Https-salaus ja mitkä ovat http ja https erot

Sekä http että https ovat protokollia, joiden avulla tietoliikenne nettiselaimen ja www-palvelimen välillä toimii. 

HTTP-protokollan lyhenne tulee sanoista (Hypertext Transfer Protocol). HTTPS-protokollan viimeinen kirjain S tarkoittaa SSL/TLS -salausprotokollaa (Hypertext Transfer Protocol Secure).

Salaamattoman yhteyden tunnistaa kun url-osoite alkaa muodossa http: ja salatun yhteyden tunnistaa vastaavasti url-osoitteen alkaessa muodossa https:.

Mitä https-salaus käytännössä tarkoittaa?

Vanha http-protokolla ei salaa sivuston ja sivuston käyttäjän välistä tietoliikennettä millään tavalla. Se kuinka suuri riski tästä aiheutuu käyttäjille riippuu täysin sivuston käyttötarkoituksesta.

Jos kyseessä on verkkokauppa tai jokin muu verkkopalvelu, johon käyttäjät syöttävät henkilötietojaan, käyttäjätunnuksia tai maksukorttinsa tietoja, niin silloin salaamattoman yhteyden mahdolliset riskit ovat periaatteessa suuret. 

Jos sivustolla ei ole https-salausta ja kyseessä on esimerkiksi blogi tai jokin muu sisältösivusto, niin sivustoa voi silti selailla turvallisin mielin. 

https-salaus

Https-salaus ilmenee url-osoiteen alusta ja lukkosymboolista, joka voi olla selaimesta riippuen harmaa tai vihreä.

Https-protokolla sen sijaan salaa kaiken käyttäjän ja sivuston välisen tietoliikenteen. Käytännön tasolla https-salaus tuo sivuston käyttäjille turvaa aina kun käyttäjä on jollain tavalla vuorovaikutuksessa sivuston kanssa. Vuorovaikutus voi olla esimerkiksi yhteydenottolomakkeen lähettäminen, sivustolle kirjautuminen tai verkkokauppaostos.

SSL-sertifikaatti

Https-salausta varten verkkosivustolle on hankittava SSL-sertifikaatti. SSL-sertifikaatteja on saatavilla useilta eri toimijoilta ja sertifikaattien hinnat vaihtelevat täysin ilmaisesta noin muutamaan sataseen vuodessa. Ilmainen sertifikaatti salaa liikenteen aivan yhtä hyvin kuin maksullinenkin sertifikaatti.

Suurimpana erona ilmaisten ja maksullisten sertifikaattien välillä on sertifikaatin voimassaoloaika, joka on suosituimmilla ilmaisilla sertifikaateilla 90 päivää, kun taas maksullisilla sertifikaateilla voimassaoloaika on tyypillisesti yksi vuosi.

Tunnetuin ilmainen SSL-sertifikaatti on Let's Encrypt, jonka voimassaoloaika on juurikin 90 päivää. Sertifikaatti pitää siis käydä uusimassa aina kolmen kuukauden välein paitsi siinä tapauksessa, että webhotelli palveluntarjoajasi tekee tämän automaattisesti.

Esimerkiksi Zoner tarjoaa webhotelleihinsa ilmaisen Let's Encrypt SSL-sertifikaatin ja hoitaa samalla automaattisesti sertifikaatin uusimisen.

Miksi verkkosivustolla kannattaa käyttää SSL-sertifikaattia?

Kaikilla verkkosivustoilla kannattaa nykyään käyttää SSL-sertifikaattia sillä sertifikaatti tekee sivustosta turvallisemman, luotettavamman ja voi parantaa sivuston hakukonenäkyvyyttä. Lisäksi kun sertifikaatti on mahdollista saada täysin ilmaiseksi, niin ei ole mitään syytä olla käyttämättä sitä. 

  • Sertifikaatti salaa liikenteen ja tekee sivustosta turvallisemman käyttää
  • Voimassa oleva sertifikaatti lisää lukon kuvan url-osoitteen eteen ja tekee sivustosta käyttäjien silmissä luotettavamman ja uskottavamman 
  • SSL-salaus vaikuttaa sivuston hakukonenäkyvyyteen