Mikä on SSL-sertifikaatti, mikä https on ja miksi?

Mikä on SSL-sertifikaatti (eli SSL-varmenne)?

SSL:n turvattu yhteys varmistaa, että data ja tieto, joka lähetetään selaimestasi web-palvelimeen, säilyy turvassa hakkereilta tai tahoilta, jotka ehkä yrittävät vakoilla taikka varastaa tiedon. SSL on alan standardi ja sitä käyttävät miljoonat verkkosivustot tarkoituksenaan suojella ja turvata arkaluontoiset tai yksityiset tiedostonsa, kun ne lähetetään verkon yli verkkosivuilta käyttäjän selaimeen. Yksi yleisimmistä syistä käyttää SSL-sertifikaattia ja SSL-yhteyttä on online-kauppa eli verkkokauppa. Yleinen syy käyttää suojausta on myös sisään kirjautumisen tietojen suojaaminen.

Yleisesti tunnettu varmenteen myöntäjä (CA)

Jotta turvattu yhteys voidaan luoda palvelimelle, siihen tarvitaan SSL-sertifikaatti toiselta nimeltään SSL-varmenne, joka tulee olla oikein asennettu. Kun palvelimella on yleisesti tunnetun ja hyväksytyn sertifikaatin myöntäjän allekirjoittama sertifikaatti, se hyväksytään selaimessa (kuten Firefox, IE, Chrome tai Safari) sellaisenaan takeena siitä, että sivusto on luotettava ja se joka väittää olevansa.

Yleisesti ottaen SSL-varmenteet tekevät yhden tai useamman seuraavista asioista kun ne on asennettu oikein palvelimelle: näyttävät verkkosivustosi osoitteen, näyttävät yhteisösi nimen, näyttävät rekistereihin merkityn osoitteesi ja kotimaasi, näyttävät lukon selaimen osoitekentässä tai näyttävät osoitekentän vihreänä. SSL-sertifikaateilla on aina erääntymispäivämäärä, jonka jälkeen ne eivät enää ole voimassa varmenteena. Lisäksi niistä ilmenee myös aina ne myöntäneen auktoriteetin nimi ja tiedot. Kun selaimen lukon kuvaa klikkaa, se takaa paljastuvat selaimen tiedot ja varmenteen myöntäjän tiedot ja sivuston omistajan tiedot.

Miten SSL-varmenne toimii selaimen ja palvelimen yhteydessä?

Kun haluat mennä jollekin sivustolle ja kirjoitat sen osoitteen verkkoselaimeesi, palvelin lähettää SSL-yhteyden muodostamiseksi tiedon niistä suojauksista, joita se voi käyttää ja selaimesi valitsee niistä sellaisen, johon se pystyy. Selain noutaa palvelimen sertifikaatin ja varmistaa sen voimassaoloajan, sen seikan, että selain luottaa varmenteen myöntäjään ja lopuksi vielä sen, että sertifikaattia käyttää juuri se verkko-osoite, jolle se on myönnetty. Jos jokin näistä seikoista ei stemmaa, selain näyttää varoituksen. Oleensä nykyaikaiset selaimet antavat selkeän varoituksen ja eteenpäin pääseminen edellyttää käyttäjän aktiivisen hyväksymisen. Tämä varoitus tulee näkyville mm. silloin kun sertifikaatti on itseallekirjoitettu. Juuri tämän syyn takia virallisesti allekirjoitettu varmenne on niin tärkeä osa liiketoimintaa ja turvallisuutta verkossa ylipäätään.

Tästä muodostetaan salattu yhteys palvelimen ja selaimen välille ja tuo yhteysmuoto ilmenee selaimen verkko-osoitekentässä protokollassa, joka on https, jossa tuo viimeinen kirjain ”s” ilmaisee suojauksen olemassaolon yhteydessä.

Miksi palvelimellani on syytä olla SSL-sertifikaatti

Normaali yhteys tänä päivänä, mm. Googlen suosittelemana, tulisi olla juuri https. Se tuo turvan muun muassa kirjautumiseen, kun verkossa annetaan käyttäjätunnus ja salasana. Kirjautuminen tapahtuu käytännössä jokaisella suomalaisella verkkosivulla ainakin silloin kun sitä ylläpidetään ja siksi toimiva sertifikaatti on niin tärkeä osa jokaisen yrityksen tietoturvaa.

Tutkimustiedon valossa on myös todennettu, että EV-tasoinen varmenne itse asiassa lisää verkkokauppojen myyntiä ja kannattavuutta. Joka tasoinen varmenne on joka tapauksessa merkki siitä, että sivuston kanssa asioiminen on turvallista ja tänä päivänä SSL-varmenne on edullinen, joten millään yrityksellä tai yhteisöllä ei enää ole edes rahasyytä olla tarjoamatta suojattua SSL-yhteyttä sen asiakkaille, henkilökunnalle ja tavarantoimittajille.

