Nyt salataan asioita luvan kanssa

Google, Palvelin, Salaus, Selain, SSL, Tietoturva, TLS

Internetin jättiläinen Google aikoo heinäkuussa kasvattaa panostustaan verkkosivustojen salatun liikenteen priorisointiin. Googlen Chrome-selain on jo aiemmin varoittanut käyttäjiä suojaamattomasta sisällöstä sivustoilla esimerkiksi kirjautumisten yhteydessä ja tulevana heinäkuuna sama käytäntö ulotetaan koskemaan kaikkea salaamatonta sisältöä. Mitä tämä tarkoittaa käytännössä ja miksi minun tulisi välittää asiasta?

Internetin kehityksen ja käyttäjämäärien kehityksen myötä myös tietoturvan merkitys korostuu entisestään. Yksi tietoturvan kannalta merkittävä tekijä on tietoliikenteen salaaminen käyttäjän ja palvelimen välillä. Salaamattomassa yhteydessä (http) tiedonsiirto käyttäjän ja palvelimen välillä kulkee selkokielisenä eli mikäli verkkoliikennettä kuunnellaan, on kuuntelijalla mahdollisuus saada haltuunsa lähetetty tieto. Salatussa yhteydessä (https) liikenne on nimensä mukaisesti salattua eli vaikka liikennettä kuunneltaisiin, ei sisältöön päästä käsiksi ilman salausavaimia.

Tähän liittyy olennaisena osana myös luotettava tunnistaminen ja verkkosivustojen TLS-protokollan (tunnettu myös aiemmalla nimellään SSL) tapauksessa tämä on toteutettu palvelimille asennetuilla sertifikaateilla. Sertifikaatin voi ajatella yksinkertaistaen vaikka henkilötodistuksena, sertifikaatin avulla käyttäjä pystyy todentamaan, että verkkosivusto on se joka väittää olevansa. Esimerkiksi verkkopankkien tapauksessa tämä on ensiarvoisen tärkeää, sillä monessa huijausyrityksessä vilpillinen sivusto voi olla sekä visuaalisesti että myös toiminnallisuuksiltaan hyvinkin identtinen oikean sivuston kanssa.

Tekniset esteet ja hidasteet salattujen yhteyksien käyttöön ovat vuosien varrella pienentyneet merkittävästi ja tämän myötä myös kynnys hankkia sertifikaatti on madaltunut. Samalla uhkien monipuolistuessa myös tietoturvan tulee seurata aikaansa. Google on omalta osaltaan pyrkinyt ajamaan salauksen laajempaa käyttöönottoa verkkosivustoilla ja myös muiden selainten kehittäjät (kuten vaikka Firefox-selaimesta vastaava Mozilla) ovat asiassa samoilla linjoilla. Esimerkiksi Chrome on jo viime vuonna julkaistuissa versioissaan näyttänyt varoituksen suojaamattomasta sisällöstä osassa sivustoja. Tämä on aiemmin koskenut vain sivustoja, joissa lähetetään salaamattomana esimerkiksi kirjautumiseen käytettävä lomake mutta kesällä Google ulottaa toiminnallisuuden kaikkeen salaamattomaan sisältöön verkkosivustoilla. Vastaavasti sekä Chrome että Firefox näyttävät salattua yhteyttä käyttävän sivuston osoiterivillä olevalla lukko-ikonilla ja vihreällä värillä korostettuna.

Selainvalmistajien muutoksen tahdissa tulee liikkua myös verkkosivustoja toimittavien. Omalta osaltamme aloimme viime vuonna siirtää niitä salauksen piiriin niitä ylläpitoasiakkaitamme joilla ei vielä ollut sertifikaattia sivustollaan. Kaikissa uusissa toteutuksissa salauksen käyttöönotto on osa projektikokonaisuuutta. Käytännössä siirtymä ei valtaosassa tapauksia vaadi isompia toimenpiteitä. Muutamissa erityistapauksissa sivustolle saatetaan joutua tekemään pieniä muokkauksia, mikäli toteutuksessa on esimerkiksi käytetty kiinteästi salaamatonta http-protokollaa tai rajapintoja kolmansien osapuolien toteutuksiin joissa ei salausta ole vielä tuettuna.

Kokonaisuudessaan salauksen yleistymistä voi pitää kaikkien kannalta hyvänä asiana. Verrattain pienellä investoinnilla pystytään kohentamaan tietoturvaa käyttäjän näkökulmasta ja samalla vaikeuttamaan liikennettä vakoilevien tai huijauksia tehtailevien tahojen elämää edes vähän. Tietoturva on useimmissa tapauksissa aina valmiiksi askeleen jäljessä, joten paikoilleen jäämisestä ei tässäkään koidu mitään etua. Uudistus auttaa kävijöitä ja sitä kautta myös verkkosivustojen ylläpitäjiä. Samalla se on yksi harvoista tilanteista joissa kirjaimellisesti ajateltuna avoimuudesta ei ole yksityisyyden kannalta etua eli salataan huoletta kun se tässä tapauksessa on jopa perusteltua ja hyödyksi!

Lähteitä:
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html
https://blog.cloudflare.com/https-or-bust-chromes-plan-to-label-sites-as-not-secure/