Pelkkä HTTPS-varmenne ei riitä – se pitää myös olla oikein asennettu

Kirjoitettu: 11.7.2016 Päivitetty: 28.8.2018

HTTPS-varmenteen käyttö käyttäjätunnusten ja salasanojen suojaamiseksi on ollut WP-palvelun asiakkaiden sivustojen vakio-ominaisuus alusta alkaen. Tänä keväänä olemme ryhtyneet tarjoamaan jokaiselle asiakkaan verkkotunnukselle omaa HTTPS-varmennetta ilmaiseksi, jotta kaikki HTTP-liikenne voidaan suojata. Se parantaa tiedon luottamuksellisuutta, aitouden varmistamista, yksityisyyttä ja yllättäen myös nopeuttaa sivustojen latautumista, koska uusi nopeampi HTTP/2-protokolla toimii vain HTTPS-yhteyden yli. Toivomme että HTTPS yleistyy myös muilla palveluntarjoajilla.

HTTPS-varmenteen käyttöönotto ei kuitenkaan vielä riitä parhaan tietoturvan varmistamiseksi. On myös pidettävä huolta, että varmenne on asennettu oikein.

WP-palvelussa HTTPS-varmenteeseen liittyvät perusasetukset hoidetaan asiakkaan puolesta.

Oikeat asetukset estävät vanhat haavoittuvuudet

HTTPS-varmenteen toimivuuden takaamiseksi sillä tulee ensinnäkin olla riittävän vahva salausavain. Tämän lisäksi on tärkeää, että varmenne on asennettu oikeilla asetuksilla eli www-palvelin pitää olla oikein määritelty HTTPS-yhteyksien palvelun osalta. Näin estetään vanhat protokollahaavoittuvuudet, kuten esimerkiksi BEAST tai POODLE.

Keväällä 2014 julkisuuteen tullut Heartbleed-nimen saanut haavoittuvuus OpenSSL-ohjelmistossa, joka on maailman yleisin HTTPS-ohjelmisto, mahdollisti verkkoliikenteen salakuuntelun ja jopa tietojen aktiivisen hakemisen palvelinten muistista. Korjaus siihen oli päivittää käyttöön korjattu versio OpenSSL:stä.

SSL Labs -testi antaa palvelimelle arvosanan suojauksesta

WP-palvelu.fi:n tulos SSL Labsissa: A+

WP-palvelu.fi:n tulos SSL Labsissa: A+

Qualys-yhtiö ylläpitää erinomaista SSL Labs -verkkopalvelua, jossa voi helposti testata onko jonkin palvelimen HTTPS-määritykset kunnossa. Se antaa sivustolle kouluarvosanan A–F.

Alla on taulukko WP-palvelun testituloksesta sekä muutamista verkkopankeista ja muista palveluista, joissa HTTPS-suojauksen pitäisi olla mahdollisimman vahva.

Verkkosivusto Testitulos
WP-palvelu.fi A+
S-Pankki.fi A+
Nordnet.fi A
Kansalaisten potilastiedot Kanta.fi A
OP.fi A-
Danske Bank A-
Procountor A-
Nordea B
Ilmarinen C

 

Testit suoritettiin 28.6.2016. Klikkaamalla linkkiä kunkin arvosanan kohdalla saat SSL Labsin uusimman testituloksen koskien samaa palvelinta.

HTTPS-suojaus WP-palvelun sivustoilla

WP-palvelun asiakkaiden sivustot saavuttavat automaattisesti A-tuloksen SSL Labsin testissä, eli riittävään suojaukseen ei asiakkaidemme tarvitse tehdä mitään toimenpiteitä. A+ -tulosta varten kuitenkin tarvitaan muutos, jonka seurauksena sivusto toimii vain HTTPS-yhteydellä. Halutessaan asiakas voi lisätä suojausta ja tehdä seuraavan muutoksen:

  • Lisää sivustokohtaiseen /data/wordpress/nginx/custom.conf -tiedostoon rivi add_header Strict-Transport-Security "max-age=63072000;";.
  • Jos käytössä on tuore versio WP-palvelun WordPress-pohjasta, on kyseinen rivi siellä valmiina ja asiakkaan tarvitsee vain poistaa #-kommenttimerkki rivin alusta ja aktivoida muutos ajamalla komento wp-restart-nginx.
  • Lisätietoja löydät Ohjeet-sivulta.

Kommentoi

Otto Kekäläinen

Hae WP-palvelu.fi:stä

Kategoriat

Lue myös

Työntekijöille ilmaiset kasvomaskit ja käsineet

11.9.2020

Seravo jakaa ilmaiseksi henkilökunnalleen kahta asiaa tartuntariskin vähentämiseksi. Tiedätkö mistä muusta on hyötyä kasvomaskin lisäksi?

WooCommerce 4.5 on julkaistu

9.9.2020

Syyskuun 9. päivä julkaistiin WooCommercen versio 4.5. Kyseessä on minor-versio joka on täysin yhteensopiva aiemman 4.4 version kanssa. Uudessa versiossa […]

Koronavilkku.fi Suomen suosituin sivusto 31.8.2020?

4.9.2020

Tekikö koronavilkku.fi Suomen nettihistorian ennätyksen 31.8.2020 kun 935 000 vierailijaa kävi vuorokaudessa?