Millaisia erilaisia SSL-sertifikaatteja on saatavilla ja mitä eroja niissä on?

SSL-varmenteita käyttävien yhteisöjen ja sivustojen määrä on viime vuosina kasvanut voimakkaasti ja SSL-sertifikaattien lisääntyneeseen käyttöön on myös hyviä syitä:

• jotkin sivustot käyttävät SSL-varmenteita tuottaakseen luottamuksellisen yhteyden (kryptauksen)
• jotkin sivustot haluavat https-yhteyden avulla luoda luotettavuutta ja luottamusta ja ne haluavat osoittaa sen SSL-suojaksella, koska se on tapa osoittaa olevansa se joka väittää

Samalla kun syyt SSL-varmenteiden käyttö on lisääntynyt tarjolla olevia pääasiallisia varmenteita on nykyään kolmea eri lajia:

• Extended Validation (EV) SSL-varmenteet
• Organization Validation (OV) SSL-varmenteet
• Domain Validation (DV) SSL-varmenteet

Extended Validation (EV) SSL-varmenteet

Extended Validation (EV) SSL-varmenteita käyttävät kaikenlaiset tahot kuten valtionhallinnon organisaatiot, yritykset, yhdistykset, säätiöt ja henkilöyhtiöt. Hakuprosessi kestää noin 10 päivää ja ne myönnetään vain kun hakijan oikeus sivustoon on vamistettu ja samalla myöntäjäauktoriteetti käy erittäin tarkasti läpi hakijaorganisaation. Extended Validation (EV) SSL-varmenteiden myöntämisperusteet on tarkasti linjattu EV-määrityksissä, jotka määriteltiin vuonna 2007 CA/selain-foorumin yhteydessä ja niissä säännellään ne askelet, jotka myöntäjäauktoriteetin tule käydä läpi ennen Extended Validation (EV) SSL-varmenteen myöntämistä:

1. Entiteetin laillinen, fyysinen ja toiminnallinen olemassaolo on tarkistettava
2. Entiteetin identiteetin on vastattava virallisia merkintöjä
3. Entiteetillä tule olla selkeä yksinoikeus sivustoon, joka EV-sertifikaatissa on haussa
4. Entiteetin on tullut varmasti tullut hyväksyä EV-varmenteen myöntäminen

EV-varmenteen myöntämiseen liittyy toinen säännöstö ja se koskee myöntäjäauktoriteettia, jolla on oikeus myöntää EV-varmenne. Kaikki EV-sertifikaatteja myöntävät organisaatiot auditoidaan ennen kuin niille myönnetään lupa myöntää EV-varmenteita. Puhutaan EV Audit Guidelinesista, jotka tulee täyttää joka vuosi jotta niillä pysyisi oikeus myöntää EV-varmenteita.

Edeltä on helppo nähdä miksi vihreän selaimen osoitekentän aktivoiva EV-sertifikaatti on niin arvostettu.EV-sertifikaattien myyntimäärät ovatkin kasvaneet 300%. Suosituksemme sinulle on: EV-sertifikaatti. Huomaathan myös, että jo muutenkin edulliset hintamme ovat vieläkin matalammat kun ostat varmenteesi useammaksi vuodeksi kerrallaan.

Organization Validation (OV) SSL-varmenteet

Organization Validation (OV) SSL-sertifikaatit myönnetään vain kun sertifikaattiauktoriteetti omaa oikeuden hakemaansa verkko-osoitteeseen. Lisäksi myöntäjäauktoriteetti tutkii organisaation oikeellisuutta tietyllä tarkkuudella. OV-sertifikaatin saaneen organisaation tiedot näkyvät myös sertifioinnin osoituksena kun osoitekentän lukkoa klikataan. Tämä seikka on ostajalle ja nettisivulle selkeä lisäturva ja tae siitä, että käyttäjä on tekemisisää oikean tahon kanssa ao verkkosivua käyttäessään. OV-varmenteen haku kestää yleensä muutaman päivän, mutta jos kaikki dokumentaatio on heti valmiina ja se toimitetaan auktoriteetille heti haun yhteydessä, myöntäminen saattaa tapahtua jopa reilussa vuorokaudessa.

