Mikä on verkkosivun sertifikaatti ja mistä sen saa?

Verkkoliikenteen salaus toteutetaan pääasiallisesti SSL/TSL -varmenteilla (sertifikaatti), jotka mahdollistavat tiedon turvallisen kuljetuksen verkon käyttäjän ja palvelimen välillä. Miten tämä näkyy käyttäjälle ja tarvitseeko sinun tehdä jotain sivustosi turvaksi?

Nykypäivänä verkkoliikenne on lähestulkoon poikkeuksetta salattua. Lyhykäisyydessään, tämä tarkoittaa, että vaikka jokin taho saisi verkkoliikenteen kaapattua pääsemällä siihen väliin käsiksi, esimerkiksi kuuntelemalla verkkoliikennettä jotain kautta, tämän salauksen ansiosta liikenteen tiedot pysyvät kuitenkin turvassa eikä niitä päästä väärinkäyttämään. Modernit verkkoselaimet huomauttavat tähän salaukseen käytetyn sertifikaatin puutteista erittäin tehokkaasti, ja verkkoa selaillessa on epätodennäköistä, että vahingossa eksyy suojaamattoman yhteyden taakse. Virheellisiä ja toimimattomia sivunlatauksia omalla selaimellaan voi turvallisesti tutkailla esimerkiksi verkkosivustolla https://badssl.com.

Nykyaikaiset varmenteet ovat huolettomia

Sertifikaateilla on voimassaoloaika, joka on vuosien saatossa lyhentynyt huomattavasti. Ennen sertifikaattien hankinta tapahtui yleensä lisäpalveluna ja oli sekä hidasta että kallista, josta syystä voimassaoloajat olivat myös jopa useita vuosia. Nykyään perusmalliset sertifikaatit kuuluvat itsestäänselvyytenä verkkopalveluihin joko CDN:n (esim. Cloudflare) tai hosting-talon puolesta ja vanhenevat pääasiallisesti kolmen kuukauden välein.

Verkkosivuston omistajana tai hallinnoijana sertifikaattien hankintaan ja niiden toimivuuteen liittyviä huomionarvoisia asioita ei onneksi paljon ole. Palveluntarjoajalta on hyvä varmistaa, että sertifikaatit sekä hankitaan että uusitaan automaattisesti, jotta käyttäjät eivät saa pelottavan näköisiä varoituksia verkkoselaimeen. Tämä sitten oikeastaan riittääkin :)