Suojatun yhteyden käyttöönotto

EsittelyKäyttöohjeet › Suojatun yhteyden käyttöönotto

Suojattu TLS-yhteys (entiseltä nimeltään SSL-yhteys) tarkoittaa tietoliikenteen salaamista verkkosivuston käyttäjän tietokoneen ja verkkopalvelimen välillä. Suojatulla yhteydellä on verkkokaupankäynnin kannalta useita etuja:

  • asiakastiedot ja salasanat kulkevat salatusti
  • Google suosii salattuja verkkokauppoja
  • verkkokauppa vaikuttaa luotettavammalta
  • verkkokauppa menestyy paremmin

Suojattu yhteys on päällä, kun verkkoselaimen osoiterivin alussa näkyy https://. Tällöin jotkut verkkoselaimet näyttävät osoiterivin läheisyydessä ehjän lukon kuvan.

Kustannukset

Suojauksen käyttöönotto ei useinkaan maksa mitään. Yhä useampi www-palveluntarjoaja tukee ilmaisia Let's Encrypt -sertifikaatteja. Joillain www-palveluntarjoajilla tällainen suojaus on oletuksena valmiiksi päällä. Tämä on ennen kuulumatonta. Muutama vuosi sitten tarvittiin maksullinen SSL-sertifikaatti ja oma IP-osoite, mutta ei enää.

Käyttöönotto

Suojaus voidaan ottaa käyttöön kotisivutilan www-palveluntarjoajan ohjeita noudattamalla.

Ennen suojauksen käyttöönottoa kaikki kotisivutilassa olevat tiedostot kannattaa kopioida FTP-ohjelman avulla omalle tietokoneelle varmuuskopioksi. Varmuuskopio voidaan jättää tekemättä, jos suojauksen käyttöönoton aikana ei tuhota tiedostoja, mutta mistä sen voi tietää täysin varmasti?

Suojaus kannattaa ottaa käyttöön niin, että kotisivutilassa olevia tiedostoja voidaan kutsua sekä http- että https-yhteydellä ja http-yhteydestä tehdään automaattinen uudelleenohjaus https-yhteyteen.

Kun suojaus on otettu käyttöön, verkkokaupan hallintaliittymän asetukset / asennus -kohdassa olevat www-osoitteet on päivitettävä https-alkuisiksi. Tämä on kaikkein tärkeintä.

Seuraavaksi kannattaa tarkistaa, etteivät verkkoselaimet varoita suojaamattomasta sisällöstä. Muussa tapauksessa suojaamaton sisältö on poistettava tai muutettava suojatuksi. Käytännössä tämä tarkoittaa sitä, että verkkokaupan ulkoasussa mahdollisesti olevaa suojaamatonta sisältöä (esimerkiksi jokin kuva tai JavaScript-koodi) on kutsuttava jatkossa https-yhteydellä entisen http-yhteyden sijaan. Vikapaikan etsiminen onnistuu kätevästi kirjoittamalla verkkokaupan hallintaliittymän asetukset / koodit -kohdassa olevaan hakulomakkeeseen http://

Automaattinen uudelleenohjaus

Vanhoista http-alkuisista www-osoitteista kannattaa tehdä automaattinen 301-uudelleenohjaus https-alkuisiin www-osoitteisiin. Ohjaus voidaan toteuttaa lisäämällä verkkokaupan .htaccess-tiedoston IfModule-osion RewriteEngine On -rivin jälkeen nämä rivit:

# non-SSL to SSL
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Jos uudelleenohjaus ei toimi tai se lähtee kiertämään, kokeile vaihtoehtoista tapaa:

# non-SSL to SSL
RewriteCond %{ENV:HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Jos uudelleenohjaus ei vieläkään toimi tai se lähtee jälleen kiertämään, kokeile vaihtoehtoista tapaa:

# non-SSL to SSL
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Uudelleenohjausten toimivuus kannattaa varmistaa sulkemalla verkkoselain, avaamalla selain uudelleen ja kokeilemalla Google-hakua. Googlessa on nimittäin vanhastaan http-alkuisia hakutuloksia. Hakutuloksen klikkaamisen jälkeen verkkoselaimen osoiterivin alussa pitää näkyä https://. Google päivittää hakutulokset myöhemmin https-alkuisiksi.

Lopuksi Google Search Consoleen kannattaa lisätä sekä http- että https-alkuiset www-osoitteet (esim. http://www.example.com ja https://www.example.com). Näin voidaan seurata ja varmistaa, että Google korvaa http-alkuiset hakutulokset https-alkuisilla hakutuloksilla.

Jatkotoimenpiteet

Kun suojatun yhteyden käyttöönotosta on kulunut muutamia kuukausia, voidaan harkita HTTP Strict Transport Security (HSTS) -menetelmän käyttöönottoa. Kyseessä on varsin uusi yleistä turvallisuutta parantava menetelmä. Kun HSTS on käytössä, verkkoselaimet muuttavat (mahdollisen) suojaamattoman pyynnön suojatuksi jo ennen ensimmäistäkään yhteydenottoa verkkopalvelimelle.

Tällä hetkellä emme suosittele HSTS-menetelmän käyttöä, koska siinä on liikaa tuntemattomia riskejä.

Lisäksi jos HSTS otetaan käyttöön liian aikaisin, siirtymävaihetta on vaikeampi ymmärtää ja hallita. Itse asiassa Googlekin suosittelee ottamaan suojatun yhteyden käyttöön aluksi ilman HSTS:ää. Nyrkkisääntö on, että HSTS:n käyttöönoton jälkeen ei voida enää koskaan palata takaisin http-yhteyteen. Jos kuitenkin haluat kokeilla, lisää verkkokaupan .htaccess-tiedoston IfModule-osion RewriteEngine On -rivin jälkeen nämä rivit:

Header set Strict-Transport-Security "max-age=2628000" env=HTTPS

Hyvä tietää

Suojattu yhteys ei tarkoita esimerkiksi asiakastietojen salaamista tai salasanasuojausta.

Scroll to Top