Pelkkä HTTPS-varmenne ei riitä – se pitää myös olla oikein asennettu

Kirjoitettu: 11.7.2016 Päivitetty: 28.8.2018

HTTPS-varmenteen käyttö käyttäjätunnusten ja salasanojen suojaamiseksi on ollut WP-palvelun asiakkaiden sivustojen vakio-ominaisuus alusta alkaen. Tänä keväänä olemme ryhtyneet tarjoamaan jokaiselle asiakkaan verkkotunnukselle omaa HTTPS-varmennetta ilmaiseksi, jotta kaikki HTTP-liikenne voidaan suojata. Se parantaa tiedon luottamuksellisuutta, aitouden varmistamista, yksityisyyttä ja yllättäen myös nopeuttaa sivustojen latautumista, koska uusi nopeampi HTTP/2-protokolla toimii vain HTTPS-yhteyden yli. Toivomme että HTTPS yleistyy myös muilla palveluntarjoajilla.

HTTPS-varmenteen käyttöönotto ei kuitenkaan vielä riitä parhaan tietoturvan varmistamiseksi. On myös pidettävä huolta, että varmenne on asennettu oikein.

WP-palvelussa HTTPS-varmenteeseen liittyvät perusasetukset hoidetaan asiakkaan puolesta.

Oikeat asetukset estävät vanhat haavoittuvuudet

HTTPS-varmenteen toimivuuden takaamiseksi sillä tulee ensinnäkin olla riittävän vahva salausavain. Tämän lisäksi on tärkeää, että varmenne on asennettu oikeilla asetuksilla eli www-palvelin pitää olla oikein määritelty HTTPS-yhteyksien palvelun osalta. Näin estetään vanhat protokollahaavoittuvuudet, kuten esimerkiksi BEAST tai POODLE.

Keväällä 2014 julkisuuteen tullut Heartbleed-nimen saanut haavoittuvuus OpenSSL-ohjelmistossa, joka on maailman yleisin HTTPS-ohjelmisto, mahdollisti verkkoliikenteen salakuuntelun ja jopa tietojen aktiivisen hakemisen palvelinten muistista. Korjaus siihen oli päivittää käyttöön korjattu versio OpenSSL:stä.

SSL Labs -testi antaa palvelimelle arvosanan suojauksesta

WP-palvelu.fi:n tulos SSL Labsissa: A+

WP-palvelu.fi:n tulos SSL Labsissa: A+

Qualys-yhtiö ylläpitää erinomaista SSL Labs -verkkopalvelua, jossa voi helposti testata onko jonkin palvelimen HTTPS-määritykset kunnossa. Se antaa sivustolle kouluarvosanan A–F.

Alla on taulukko WP-palvelun testituloksesta sekä muutamista verkkopankeista ja muista palveluista, joissa HTTPS-suojauksen pitäisi olla mahdollisimman vahva.

Verkkosivusto Testitulos
WP-palvelu.fi A+
S-Pankki.fi A+
Nordnet.fi A
Kansalaisten potilastiedot Kanta.fi A
OP.fi A-
Danske Bank A-
Procountor A-
Nordea B
Ilmarinen C

 

Testit suoritettiin 28.6.2016. Klikkaamalla linkkiä kunkin arvosanan kohdalla saat SSL Labsin uusimman testituloksen koskien samaa palvelinta.

HTTPS-suojaus WP-palvelun sivustoilla

WP-palvelun asiakkaiden sivustot saavuttavat automaattisesti A-tuloksen SSL Labsin testissä, eli riittävään suojaukseen ei asiakkaidemme tarvitse tehdä mitään toimenpiteitä. A+ -tulosta varten kuitenkin tarvitaan muutos, jonka seurauksena sivusto toimii vain HTTPS-yhteydellä. Halutessaan asiakas voi lisätä suojausta ja tehdä seuraavan muutoksen:

  • Lisää sivustokohtaiseen /data/wordpress/nginx/custom.conf -tiedostoon rivi add_header Strict-Transport-Security "max-age=63072000;";.
  • Jos käytössä on tuore versio WP-palvelun WordPress-pohjasta, on kyseinen rivi siellä valmiina ja asiakkaan tarvitsee vain poistaa #-kommenttimerkki rivin alusta ja aktivoida muutos ajamalla komento wp-restart-nginx.
  • Lisätietoja löydät Ohjeet-sivulta.

Kommentoi

Otto Kekäläinen

Hae WP-palvelu.fi:stä

Lue myös

Huippuluokan ylläpitoa huippuluokan tapahtumalle

21.11.2019

Nordic Business Forum on Slushin ohella yksi Suomen suurimmista menestystarinoista tapahtumatuotannon saralla. Vuonna 2010 ensimmäistä kertaa järjestetty tapahtuma on tänä […]

WordPress 5.3 ”Kirk” ulkona

14.11.2019

Marraskuun 12. toi meille uuden WordPress-version 5.3, joka tunnetaan myös nimellä ”Kirk”, legendaarisen jazz-muuusikon Rahsaan Roland Kirkin mukaan. Uusi versio […]

HTTPS ei ole vapaaehtoinen

5.11.2019

Tietojen salaus on ollut arkipäivää vuosikaudet. Saatat tälläkin hetkellä olla yhteydessä internetiin suojatun VPN-yhteyden ylitse suojataksesi henkilökohtaiset tietosi uteliailta katseilta. […]