Markkinoiden suosituin selain Google Chrome varoittaa turvattomista yhteyksistä vuoden 2017 alusta lähtien

Tietoturva Käyttökokemus Digipalvelut 29.11.2016 – Olli Maksimainen
Tammikuussa julkaistava Chrome 56 ilmoittaa näkyvästi URL-osoiterivillä "Not secure", mikäli sivulla kysytään salasanaa tai maksukorttitietoja ja yhteyttä ei ole salattu.

Google Chrome -selaimen suhtautuminen salaamattomiin http-yhteyksiin muuttuu merkittävästi vuodenvaihteessa. Muutoksella on iso merkitys verkkopalveluiden ylläpitäjille, sillä Chrome on markkinoiden eniten käytetty selain lähes 50 prosentin markkinaosuudella.

chrome-non-secure-notification.png

 

Verkkopalvelun ylläpitäjillä on vuodenvaihteeseen asti aikaa varmistaa, että palvelu tukee salattuja https-yhteyksiä. Muussa tapauksessa loppukäyttäjän luottamus verkkopalveluun joutuu koetukselle, kun selain ilmoittaa palvelun turvattomuudesta. Google on myös ilmoittanut, että ensi vuoden aikana vielä julkaisemattomana ajankohtana, Chrome tulee ilmoittamaan kaikista salaamattomista sivustoista — ei pelkästään salasanaa tai maksukorttitietoja vaativista sivustoista.

Ylläpidän verkkopalvelua — mitä minun pitää tehdä?

Tärkeintä on, että tarkistat verkkopalvelusi tuen https-yhteyksille. Yksinkertaisimmillaan tämä tapahtuu siten, että avaat palvelun selaimeen ja tarkistat osoiteriviltä näkyykö siellä lukkoikoni tai https-protokolla. Jos palvelu tukee https-yhteyksiä, samalla on hyvä tarkistaa, että SSL-sertifikaatti on tietoturvaltaan ajantasalla. Tähän paras ja helppokäyttöisin työkalu on Qualysin SSL-testityökalu, joka kertoo A-F-kouluarvosanoilla palvelun yhteyden tietoturvan laadun (esimerkki: www.crasman.fi). Alle A-luokan arvosanaan ei kannata olla tyytyväinen.

Jos verkkopalvelu ei tue https-yhteyksiä, asia on korjattavissa. Palvelulle tulee hankkia SSL-sertifikaatti, joka mahdollistaa salatut yhteydet ilman, että selain varoittelee käyttäjää sivuston luotettavuudesta. Useimpien palveluiden kohdalla salattujen yhteyksien käyttöönotto vaatii vain vähän muutoksia verkkopalvelun koodiin. Mikäli verkkopalvelun sivuille ladataan sisältöjä useasta kolmannen osapuolen järjestelmästä, ongelmien välttämiseksi myös niiden on tuettava https-yhteyksiä.

HTTPS? SSL? Tarvitsetko apua? Jätä yhteydenottopyyntö!

Lisätietoja:

- Parempaa hakukonenäkyvyyttä ja tietoturvaa HTTPS-yhteyksillä

- Google: Moving towards more secure web

Kirjoittaja: Olli Maksimainen