Let’s Encrypt on riittävä

Kirjoitettu: 20.8.2019 Päivitetty: 16.8.2019

Meiltä kysellään usein ilmaisesta Let’s Encrypt -varmenteesta, joka sisältyy kaikkiin palvelupaketteihimme. Monia mietityttää voiko ilmainen varmenne varmasti tarjota tarpeeksi kattavan suojan ja soveltuuko se oikeasti kaikenkokoisten sivustojen ja yritysten tarpeisiin.

Tässä artikkelissa perehdymme aiheeseen mitä Let’s Encrypt varsinaisesti on, sekä miksi kallista varmennetta ei oikeasti tarvita turvallisuuden takaamiseksi.

Mikä ihmeen Let’s Encrypt?

Perehtyäksemme kunnolla Let’s Encryptiin, aloitetaan ryhmästä varmenteen takana, eli Internet Security Research Groupista. ISRG on organisaatio, joka perustettiin hallinnoimaan yleishyödyllisiä digitaalisen infrastruktuurin projekteja. Ryhmän perustajiin ja rahoittajiin kuuluu useita IT-alan isoimpia nimiä, kuten Mozilla, EFF, Cisco, Akamai, Google, Facebook ja RedHat. Ryhmän ensimmäinen projekti oli Let’s Encrypt Certificate Authority, joka tarjoaa nykyisin varmenteita yli 125 miljoonalle sivustolle kaikkialla maailmassa.

Selkeimmän kuvan Let’s Encryptin vaikutuksesta saamme tilastojen avulla. Vuonna 2013, eli ennen Let’s Encryptiä, noin 26% Firefoxilla ladatuista verkkosivuista käytti TLS -varmennetta. Tänä vuonna HTTPS:n yli ladattujen sivujen määrä on kasvanut noin 78 prosenttiin. Paljon puhuva fakta on myös se, että Let’s Encrypt myöntää tätänykyä yli miljoona varmennetta päivittäin.

Kuinka Let’s Encrypt toimii?

Let’s Encrypt käyttää Domain Validation -vahvistusta, eli verkkotunnuksiin perustuvaa vahvistusta, varmistaakseen varmennetta pyytävän palvelimen varmasti hallinoivan sitä verkkotunnusta, jolle varmennetta haetaan.

Domain Validation, tai lyhyemmin DV, on verkkotunnuksiin perustuva, helposti automatisoitava prosessi ja täten myös erittäin kustannustehokas palvelujen ylläpitäjille hallinnoida. Saadaksemme tolkkua tästä kaikesta, katsotaanpa kuinka DV -prosessi varsinaisesti toimii:

  1. Palvelimella oleva ohjelma pyytää varmennetta niitä myöntävältä taholta. Tässä tapauksessa pyyntö lähetetään Let’s Encrypt Certificate Authoritylle (CA).
  2. CA käyttää julkisen avaimen salaukseen perustuvaa avainparia yksilöidäkseen pyynnön tehneen palvelimen ja tarkistaa, että pyynnön lähettänyt palvelin varmasti hallinnoi verkkotunnusta, jolle varmenne halutaan.
  3. Palvelin vahvistaa hallinnoivansa verkkotunnusta erilaisia koneellisia keinoja käyttäen.
  4. Lopuksi CA kirjaa ylös varmennuksen ja liittää sen palvelimen julkiseen avaimeen tulevia pyyntöjä varten.

Varmennetun avainparin luomisen jälkeen uuden varmenteen, tai varmenteen uusimis- tai peruutuspyynnön lähettäminen on yksinkertaista. Palvelin voi lähettää pyynnön Certificate Authoritylle oman varmennetun avaimensa kanssa. CA tarkistaa avaimen ja myöntää varmenteen, mikäli avainpari on hyväksytty.

Uusimiset ja peruutukset tapahtuvat samanlaisen menettelyn kautta. Palvelin pyytää varmenteen uusimista tai peruutusta avaimensa kanssa. CA varmistaa avainparin ja vastaa pyyntöön.

Mikäli haluat syvällisemmän katsauksen prosessiin, vilkaise myös Let’s Encryptin dokumentaatiota aiheesta.

