Mikä on SSL-sertifikaatti?

Kaisa Huttunen

SSL-sertifikaatti kannattaisi ottaa käyttöön jokaiselle sivustolle, sillä se parantaa tietoturvaa. SSL on lyhenne ja tulee englanninkielen sanoista Secure Sockets Layer. Joskus SSL-sertifikaatista kuulee käytettävän myös nimitystä https-sertifikaatti.

SSL on laajasti käytetty salausprotokolla, jonka toiminta perustuu sertifikaatteihin eli varmenteisiin. Käytännössä varmenteen avulla kotisivut todistavat olevansa se, joka väittää olevansa.

Tässä kirjoituksessa käsitellään SSL-sertifikaattia, miksi se kannattaisi ottaa käyttöön ja millaisia erilaisia sertifikaatteja on saatavilla.

Miksi SSL-sertifikaatti kannattaa ottaa käyttöön?

SSL-sertifikaatin avulla yhteys nettisivujen kävijän ja palvelimen välillä suojataan, eli tieto liikkuu suojattua yhteyttä pitkin. Kukapa ei haluaisi pitää kävijöiden tietoja turvassa, erityisen tärkeää se on verkkokaupoille ja sivustoille, jotka keräävät henkilötietoja.

Lisäksi SSL-sertifikaatti antaa luotettavan kuvan yrityksestä, sillä ilman sitä selain saattaa varoittaa kävijää sivuston turvallisuudesta. Tämä voi pahimmillaan johtaa kävijän poistumiseen sivustolta. Katso listaamamme kolme syytä, miksi SSL-salaus kannattaa ottaa käyttöön.

Miten vierailija näkee SSL-sertifikaatin?

Sivuston kävijälle SSL-sertifikaatti näkyy suljettuna lukon kuvana osoiterivillä. Hieman selaimesta riippuen lukko voi olla esimerkiksi vihreän värinen.

Lisäksi osoite rivillä ennen varsinaista verkkotunnusta voi näkyä https-etuliite. Http-lyhenne tulee sanoista hypertext transfer protocol secure eli käytännössä se tarkoittaa suojattua yhteyttä. Ilman SSL-varmennetta olevien sivustojen etuliite on pelkkä http eli siitä puuttuu turvallisuudesta kertova s-kirjain.

SSL-sertifikaatti Zonerin sivuilla.

Jos käytössä on esimerkiksi extended validation -sertifikaatti, käyttäjä saa lukkoa klikkaamalla vielä tarkemmat tiedot varmennuksesta, eli esimerkiksi tiedon organisaatiosta, jolle varmenne on myönnetty.

Extended Validation SSL -Sertifikaatti kertoo myös yrityksen nimen, jolle sertifikaatti on myönnetty.

Miten SSL-sertifikaatti toimii? ​

Kun SSL-sertifikaatti on asennettu ja se toimii oikein, kaikki hoidetaan taustalla palvelimen ja selaimen välillä niin, että sivuston kävijä ei huomaa mitään. Käydään seuraavaksi kuitenkin tämä prosessi yksityiskohtaisemmin läpi.

1. SSL-sertifikaatti asennettaan palvelimelle

Myönnetty SSL-sertifikaatti asennetaan samalle palvelimelle, jossa itse sivusto sijaitsee eli esimerkiksi webhotellipalvelimelle. Aluksi luodaan julkinen ja yksityinen avain, joiden avulla siirrettävät tiedot salataan ja salaus saadaan myös purettua.

2. Selain varmistaa sertifikaatin aitouden

Kun käyttäjä kirjoittaa SSL-sertifikaatin omaavan sivuston osoitteen selain riville, palvelin lähettää selaimelle sivuston julkisen salausavaimen ja kopion SSL-sertifikaatista. Selain tarkistaa, että nimi vastaa varmenteen tietoja ja sertifikaatin myöntäjä on luotettava.

Selainten valmistajat pitävät yllä listaa luotettavista sertifikaattien myöntäjistä. Jos myöntäjää pidetään luotettavana, luotetaan myös niihin sivustoihin, joille on myönnetty SSL-sertifikaatti.

