Blogi haldab ja kureerib 

Viis lihtsat asja, mida peaks teadma oma kodulehte HTTPS-ile üle viies

HTTPS on saanud enamuse brauserite ja otsimootorite jaoks turvalisuse standardiks, nii et ilma selleta kodulehti on asutud tõrjuma nii otsingutulemustest kui brauseritest. Kuidas aga oma veeb turvaliselt HTTPS-i peale lülitada? Räägitakse, et see ei nõua eriti mingeid ümberkorraldusi, kuid mõnda lihtsat asja peaks siiski tähele panema ja teadma.

Ilma HTTPS-ita ehk krüpteerimata andmevahetusega veebiserveri poole pöörduva kasutaja andmeid on võimalik kõrvalistel pealt kuulata ja kui nende andmete hulgas juhtub olema isikuandmeid või veel halvem – paroole, siis on koduleht kasutajale kahju tekitanud, saades ise muidugi ka mainekahju, kui see hiljem välja tuleb. Lisaks tõstab Google krüpteerimata veebid ehk HTTP-ga algavad saidid otsingutulemustes tahapoole, upitades ette neid samateemalisi veebe, mille ühendus on juba turvaline ehk HTTPS.

Nüüd on ka enamus levinud mobiilibrausereid hakanud hoiatama krüpteerimata ühendusega ehk tavalise http-ga, mitte https-iga veebilehtede eest, et neis võivad kasutaja sisestatud andmed lekkida.

Mida siis teha? Loomulikult HTTPS-ile üle minna, selles pole küsimustki.

Siin on aga viis soovitust, mida sellel teel võiks jälgida.

1. Kust saada sertifikaat?

Selleks, et oma kodulehe liiklus turvaliselt krüpteerida, tuleb saidile hankida turvasertifikaat. Mõned aastad tagasi oli ainuke võimalus see osta mõnelt teenusepakkujalt, maksta aastatasu ja ise käsitsi sertifikaati pidevalt uuendada. Paigaldamiseks tuli ka jälgida vastavaid juhendeid.

Nüüd on ajad muutunud ja see kõik läinud väga palju lihtsamaks. Endiselt saab teenusepakkujatelt sertifikaati osta, seda automaatselt oma krediitkaardiga uuendada ja kodulehte niimoodi pidevalt turvalisena hoida. Kuid lisandunud on ka tasuta võimalusi.

Neist tasuta võimalustest on kõige populaarsem ja mugavam Let’s Encrypt, mida toetab ka Veebimajutus:

Iseteenindusest tuleb vaid teenus välja valida ning kasutaja ei pea üldse süvenema SSL-maailma eripäradesse. Ülejäänu tehakse juba automaatselt. Kui tahad aga lisada oma sertifikaati, siis peab klienditeenindusse pöörduma.

Let’ s Encrypt paigaldatakse automaatselt, see sertifikaat kehtib kolm kuud ja siis ei pea ka muretsema hakkama, sest see pikeneb seejärel kohe automaatselt.

Kui sertifikaat on domeeniga seotud (see võib mõned minutid aega võtta peale sertifikaadi valimist iseteeninduses), tuleb turvaline HTTPS-ühendus sisse lülitada.

Detailsemat Let’s Encrypt juhendit saad lugeda siit.

2. Kas ainult HTTPS või HTTP ka?

Kui kodulehel on kehtiv SSL sertifikaat, siis tuleb otsustada, kas jätta kehtima mõlemad veebiaadressid – nii http ehk krüpteerimata andmesidega kui https või ainult see viimane.

Üldiselt pole mõtet HTTPS-i peale üle minnes enam mõlemat kasutama jääda – tekitab asjatut segadust. Siis suunatakse kogu HTTP aadressidele tulnud liiklus permanentselt edasi HTTPS-aadressile.

Kuid on ka teatud erijuhte, millal ei saa ainult HTTPS-i kasutada, kuid nendega enamasti tavalise veebi omanik kokku ei puutu. Mõned aastad tagasi räägiti sellest, et HTTPS koormab serverit rohkem ja teeb veebi aeglasemaks, kuid nüüd on serverid piisava jõudlusega, et ka krüpteeritud andmeside puhul kasutaja suurt kiirusevahet ei märka.