Koska tämä kaikki voidaan tehdä ilman käyttäjän toimia, koko prosessi voidaan hoitaa täysin automaattisesti. Tämä säästää meiltä varmenteiden käsittelyyn liittyvän työn ja kustannukset, jonka vuoksi voimme tarjota Let’s Encrypt -varmenteen ja sen hallinnoinnin ilman lisäkustannuksia asiakkaillemme.

EV, OV, DV – miten eri varmenteet eroavat toisistaan?

Domain Validation (DV) -varmenne ei ole ainoa tarjolla oleva vaihtoehto verkkosivujen suojaukseen. On myös Organization Validation (OV) – ja Extended Validation (EV) -varmenteita. Kaikki kolme varmennetta käyttävät kuitenkin varsinaisen salauksen suorittamiseen täsmälleen samaa salaustekniikkaa ja samoja salausalgoritmeja. Varsinaiset erot eri varmenteiden välillä ovat omistajuuden varmistamisessa, sekä sertifikaattien myöntämisprosesseissa.

Siinä missä verkkotunnuksiin perustuva DV -prosessi voidaan täysin automatisoida ja suorittaa kokonaan ilman käyttäjän toimia, on tilanne täysin toinen EV- ja OV-varmenteiden kanssa. Molemmat näistä vaativat lisävarmennuksia sivuston omistajuuden todentamiseen. Yleensä nämä lisävarmenteet ovat henkilö- ja yritystietoja varmennetta pyytävältä taholta, joita toimitetaan skannattuina tai paperisina dokumentteina.

Näitä lisävarmennuksia käytetään usein myyntiargumentteina OV- ja EV-varmenteiden puolesta. Useamman työvaiheen sisältävä prosessi voi vaikuttaa tuovan lisäturvaa varmenteelle, mutta tälle väittämälle ei löydy paljoakaan tukea myyntiesitteiden ulkopuolelta.

Tutkitaanpa hieman kuinka tämä lisäturva oletettavasti toimisi. Varsinaisen varmennusprosessin erilaisuuden lisäksi suurin ero DV- ja EV-varmenteissa on EV-varmenteen lisäämä vihreä palkki selaimeen. EV-varmennetta käyttävällä sivustolla vierailijoille näkyy osoitepalkissa vihreä lisäpalkki, jossa lukee sivuston omistavan yrityksen tai tahon nimi ja muita tietoja. Tästä tulee nimitys: ”Extended Validation”. OV- ja DV-varmenteet näkyvät käyttäjälle pelkkänä lukon kuvakkeena osoitepalkissa.

Esimerkki EV -sertifikaatin lisäämästä vihreästä palkista.

Ajatus tämän lisäpalkin taustalla on, että käyttäjä pystyy sen avulla varmentamaan sivuston kuuluvan oikealle yritykselle. Tällä on tarkoitus estää käyttäjää vahingossa joutumasta huijaussivustoille, jotka voisivat esimerkiksi varastaa käyttäjän tietoja. Teoriassa tämä kuulostaa aivan järkeenkäyvältä, mutta todellisuudessa asia ei ole näin yksinkertainen. Tämänkaltainen suojaus siirtää vastuun varmennuksesta käyttäjän harteille, järjestelmän sijaan.

Toinen ongelma on selainten jatkuvasti muuttuvat käytänteet varmenteiden näyttämisessä käyttäjille. Tutuksi tullut lukkokuvake on jo matkalla unholaan, jonka lisäksi on myös ollut puhetta EV-varmenteisiin liittyvän lisäpalkin poistamisesta selaimista kokonaan. Tämä muutos tekisi EV- ja DV-varmenteista identtiset loppukäyttäjän näkökulmasta katsoen.

Viimeinen merkittävä ero Let’s Encryptin tarjoaman DV-varmenteen ja tyypillisen EV-varmenteen välillä on erääntymisaika. Kaikki Let’s Encryptin myöntämät varmenteet ovat voimassa 90 päivää kerrallaan, kun EV-varmenteet puolestaan myönnetään yleensä huomattavasti pidemmälle ajanjaksolle, jopa kahdeksi vuodeksi kerrallaan.

