Mikä SSL-salaus?
SSL-salaus (TLS/SSL) on viime aikoina ollut tapetilla huomattavan paljon. Google ilmoitti, että tämän vuoden alusta kaikkien SSL:ää käyttämättömien sivustojen hakusijoitukset putoavat aiempaa enemmän ja vuoden alkupuolella aletaan Chrome-selaimessa näyttämään varoitusta turvattomasta sivustosta jos olet vierailemassa sellaisella nettisivulla, joka ei käytä SSL-salausta. Nykytilanne (kts. blogin päiväys) on se, että chromen versio 57 näyttää selaimen osoiterivin vieressä (!) Not Secure, jos verkkosivuilla kysytään kirjautumistietoja, ja pelkän huutomerkin (!) muilla SSL-salaamattomilla sivuilla.
Lähitulevaisuudessa Chrome tulee näyttämään punaisen varoituskolmion tavallisten salaamattomien nettisivujen yhteydessä.
Esimerkiksi verkkokaupan pitäjälle tuollainen varoitusviesti on varmasti aika ikävä juttu. EU:n toukokuussa 2018 voimaan tuleva uusi tietosuoja-asetus myös useimmissa tapauksissa vaatii tällaiset vahvat salauskeinot sivustoille, joilla käsitellään henkilötietoja (esim. aivan pieniä suuremmat verkkokaupat kuuluvat tämän piiriin).
Mitä SSL-salaus tekee?
Yksinkertaistettuna SSL-salaus salaa tietoliikenteen tietokoneesi ja salatun nettisivuston välillä. Se auttaa myös varmistamaan sivuston aitoutta eli välttämään huijaussivustoja, jotka pyrkivät esiintymään jonain tunnettuna sivustona tai vaikkapa verkkopankkina. SSL-salauksen tunnistaa yleensä nettiselaimessa näkyvästä lukkoikonista, ja SSL-salattua HTTPS-protokollaa käyttävä URL-osoite alkaa merkkijonolla https:// tavanomaisen http:// merkkijonon sijaan.
HTTP-protokolla on suojaamaton, eli esimerkiksi käyttäjätunnukset ja salasanat siirtyvät selkokielisessä muodossa. Sinun ei koskaan tulisi lähettää pankki- tai luottokorttitietoja suojaamattoman yhteyden yli, tosin käytännössä kaikki verkkomaksamista tarjoavat tahot ovat käyttäneet salausta jo pitkään.
Muun muassa Google ajaa vahvasti HTTPS-protokollan eli SSL-suojattujen yhteyksien leviämistä. Myös Apple ja Mozilla (Firefoxin emoyhtiö) näkisivät mieluusti koko Internetin olevan salauksen takana. Näyttää siis siltä, että SSL-salauksesta on nopeasti tulossa standardi.
Tarvitseeko yrittäjä SSL-salattuja nettisivuja?
Lyhyt vastaus on, että kyllä tarvitsee. Tällä hetkellä tärkein merkitys on hakukonenäkyvyys – SSL-salaus on nykyään joko keskivahva tai vahva ranking-tekijä. SSL-salatut sivustot yksinkertaisesti näkyvät korkeammalla hakutuloksissa etenkin Googlella.
Vaikutelma luotettavuudesta on myös tärkeä tekijä verkkokauppiaiden tai luottamuksellisia palveluita tarjoavien yritysten lisäksi melkeinpä kaikille muillekin yrityksille. Kukaan mahdollinen asiakas tuskin haluaa nähdä, että vaikkapa lakitoimiston sivut luokitellaan kastiin “Your connection to this site is not secure” eli “Yhteytesi tälle sivustolle ei ole turvallinen”. Tein tätä kirjoittaessani pikatestin kymmenelle ensimmäisenä Googlessa näkyvälle tamperelaiselle lakitoimistolle: näistä YKSI oli SSL-salattu. SSL-salattu sivusto oli hakutuloksissa toisena.
Tällaisella pikatestillä ei tietenkään pysty tekemään luotettavia johtopäätöksiä, mutta veikkaan kyllä, että laajemmassakin otannassa tulos olisi samankaltainen.
Nopeasti SSL-salaukseen siirtyville on tarjolla mahdollisesti hyvinkin merkittävää kilpailuetua. Googlen 3 kärkisijaa saa 61,5% kaikesta Googlen hakukoneliikenteestä. 1. sivun kautta kulkee 92% kaikesta liikenteestä, eli kakkossivulla näkyminen on hädin tuskin merkityksellistä. (Lähde: Chitika 2013) Orgaaninen näkyvyys on myös merkittävästi tärkeämpää kuin maksettu näkyvyys: GroupM UK:n (2011) mukaan vain 6% kaikista klikeistä kulkee maksetun näkyvyyden kautta. Lähde on vanhahko ja tietääkseni tilanne on maksettujen mainosten puolella mennyt parempaan suuntaan, etenkin jos asiakas etsii tietynlaista yritystä tai palvelua eikä niinkään tuotetta. Joka tapauksessa orgaaninen näkyvyys on edelleen se “parempi” näkyvyys.
Mistä sen saa?
SSL-salaus (tai oikeammin SSL-protokolla, jota käytetään salaukseen) voi olla jopa ilmainen, esimerkiksi Let’s Encrypt (https://letsencrypt.org/) tarjoaa ilmaisia perussertifikaatteja. Lisäksi tietysti tarvitaan myös infrastruktuurityötä palveluntarjoajan tai nettisivujen toimittajan puolesta, että protokolla otetaan käyttöön ja liikenne ohjataan oikeaoppisesti. Jotkin web-hotellit ovat jo tehneet tarvittavan infratyön ja tarjoavat kaikille sivustoilleen SSL-salauksen ilmaiseksi.
Maksullisilla sertifikaateilla saa mm. firmansa nimen lukon viereen vihreällä tekstillä. Niiden tekniset ratkaisut ovat myös jonkin verran luotetumpia (tosin, riippuu keneltä kysyy…) ja laajemmalle levinneitä, eli käyttöhyötyäkin voi olla odotettavissa. Käytännössä hyödyt ilmaisiin perussertifikaatteihin verrattuna tosin ovat melko pieniä ainakin tällä hetkellä.
Sinun kannattaa olla yhteydessä webhotelliisi tai nettisivujesi tekijään asian tiimoilta. Myös me voimme auttaa asian selvittämisessä ja sertifikaattien asentamisessa nettisivuillesi.