SSL-sertifikaattien myöntäjät ​

Sertifikaattiviranomaiset (certificate authority, CA) takaavat käytännössä SSL-sertifikaatin haltijan identiteetin. Yksi tunnetuimmista sertifikaattien myöntäjistä on Comodo, jonka SSL-sertifikaatteja voi ostaa myös Zonerilta.

3. SSL-suojattu yhteys muodostetaan​

SSL-sertifikaatin aitouden varmistamisen jälkeen, selain luo yksilöllisen avaimen, jonka se salaa palvelimelta saadulla julkisella avaimella. Palvelin pystyy avaamaan salauksen ainoastaan sertifikaatin hankkimisen yhteydessä luodulla yksityisellä avaimella.

Tämän jälkeen sekä selain että palvelin voivat siirtää toisilleen tietoja, jotka suojataan selaimen luomalla yksityisellä avaimella ja tällöin yhteys on siis suojattu. Käytön jälkeen molemmat avaimet hävitetään ja jokaista erillistä istuntoa varten luodaan aina uusi yksilöllinen avain.

Erilaiset SSL-sertifikaatit

SSL-sertifikaatteja on olemassa erilaisia ja ne vaihtelevat niin tunnistustason kuin laajuudenkin mukaan. Sertifikaatin taso kannattaa valita oman käyttötarkoituksen mukaan. Esimerkiksi pienille yrityksille riittää usein mainiosti pelkkä domainvarmennettu SSL-sertifikaatti, jonka saa halutessaan ilmaiseksi Let’s encrypt -sertifikaatin avulla.

Tunnistustasot

Sertifikaattien tunnistustaso voi vaihdella pelkästä domaintason tunnistuksesta organisaation olemassa olon varmistamiseen.

Domain validation (DV)

DV-sertifikaattien kohdalla varmistetaan ainoastaan verkkotunnus ja sen omistajuus. Tällaisen sertifikaatin voi saada täysin ilmaiseksi ja nopeasti, koska verkkotunnuksen omistajuus tarkistetaan yleensä automaattisesti.

Organization validation (OV)

OV-sertifikaatissa tilaaja organisaation olemassaolo varmistetaan erilaisten dokumenttien avulla. Käytännössä se myönnetään sertifikaattiviranomaisen manuaalisen tarkistuksen jälkeen. OV-sertifikaatti on maksullinen.

Extended validation (EV)

EV-sertifikaatti vaatii korkeimman tunnistustason. Käytännössä sertifikaattiviranomainen myöntää sertifikaatin perusteellisen taustatarkastuksen jälkeen. Sen on myös noudatettava tarkastuksessa CA/B-foorumin (engl. Certificate Authority/Browser Forum) tiukkoja ohjeistuksia. EV-sertifikaatti on maksullinen.

SSL sertifikaatti suojaa sivuston ja kävijän välisen liikenteen.

Sertifikaattityypit ​

SSL-sertifikaatit voidaan tunnistustason lisäksi jakaa erilaisiin varmennetyyppeihin sen mukaan montako verkkotunnusta ne kattavat.

Yhden verkkotunnuksen sertifikaatit

Yhden verkkotunnuksen sertifikaatit kattavat nimensä mukaisesti ainoastaan yhden domainin ja sen eri polut eli esimerkiksi zoner.fi ja zoner.fi/tukisivusto.

Wildcard-verkkotunnussertifikaatit

Wildcard-sertifikaatit kattavat puolestaan kyseisen pääverkkotunnuksen lisäksi kaikki aliverkkotunnukset. Aliverkkotunnuksia ovat esimerkiksi www.zoner.fi ja oma.zoner.fi.

Usean verkkotunnuksen sertifikaatit

Useamman verkkotunnuksen sertifikaatit voivat kattaa jopa 100 erilaista verkkotunnusta. Sertifikaattiin voidaan myös lisätä ja poistaa verkkotunnuksia sen mukaan, kun on tarvetta.

Miten saan SSL-sertifikaatin?

Jokaisella Zonerin webhotelli ja WordPress-hosting asiakkaalla on mahdollisuus käyttää ilmaista Let’s encrypt -sertifikaattia halutessaan. Jos pelkkä domainin tunnistus ei riitä, SSL-sertifikaatti ostetaan yleensä omalta verkkotunnuspalveluntarjoajalta esimerkiksi Zonerilta.