Ottaen huomioon pitkän ja työlään prosessin EV-varmenteen hankkimisen takana, tämä pitkä aika uusimisten välillä voi ensi ajattelemalla tuntua hyvältä asialta. Tässäkään asiassa käytäntö ei kuitenkaan ole aivan niin suoraviivainen. Koska uusiminen on hankala prosessi ja uusimisvälit harvassa, saattaa varmenne huomaamatta vanhentua.

Tämä tarkoittaa että sivustosi saattaa näyttää kävijöille tältä, sillä välin kun pitkä uusimisprosessi on saatu valmiiksi:

Näky jota kukaan tuskin haluaa sivustonsa vierailijoiden näkevän

Let’s Encryptin mahdollisuus uusia varmenteet automaattisesti helpottaa näiden tilanteiden välttämistä. Lyhyemmät uusimisvälit ovat hyväksi myös tapauksissa, joissa varmennusavain päätyy vääriin käsiin. Tämä on erityisen tärkeä asia, sillä varmennusten peruutuksiin ei tällä hetkellä voi myöskään sokeasti luottaa.

On hyvä myös huomioida, ettei yksikään tämän hetken isoimmista sivustoista, kuten Google, YouTube, Facebook tai Amazon käytä EV -varmennetta, sillä se ei tarjoa mitään konkreettista lisäturvaa. Jos mietit tulisiko sinun käyttää EV-varmennetta yrityksesi sivustolla Let’s Encryptin DV-varmenteen sijaan, niin todennäköisesti se ei ole kustannusten ja vaivan arvoista.

Miksi käyttää Seravon tarjoamaa Let’s Encrypt -varmennetta?

Yksinkertaisin vastaus otsikon kysymykseen on, että se säästää sinulta kaiken päänvaivan varmenteen hankkimisesta, oikein asentamisesta ja uusimisten ajallaan hoitamisesta, ilman lisäkuluja.

Kaikkiin WP-Palvelun paketteihin kuuluu esiasennettu Let’s Encrypt -varmenne, jonka hankkimis- ja uusimisprosessi on automatisoitu. Näin sinun ei tarvitse kantaa huolta sivustosi varmenteiden vanhenemisesta.

Emme suosittele muista lähteistä hankittujen varmenteiden käyttämistä. Mikäli kuitenkin haluat sellaisen, tai yrityksenne käytännöt velvoittavat tiettyjen varmenteiden käyttöön, tarjoamme mahdollisuuden myös niiden käyttämiseen. Lisätietoa löydät hinnastostamme.

Me myös seuraamme jatkuvasti uusimpia teknologioita pitääksemme huolen siitä, että asiakkaamme voivat nukkua huoletta, tietäen sivustojensa pyörivän turvallisesti. Tällä hetkellä työn alla on Let’s Encryptin wildcard -varmenteiden tuen tuominen asiakkaillemme.

Let’s Encrypt ei ole pelkästään riittävä. Automaattiset asennukset, kuluttomuus ja vahva tuki alan huipulta tekevät siitä helpon ja luotettavan valinnan sivustolle kuin sivustolle, koosta riippumatta. WP-palvelun asiakkaana saat sen käyttöösi ilman kuluja ja vaivannäköä kaikille sivustoillesi!

Kommentoi

Mikko Vierma

Hae WP-palvelu.fi:stä

Lue myös

Singaporen klusteri avattu

19.9.2019

Tarjolla on hyviä uutisia Aasiassa liiketoimintaa harjoittaville nykyisille ja uusille asiakkaillemme – tästä eteenpäin Seravo tarjoaa mahdollisuuden sivuston palvelintilan sijoittamiseen […]

Välimuisteilla löysät pois sivulatauksista

13.9.2019

Välimuisti eli cache on erittäin hyödyllinen ja yleinen tekniikka, jolla voidaan saavuttaa jopa kymmenkertainen nopeus verrattuna välimuistittamattomaan pyyntöön. Välimuistin idea […]

Miksi osallistua WP-koulutukseen?

6.9.2019

Markkinointipäällikkö, viestinnän ammattilainen, kehittäjä, yrittäjä tai muu alan ammattilainen – koulutuksemme tarjoavat jokaiselle jotakin, sillä milloinkaan ei ole liian myöhäistä […]