Kui siiski tundub, et pole mõtet kõiki lehti turvalise ühendusega serveerida, on paljudel tuntud sisuhalduslahendustel olemas ka vastavad lisamoodulid, mis teevad turvaliseks vaid need veebilehed, kus liigutatakse delikaatsemaid andmeid. Sellised lehed võivad olla sisselogimine, veebivormid ja küsitlused.

3. Lisamoodulid SSL-i jaoks

WordPressis on terve rida lisamooduleid, mis tagavad, et delikaatsete andmetega lehtedelt info kaduma ei läheks ja need lehed oleksid alati krüpteeritud ühendusega. Sellised moodulid on näiteks Really Simple SSL ja WordPress HTTPS (SSL).

Drupalis saab kasutada moodulit Secure Login, mis on mõeldud just nende domeenide jaoks, kus on lubatud mõlemad aadressid – nii HTTP- kui HTTPS-algusega. Lisandmoodul aitab tagada selle, et sisselogimise ja veebivormide lehel suunatakse kasutaja alati turvalise ühenduse (HTTPS) peale, mujal võib kasutada ka turvamata ühendust, kus olulisi salajasi andmeid ei liigu.

4. Kui üleminek on toimunud – mida ma veel peaksin sisu osas tegema?

Peale kodulehe üleviimist turvalise HTTPS-i peale võivad aga brauserid ikka edasi hoiatada, et vaatamata kõigele on tegemist osaliselt ebaturvalise lehega.

See võib tähendada, et kodulehel viidatakse või lingitakse mõnele ebaturvalisele komponendile või laetakse alla skripte http-ga algavatelt veebiaadressidelt. Näiteks võib kuskil sisus olla kasutusel link, mis algab HTTP-ga, mõni pilt on kodulehel kuvatud ebaturvalise HTTP lingi kaudu või on mõni kasutatav kood alla laetud krüpteerimata ühendusega saidilt. Brauserid võivad nüüd, peale HTTPS-ile üleminekut neid veebi osasid enam mitte näidata. Tegemist on siis nende jaoks n-ö mixed content lehega ehk veebiga, milles serveeritakse läbisegi turvalist ja ebaturvalist sisu.

Kui koduleht on väike, siis peaks kõik leheküljed üle käima ja otsima koodist märksõna „http://“. Kui selliseid linke leitakse, võiks muuta need turvaliseks (HTTPS-iga algavaks). Välimistele lehtedele võiks võimalusel samuti viidata oma kodulehelt turvalise otseaadressiga, mis algab HTTPS-iga. Mõnede linkidega on muidugi probleem, et turvaline aadress ei töötagi, aga enamlevinud veebilehed nagu näiteks Facebook või Youtube on turvalisena alati olemas ja ka lingid võiksid neile lehtedele alata siis HTTPS-iga.

WordPressil on vastavaid mooduleid, mis selliseid miksitud sisu probleeme lahendavad. Näiteks Really Simple SSL kontrollib kodulehel olevaid linke ja muudab need turvalisteks ehk HTTPS-iga algavateks.

5. Testi, kas kõik on ikka täiesti korras

Mõne lihtsa online testiga saab teada, kas koduleht ikka töötab turvaliselt või mitte. Mõnikord võivad salvestatud küpsised, brauseri puhvermälu või veebiserveri puhver näidata kodulehte pisut teistmoodi, kui see on just seadistatud. Siit saab abi olukorra hindamiseks:

www.sslshopper.com/ssl-checker.html – väga lihtne ja kiire test mõnede olulisemate kontrollidega.

www.ssllabs.com/ssltest/ – pikem ja põhjalikum test, mis kestab mõned minutid, kuid ütleb ära, kas enamlevinud brauserid usaldavad veebi või mitte.

Uuri turvalise SSL-sertifikaadi ja HTTPS-iga veebi kohta lähemalt siit.

Artikkel ilmus algselt Veebimajutuse blogis.