Pelkkä HTTPS-varmenne ei riitä – se pitää myös olla oikein asennettu

Kirjoitettu: 11.7.2016 Päivitetty: 28.8.2018

HTTPS-varmenteen käyttö käyttäjätunnusten ja salasanojen suojaamiseksi on ollut WP-palvelun asiakkaiden sivustojen vakio-ominaisuus alusta alkaen. Tänä keväänä olemme ryhtyneet tarjoamaan jokaiselle asiakkaan verkkotunnukselle omaa HTTPS-varmennetta ilmaiseksi, jotta kaikki HTTP-liikenne voidaan suojata. Se parantaa tiedon luottamuksellisuutta, aitouden varmistamista, yksityisyyttä ja yllättäen myös nopeuttaa sivustojen latautumista, koska uusi nopeampi HTTP/2-protokolla toimii vain HTTPS-yhteyden yli. Toivomme että HTTPS yleistyy myös muilla palveluntarjoajilla.

HTTPS-varmenteen käyttöönotto ei kuitenkaan vielä riitä parhaan tietoturvan varmistamiseksi. On myös pidettävä huolta, että varmenne on asennettu oikein.

WP-palvelussa HTTPS-varmenteeseen liittyvät perusasetukset hoidetaan asiakkaan puolesta.

Oikeat asetukset estävät vanhat haavoittuvuudet

HTTPS-varmenteen toimivuuden takaamiseksi sillä tulee ensinnäkin olla riittävän vahva salausavain. Tämän lisäksi on tärkeää, että varmenne on asennettu oikeilla asetuksilla eli www-palvelin pitää olla oikein määritelty HTTPS-yhteyksien palvelun osalta. Näin estetään vanhat protokollahaavoittuvuudet, kuten esimerkiksi BEAST tai POODLE.

Keväällä 2014 julkisuuteen tullut Heartbleed-nimen saanut haavoittuvuus OpenSSL-ohjelmistossa, joka on maailman yleisin HTTPS-ohjelmisto, mahdollisti verkkoliikenteen salakuuntelun ja jopa tietojen aktiivisen hakemisen palvelinten muistista. Korjaus siihen oli päivittää käyttöön korjattu versio OpenSSL:stä.

SSL Labs -testi antaa palvelimelle arvosanan suojauksesta

WP-palvelu.fi:n tulos SSL Labsissa: A+

WP-palvelu.fi:n tulos SSL Labsissa: A+

Qualys-yhtiö ylläpitää erinomaista SSL Labs -verkkopalvelua, jossa voi helposti testata onko jonkin palvelimen HTTPS-määritykset kunnossa. Se antaa sivustolle kouluarvosanan A–F.

Alla on taulukko WP-palvelun testituloksesta sekä muutamista verkkopankeista ja muista palveluista, joissa HTTPS-suojauksen pitäisi olla mahdollisimman vahva.

Verkkosivusto Testitulos
WP-palvelu.fi A+
S-Pankki.fi A+
Nordnet.fi A
Kansalaisten potilastiedot Kanta.fi A
OP.fi A-
Danske Bank A-
Procountor A-
Nordea B
Ilmarinen C

 

Testit suoritettiin 28.6.2016. Klikkaamalla linkkiä kunkin arvosanan kohdalla saat SSL Labsin uusimman testituloksen koskien samaa palvelinta.

HTTPS-suojaus WP-palvelun sivustoilla

WP-palvelun asiakkaiden sivustot saavuttavat automaattisesti A-tuloksen SSL Labsin testissä, eli riittävään suojaukseen ei asiakkaidemme tarvitse tehdä mitään toimenpiteitä. A+ -tulosta varten kuitenkin tarvitaan muutos, jonka seurauksena sivusto toimii vain HTTPS-yhteydellä. Halutessaan asiakas voi lisätä suojausta ja tehdä seuraavan muutoksen:

  • Lisää sivustokohtaiseen /data/wordpress/nginx/custom.conf -tiedostoon rivi add_header Strict-Transport-Security "max-age=63072000;";.
  • Jos käytössä on tuore versio WP-palvelun WordPress-pohjasta, on kyseinen rivi siellä valmiina ja asiakkaan tarvitsee vain poistaa #-kommenttimerkki rivin alusta ja aktivoida muutos ajamalla komento wp-restart-nginx.
  • Lisätietoja löydät Ohjeet-sivulta.

Kommentoi

Otto Kekäläinen

Hae WP-palvelu.fi:stä

Kategoriat

Lue myös

WordPress 5.0 ilmestyy itsenäisyyspäivänä

4.12.2018

Kun alunperin marraskuun lopulle kaavailtu WordPress 5.0 viivästyi, useammassa kuin yhdessä WordPressin parissa työskentelevässä yrityksessä eläteltiin toiveita, että julkaisu siirtyisi […]

Suuria PHP-muutoksia odotettavissa joulukuussa

23.11.2018

PHP:n tulevan 7.3-version on määrä ilmestyä joulukuussa. Aiemmin tällä viikolla ilmestyi viimeisin ennakkoversio 7.3.0RC6,  jonka oletetaan myös olevan viimeinen ennen […]

Miksi kannattaa valita WooCommerce

14.11.2018

WooCommerce on maailman suosituin verkkokauppa-lisäosa WordPressille. Se on käytössä yli neljällä miljoonalla sivustolla, se on helppokäyttöinen, suoraan WordPressin kanssa yhteensopiva […]