Domain Validation (DV) SSL-varmenteet

Domain Validation (DV) SSL-sertifikaatti myönnetään kun myöntäjäauktoriteetti on tarkistanut hakijan oikeuden kyseiseen verkko-osoitteeseen. Minkäänlaista organisaation oikeellisuustarkistusta ei DV-sertifikaatin kyseessä ollessa tehdä eikä lukon yhteydessä siten siis ilmene organisaation tietoja sitä klikattaessa. Etuna DV-varmenteessa on sen nopea myöntö, sillä sen voi saada parhaimmillaan jopa noin varttitunnissa.

Wildcard-SSL-sertifikaatit ja normaalit SSL-sertifikaatit

Normaalit DV-, OV-, ja EV-vaarmenteet suojaavat aina yhtä sivusto-osoitetta kerrallaan. Tällainen on esimerkiksi www.aitoa.fi tai sama osoite ilman www-etuliitettä, aitoa.fi. Niinsanotuilla wildcard-sertifikaateilla voidaan suojata yksi päädomain ja useita alidomaineja, esimerkiksi aitoa.fi ja verkkokauppa.aitoa.fi sekä posti.aitoa.fi. Yleensä alidomaineja voi olla rajaton määrä wildcard-SSL-varmenteilla toimittaessa. Lisäksi on saatavilla monidomain-varmenteita, joilla yhden varmenteen avulla voidaan suoja useita verkko-osoitteita, kuten osoite1.fi, osoite2.fi ja osoite-nn.fi. Riippuen taas varmenteesta, jopa 100 eri varkko-osoitetta voidaan suojata yhdellä varmenteella.

Selaimen lukko ja SSL-protokolla esiripun takaa

Vaikkakin SSL-protokolla (siis https) on toiminnaltaan monimutkaisen oloinen, ei se ilmene asiakkaillesi minään vaikeutena taikka monimutkaisuutena. SSL-yhteys vain toimii! Mutta se nimenomaan tarjoaa asiakkaillesi ja sidosryhmillesi turvatun yhteyden sivustollesi. Tämä turva näkyy asiakkaillesi selkeästi, sillä vain suojatussa https-yhteydessä selaimen osoitekentässä näkyy lukko. Tuo lukko kertoo kaikille nykyajan ihmisille selkeästi ja yksiselitteisesti sen, että asiointi sivustollasi on turvallista ja että yhteisö sivuston takana toimii nykyajan edellyttämällä ja vastuullisella tavalla. Varmenteiden korkeimmalla tasolla (EV) varmuus näkyy lisäksi selaimen osoitekentän vihreänä värinä.

Miten SSL-varmenne asennetaan palvelimelle?

Jotta verkkopalvelin voisi tarjota suojatun yhteyden verkkoselaimen ja itsensä väliseen liikenteeseen, siinä tulee olla oikein asennettu SSL-sertifikaatti. Kun SSL-varmennetta haetaan, hakuprosessiin kuuluu monia kysymyksiä, joilla selvitetään hakijan tiedot ja verkkosivuston tiedot. Noita tietoja varmenteen myöntäjä sitten tarkistusvaiheessa vertaa julkisissa tietokannoissa yhteisöstä annettuihin tietoihin. OV-sertifikaatin ja EV-sertifikaatin kyseessä ollessa tiedot kattavat myös kaupparekisteriotteen, jolla yhteisön oikeellisuus varmistetaan. Kun tiedot on varmennettu ja varmenne on myönnetty, palvelimelle syötetään myönnetty SSL-varmenne ja yksityinen avain. Niiden perusteella se luo itselleen todennetun identiteetin, joka toimii HTTPS-yhteyden varmistuksena.

Jotta SSL-sertifikaatti voidaan hakea myöntäjätaholta, ensin luodaan kaksi avainta, joihin yllä mainitut yhteisön ja palvelimen tiedot tarvitaan. Tuolla tiedolla palvelin luo kaksi kryptografista avainta, joista toinen on salainen yksityinen avain ja toinen on palvelimen julkinen avain.

CSR ja CA kun SSL-varmennetta haetaan

Julkinen avain ei ole millään tavoin salainen ja sitä käytetään hyväksi ns. CSR:n eli Certificate Signing Request luomisessa. CSR on normaalitekstiä sisältävä tiedosto, joka lähetetään vamenteen myöntäjälle (siis sille taholle, jolta aiomme varmenteen hankkia). Varmenteen myöntäjätaho, ns Certification Authority (CA), tekee yllä mainitut tarkistukset CSR:n tietojen nojalla. CSR on siis SSL-hakemuksen edellytys. Usein SSL-validointi tehdään osiltaan joko sähköpostiosoitteen varmentamisella taikka palvelimelle sijoitettavan tiedoston ja tiedoston sisällön varmentamisella. Lisäksi CA saattaa soittaa yrityksen viralliseen puhelinnumeroon, mikäli varmenteen taso (EV tai OV) sitä edellyttää.