Veebimajutuses on HTTPS nüüd tasuta. Mis see on ja kas su kodulehel on seda vaja?

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.
marko.jpg

Kindlasti oled märganud, et osade veebilehtede aadressid brauseriribal on algusega HTTPS. Mida see täiendav S seal tähendab ja kuidas see üldse turvalisust mõjutab? Kas ma võin oma salasõna sisestada ka lihtsalt HTTP-ga algaval veebilehel või on see ebaturvaline?

Veebimajutuse arendusjuht Marko Toom selgitab, miks on HTTPS nii oluline ja kuidas saaks sellega ka oma veebi turvalisemaks teha.

Mis on HTTPS ja miks see on turvalisuse seisukohalt nii tähtis?

HTTPS ehk krüpteeritud ühendusega ligipääs veebile on tegelikult ülioluline. Ilma krüpteerimata lehel andmete sisestamine on sama ebaturvaline, nagu kontori ukse lukustamata jätmine või PIN-koodi kirjutamine pangakaardile. Kogu info, mis internetis liigub ilma HTTPS (SSL) protokollita, on sisuliselt avalik. Eriti veel, kui juhtud kasutama avalikku, jagatud või WiFi-võrguühendust.

Kuidas ära tunda, kas veebileht on HTTPS-iga või mitte?

Kodulehe külastaja peaks jälgima tabaluku märki veebilehitseja aadressirea ees:

Samuti peaks jälgima seda, et veebilehe aadress algaks kujul https://. Krüpteerimata lehe külastamisel peaks olema teadlik võimalikest riskidest. Üks võimalus neid riske külastaja enda poolt hajutada on võtta kasutusele VPN – näiteks Chrome´i lehitsejale saab paigaldadaZenMate VPNplugin´i, mille sisselülitamisel kogu veebiliiklus krüpteeritakse.

Millised oleksid hoiatavad näited, millised aga positiivsed näited turvalisusest?

Mis siis ikkagi juhtub, kui soovid näiteks müüa oma korterit tuntud kinnisvaraportaali lehel, mis ei kasuta HTTPS-ühendust?

Lekkida võivad nii kasutajanimi ja salasõna kui ka kogu muu tundlik info, sest see on võrgus pealt kuulatav. Seega tuleb alati jälgida, milliseid kodulehti külastada ja milliseid andmeid neile jagada, eriti sellistes veebides, mis ei kasuta HTTPS-ühendust.

Võtame mõned lihtsad näited (vt märkust artikli lõpust). Saadad näiteks hinnapäringu maja katuse remondiksRuukkivõiToodekodulehtede kaudu ja kuna HTTPS ei ole seal kasutusel, võivad lekkida ka sisestatud isikuandmed ning kodune aadress. Häkkeril on siit järeldada nii mõndagi: suure tõenäosusega leidub uue katuse otsijal parasjagu piisavalt vabu vahendeid suuremaks remondiks ja juba oledki muutunud huvitavaks sihtmärgiks, keda võiks juba täpsemini rünnata.

Või kui küsid perefoorumist nõu mõnel tundlikul teemal, mida ei tahaks enda nime all avalikustada – näiteks peresuhete kohtaPerekeskus Sina ja Mina kodulehel ja juba lekibki tundlik info, mida on võimalik hiljem kasutada mõjutamiseks või väljapressimiseks.

Võid küll mõelda, et kasutad postitamisel anonüümset pseudonüümi ning seda infot ei saa sinuga kuidagi kokku viia, aga kui oled oma isiklikku infot ka mujale sisestanud (näiteks sellelsamal katuse tellimise lehel, millest eespool rääkisime), siis on häkkeri jaoks asi selge, millega veel võiks kasutajat hirmutada.

Sama kehtib paraku ka paljude tutvumisportaalide ja muude turvamata foorumite kohta – enamik neist ei kasuta veel HTTPS ühendust. Vaata näiteks https://rate.ee, https://date.delfi.ee/ja nii edasi, seal ei ole HTTPS korralikult kasutusele võetud.

Tasakaaluks tasub tuua ka häid näiteid lehtedest, mis kasutavad HTTPS (SSL-protokolliga) ühendust ning mille külastajad ei pea andmete lekkimise pärast muretsema: näiteksKliinik.ee,Facebook,Swedbank.

Milline on üldse olukord maailmas, kas HTTPS on populaarne või pigem haruldane?

Enamik lehti maailmas siiski ei ole veel HTTPS-i kasutusele võtnud (seda mainivad kaWiredjaGoogle) ning põhjus on lihtne. See on maksnud siiani iga aastast SSL-sertifikaadi väljastamise tasu ja lisaks on tavasertifikaadi väljastamine olnud üsna keeruline protsess. Need mõlemad punktid on muutunud uue Let’s Encrypt teenuse tulekuga – sertifikaati on võimalik nüüd väljastada tasuta ning väga lihtsalt. Lisaks on paljud majutusfirmad võimaldanud SSL-i kasutada ainultoma kallimates pakettides, Veebimajutuses on see aga juba põhipaketis.

Viimase poole aasta jooksul on väljastatud juba umbesseitse miljonit tasuta SSL-sertifikaati, seega olukord on väga kiiresti muutumas paremuse poole.

Kas kõik lehed võiks kasutada HTTPS’i? Ka sellised, kus jagatakse lihtsalt infot ja külastajalt mingeid andmeid ei küsita?

