Pelkkä HTTPS-varmenne ei riitä – se pitää myös olla oikein asennettu

Kirjoitettu: 11.7.2016 Päivitetty: 28.8.2018

HTTPS-varmenteen käyttö käyttäjätunnusten ja salasanojen suojaamiseksi on ollut WP-palvelun asiakkaiden sivustojen vakio-ominaisuus alusta alkaen. Tänä keväänä olemme ryhtyneet tarjoamaan jokaiselle asiakkaan verkkotunnukselle omaa HTTPS-varmennetta ilmaiseksi, jotta kaikki HTTP-liikenne voidaan suojata. Se parantaa tiedon luottamuksellisuutta, aitouden varmistamista, yksityisyyttä ja yllättäen myös nopeuttaa sivustojen latautumista, koska uusi nopeampi HTTP/2-protokolla toimii vain HTTPS-yhteyden yli. Toivomme että HTTPS yleistyy myös muilla palveluntarjoajilla.

HTTPS-varmenteen käyttöönotto ei kuitenkaan vielä riitä parhaan tietoturvan varmistamiseksi. On myös pidettävä huolta, että varmenne on asennettu oikein.

WP-palvelussa HTTPS-varmenteeseen liittyvät perusasetukset hoidetaan asiakkaan puolesta.

Oikeat asetukset estävät vanhat haavoittuvuudet

HTTPS-varmenteen toimivuuden takaamiseksi sillä tulee ensinnäkin olla riittävän vahva salausavain. Tämän lisäksi on tärkeää, että varmenne on asennettu oikeilla asetuksilla eli www-palvelin pitää olla oikein määritelty HTTPS-yhteyksien palvelun osalta. Näin estetään vanhat protokollahaavoittuvuudet, kuten esimerkiksi BEAST tai POODLE.

Keväällä 2014 julkisuuteen tullut Heartbleed-nimen saanut haavoittuvuus OpenSSL-ohjelmistossa, joka on maailman yleisin HTTPS-ohjelmisto, mahdollisti verkkoliikenteen salakuuntelun ja jopa tietojen aktiivisen hakemisen palvelinten muistista. Korjaus siihen oli päivittää käyttöön korjattu versio OpenSSL:stä.

SSL Labs -testi antaa palvelimelle arvosanan suojauksesta

WP-palvelu.fi:n tulos SSL Labsissa: A+

WP-palvelu.fi:n tulos SSL Labsissa: A+

Qualys-yhtiö ylläpitää erinomaista SSL Labs -verkkopalvelua, jossa voi helposti testata onko jonkin palvelimen HTTPS-määritykset kunnossa. Se antaa sivustolle kouluarvosanan A–F.

Alla on taulukko WP-palvelun testituloksesta sekä muutamista verkkopankeista ja muista palveluista, joissa HTTPS-suojauksen pitäisi olla mahdollisimman vahva.

Verkkosivusto Testitulos
WP-palvelu.fi A+
S-Pankki.fi A+
Nordnet.fi A
Kansalaisten potilastiedot Kanta.fi A
OP.fi A-
Danske Bank A-
Procountor A-
Nordea B
Ilmarinen C

 

Testit suoritettiin 28.6.2016. Klikkaamalla linkkiä kunkin arvosanan kohdalla saat SSL Labsin uusimman testituloksen koskien samaa palvelinta.

HTTPS-suojaus WP-palvelun sivustoilla

WP-palvelun asiakkaiden sivustot saavuttavat automaattisesti A-tuloksen SSL Labsin testissä, eli riittävään suojaukseen ei asiakkaidemme tarvitse tehdä mitään toimenpiteitä. A+ -tulosta varten kuitenkin tarvitaan muutos, jonka seurauksena sivusto toimii vain HTTPS-yhteydellä. Halutessaan asiakas voi lisätä suojausta ja tehdä seuraavan muutoksen:

  • Lisää sivustokohtaiseen /data/wordpress/nginx/custom.conf -tiedostoon rivi add_header Strict-Transport-Security "max-age=63072000;";.
  • Jos käytössä on tuore versio WP-palvelun WordPress-pohjasta, on kyseinen rivi siellä valmiina ja asiakkaan tarvitsee vain poistaa #-kommenttimerkki rivin alusta ja aktivoida muutos ajamalla komento wp-restart-nginx.
  • Lisätietoja löydät Ohjeet-sivulta.

Kommentoi

Otto Kekäläinen

Hae WP-palvelu.fi:stä

Lue myös

Tehokasta sisällöntuotantoa lohkoilla

17.10.2019

WordPress versio 5.0 esitteli uuden Gutenberg -muokkaimen, joka on tuonut mukanaan suuria uudistuksia sivujen ja artikkelien käsittelyyn. Tärkein uusi ominaisuus […]

Lataa kuvat laiskasti

3.10.2019

Lazy loading on tekniikka, jonka avulla on mahdollista nopeuttaa verkkosivun latautumista. Tekniikan ideana on kaikessa yksinkertaisuudessaan, että kuvia jotka eivät […]

WordPress aloittelijalle: 1. Hallinta

26.9.2019

WordPressin hallinta Tervetuloa lukemaan WordPress aloittelijalle -sarjan ensimmäistä osiota. Tässä artikkelissa esittelen WordPressin hallintaan liittyviä asioita aina sivuille kirjautumisesta sisällöntuotantoon […]