SSL-opas

Milloin tarvitset SSL-varmennetta?

SSL-varmenne (eli SSL-sertifikaatti) tarvitaan kun haluat antaa verkkosivuillasi käyvälle henkilölle varmuuden siitä, että:
- hän on varmasti oman organisaatiosi tekemillä sivuilla
- hänen antamansa tiedot eivät joudu ulkopuolisen käsiin

Saatat olla vaikka mukana verkkopalveluja tuottavassa projektissa, ja joku projektin jäsen tulee sanomaan: "Tarvitsemme sivuille SSL-varmenteen - viitsitkö hankkia sellaisen. Saat sen netistä."

SSL - mikä se on?

SSL tulee englanninkielisistä sanoista Secure Socket Layer. Kyseessä on teknologia, jolla suojataan verkkoliikennettä. Pankkien kotisivut ja muut tärkeät palvelut pysyvät tämän teknologian avulla turvassa urkinnalta. Jos sinulla esimerkiksi siintää silmissäsi uusi web-kauppa, johon haluat asiakkaittesi luottavan, on sinun perehdyttävä tähän aiheeseen ainakin pinnallisesti. Jos tuntuu että tämä menee liian tekniseksi, käänny ihmeessä ammattilaisen puoleen. (Oikeasti TLS-protokolla - Transport Layer Security - on jo korvannut vanhemman SSL-protokollan, mutta edelleen puhutaan SSL-varmenteista).

SSL - mitä se tekee?

Yksinkertaisesti kyse on salakirjoituksesta. Tarkemmin sanottuna palvelun identifioinnista ja verkkoliikenteen salakirjoituksesta.
Verkkosivustolle on asennettu SSL-varmenne, joka palvelee kahta tarkoitusta:
1. Kertoo sivustolle tulevalle asiakkaalle kuka verkkosivuston oikeasti omistaa
2. Salakirjoittaa kaiken tiedon mitä asiakkaan ja sivuston välillä liikennöidään

Turvataksesi verkkoliikenteesi, tulee nämä varmenteet tilata niiden toimittamiseen erikoistuneilta yrityksiltä. Nämä yritykset ylläpitävät järjestelmiä, joilla taataan varmenteiden luotettavuus.
Varmenteita toimittavat CA:t (Certificate Authority) ja niitä myyvät jälleenmyyjät. CA on samankaltainen instanssi kuin viranomainen, joka myöntää passit ja henkilötodistukset. CA:n tehtävänä on varmistaa, että ne henkilöt ja organisaatiot jotka varmenteita tilaavat, todellakin omistavat sivustot ja palvelimet, joihin varmenne laitetaan. Tämä on tärkeä prosessi ja sen tekevät kunnolla vain parhaat toimijat.

Miksi verkkoliikenne tulee suojata?

Oletusarvoisesti internetiä selattaessa kaikki liikenne kulkee suojaamattomana. Kaikki, mitä selaimeen verkkosivuilla kirjoitat, voidaan lukea ja tallentaa selväkielisenä juuri kuten se on kirjoitettu. Tämä koskee myös suojaamattomiin palveluihin kirjautumista; käyttäjätunnuksesi ja salasanasi kulkevat verkossa selväkielisenä, vaikka verkkosivulla salasana näkyisikin vain mustina pisteinä. Tähän liikenteeseen verkkorikolliset haluavat päästä käsiksi, sillä luottokortti- ja identiteettitietosi ovat arvokasta valuuttaa hämärämiehille!

Miten varmistetaan, että varmenteita tilaavat oikeat henkilöt?

Varmistus, eli validointi, on tarkka prosessi ja se voidaan tehdä kolmella eri tavalla:

OV – Organizational Validation
Organisaation validointi tarkoittaa lyhyesti sitä, että varmenteesta löytyvä organisaation nimi on varmistettu kuuluvaksi sitä käyttävälle palvelulle. Tämä validointi ei luota pelkästään sähköpostiin tai muuhun teknisesti tuotettuun tietoon, vaan sisältää varmentajan henkilökohtaisesti tekemän tarkistuksen tilaajan aitouden todentamiseksi. Tämä organisaation validointi on tapahtuma joka tehdään ensimmäisellä kerralla, kun tilauksia tehdään, ja tarkistetaan (yleensä) kolmen vuoden välein.

Organisaation nimi ei näy osoiterivillä, mutta se löytyy katsottaessa varmenteen tietoja – seuraavassa on esimerkki:

EV – Extended Validation
Vastaava prosessi kuin organisaation validointi, mutta entistäkin syvemmälle uppoava. Tätä käytetään korkeaa tietoturvaa vaativilla sivuilla kuten verkkokaupoissa, verkkopankeissa ja sivuilla, jonne käyttäjän pitää antaa esim. luottokorttitietoja tai henkilökohtaisia tietojaan. Kun selaimessa näkyy vihreä palkki, tiedät että sen saamiseksi on tarvittu suuri määrä salapoliisityötä ja tarkistuksia.

Organisaation nimi näkyy heti osoiterivillä sekä varmenteen tarkemmissa tiedoissa - seuraavassa on esimerkki:

DV – Domain Validation
Domain Validation on palvelun domainiin (esim. www.domain.fi) perustuva tarkistus. Tämä on validoinnin heikoin lenkki. Omistajuuden tarkistus perustuu pääsääntöisesti automatiikkaan ja tiettyihin domainin sähköpostiosoitteisiin. Prosessi on edullinen, mutta onko se luotettava? Ei välttämättä. Jokaisen organisaation, joka haluaa taata varmenteidensa oikeellisuuden ja minimoida riskit väärinkäytöksistä, pitää käyttää OV/EV-varmenteita.

Seuraavassa on esimerkki. Organisaation nimeä ei näy missään, koska kukaan ei ole varmentanut, mikä organisaatio domainin on pystyttänyt tai kuka sen on valtuuttanut.
(Kuten näet, käyttää blogialustamme toimittaja valitettavasti Let’s Encrypt menetelmän tarjoamia ilmaisia DV-varmenteita. Näemme asiakkaidemme jo siirtyvän pois Let’s Encrypt -kokeiluista, koska useilla asiakkailla ne ovat osoittautuneet epäluotettaviksi. Toivomme, että blogialustatoimittajammekin siirtyy vähitellen OV tai EV -varmenteeseen).