Näiteks http://www.seb.ee/ avalik koduleht SSL sertifikaati ei kasuta, kuid internetipankhttps://www.seb.ee/ip/ipankkasutab. Sarnaselt kasutavad turvalist ühendust ka Eesti suuremad kinnisvara- ja automüügiportaalid auto24.ee ja city24.ee.

Kindlasti tuleks tänapäeval kasutada igal pool turvalist HTTPS-ühendust – seda mitmel põhjusel.

Esmalt on võimalik turvamata veebiühendusega pahalastel jälgida, milliseid lehekülgi külastatakse ning koguda kasutaja profiili kohta üsna tundlikke andmeid (et siis näiteks jõukamatele inimestele täpsemalt suunatud ründeid planeerida).

Teiseks on pahalastel võimalik kaaperdada krüpteerimata lehekülgi, muutes koodi ja asendades näiteks internetipanka sisenemise viite, mis võib suunata hoopis mõnele enda loodud lehele, kus näiteks paroole koguda.

Kolmandaks: kuna näiteksSEB krüpteerimata infolehel asuvad ka sisselogimise ning otsingu vormid, siis on võimalik tuvastada sealt nii sisestatud kasutajanimesid kui ka otsitud märksõnu – esmapilgul ei tundu see võibolla suur turvarisk, kuid võib mõnel juhul anda pahalasele olulist infot täpsema ründe ettevalmistamiseks.

Lisaks turvalisusele on loomulikult ka teisi aspekte, millest kõige olulisemad on otsingumootoris leitavusning maineküsimus. Google on avaldanud, et kuvab enda otsingumootori tulemustes turvalised lehed eespool kui mitteturvalised. Kui veebileht on paremini leitav, saab see ka rohkem külastusi ning eeldatavasti läbi selle edeneb ka ettevõtte äri paremini. Ettevõtte mainet puudutab peamiselt järgmisel aastal Google Chrome veebilehitsejasse lisatav täiendus, mis hakkab kasutajatele visuaalseltkuvama hoiatust et HTTP lehed on ebaturvalised – seda saab vältida HTTPS-ile üle minnes.

Mida saaks kiiresti ise ära teha, et kodulehe külastamine oleks turvalisem?

Vastus sellele küsimusele on lihtne: kodulehe omanikul tuleks kohe hakata hoolitsema oma veebikülastajate turvalisuse eest ning hakata neile pakkuma turvalist HTTPS (SSL)protokolligaveebiühendust, mis pole pealt kuulatav. See on kasulik nii sinu enda ärile kui ka üldse kogu interneti paremale turvalisusele, sest iga kaitstud leht teeb ju maailma natukene paremaks.

Veebimajutus.ee teenuste hulgas on HTTPS nüüd tasuta olemas. Kuidas selle paigaldamine käib?

Veebimajutus.eepakub tasutaLet’s Encrypt´i SSL turvasertifikaate ning HTTPS sisaldub ilma lisatasuta juba standardpaketis. Iseteeninduses on olemas mugav tööriist kodulehe suunamiseks turvalise HTTPS-protokolli peale. Muud teha polegi vaja – kõik kasutajad, kes tulevad ka http:// kujul algavale kodulehele, suunatakse edasi turvalise https:// kujul aadressi peale.

Täpsemalt käib see nii:

  • Sisene iseteenindusse ning telli Let’s Encrypt´i sertifikaat – see väljastatakse ja paigaldatakse automaatselt serverisseca10 minuti jooksul.
  • Veendu, et tarkvara töötab – mõningate tarkvarade puhul tuleks kindlasti kasutadaveebiarendajaabi, kes aitab HTTPS-ühenduse keerukamal kodulehel seadistada. Oluline on kontrollida, et nii pildid, skriptid kui ka viited kasutaksid kõik HTTPS-ühendust.
  • Kui oled testinud, et kodulehekülg toimib HTTPS-protokollil kenasti, siis muuda turvaline HTTPS-ühendus ka lehe külastajate jaoks vaikimisi sätteks, sest muidu jäävad kasutajad endiselt kodulehte üle HTTP külastama. Kodulehe suunamise HTTPS-i peale saab mugava tööriista abil seadistada meie iseteeninduses (jaotus “Domeeni suunamine”) või .htaccessi abil.

Tasuta Let’s Encrypt´ile lisaks on endiselt olemas ka tasuline HTTPS. Miks see parem on?

Väikese aastatasuga HTTPS on neile, kes soovivad kangemat sertifikaati kui Let’s Encrypt, see sisaldab lisaks turvalisusele ka lehe omaniku tuvastust, saad selle tellida siit. See annab külastajale veelgi selgema garantii, et kodulehele oma andmeid jätta on turvaline.

Lisalugemist:

Loe lähemalt, mis on Let’s Encrypt.

SELGITUS: kõik ülaltoodud kodulehtede aadressid on valitud juhusliku valimi järgi, sisestades Google’isse märksõna ning jälgides esimesi otsingutulemusi. Autor ei väida, et antud kodulehed oleksid automaatselt ebaturvalised või ohtlikud, vaid toob välja, et küberturvalisust on seal mõistlik veelgi tõsta. Autor on saatnud nende kodulehtede üldisele kontaktile käesoleva artikli. Kõiki lehekülgi on külastatud 13.10.2016.

Algne artikkel avaldati Veebimajutuse blogis.

Märksõnad: ,

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Sisuturundus

Populaarsed lood mujal Geeniuses

Igal argipäeval

Ära jää ilma päeva põnevamatest lugudest

Saadame sulle igal argipäeval ülevaate tehnoloogia-, auto-, raha- ja meelelahutusportaali olulisematest lugudest.