosta ohjeita mutta kannattaa muistaa, että jokainen sivusto ja jokainen asennus on erilainen kombinaatio teema + lisäosia ja siksi yleisiä ohjeita on osattava tulkita riittävästi oman sivuston päivittämiseksi.

Esimerkkinä yllätyksistä voin mainita asiakkaan, jonka sivuston kävin siirtämässä käyttämään suojattua yhteyttä. Heillä on käytössään monikielinen sivusto, joka on toteutettu  WordPressissä yleisesti käytetyn monikielisyyden lisäävän lisäosan avulla. Siirtymä suojattuun yhteyteen kävi helposti oletuskielellä mutta muiden kielten sivut lakkasivat näkymästä, sillä sivuston osoiterakenne ei enää täsmännyt. Hetki meni asiaa miettiessä mutta asia korjaantui osoiterakenteen uudelleen tallennuksella kullekin kielelle.

Jos mietit sivustosi siirtämistä käyttämään suojattua https –protokollaa ja epäilet osaamistasi muutoksessa, voi Corellia varmaankin auttaa. Ota yhteyttä ja kerro tarpeestasi. Lähetä sähköpostia ja kerro tilanteestasi tai pyydä tarjousta myynti@corellia.fi

-Kari Selovuo

Advisor Kari Selovuo on kokenut konsultti ja kouluttaja jonka erityisosaamista ovat mm. webin perustekniikat HTML, CSS ja Javascript sekä WordPress.
Katso Karin WordPress koulutukset Corelliassa:
https://corellia.fi/kurssit/web/

 

 

Kari on Corellian saavutettavuus ja web-tekniikoiden asiantuntija. Karin kiinnostuksen ja koulutusten aiheina on mm. Verkon tekniikat (HTML, CSS ja JavaScript), WordPress julkaisujärjestelmä ja sen käyttö, websuunnittelu, käytettävyys ja saavutettavuus verkossa.

Kari on IAAP (International Association of Accessibility Professionals) jäsen ja sertifioitunut saavutettavuusasiantuntija CPWA (CPACC + WAS)