Huom! Sertifikaatit eivät nykyisin enää käytä SSL-protokollaa, vaan sen seuraajaa TLS:ää (Transport Layer Security). Termi SSL-sertifikaatti on kuitenkin säilynyt yleisessä käytössä niin SSL- kuin TLS-sertifikaateista puhuttaessa, minkä vuoksi käytämme sitä tässä tekstissä kuvaamaan SSL/TLS-sertifikaatteja.

Mikä on SSL-sertifikaatti?

SSL-sertifikaatti salaa yhteyden käyttäjän selaimen ja www-palvelimen välillä, mikä estää ulkopuolisia tahoja näkemästä luottamuksellisia tietoja. Monet selaimet varoittavat nykyään käyttäjää, joka on avaamassa sertifikaatilla suojaamatonta sivua, minkä lisäksi hakukoneet rankaisevat sertifikaatittomia sivuja sijoittamalla ne alemmas hakutuloksissa.

SSL-sertifikaatit voidaan jakaa validointitapansa mukaan kolmeen eri ryhmään, joita ovat:

  • Domainvalidoidut sertifikaatit (Domain Validated, myöhemmin DV)
  • Organisaatiovalidoidut sertifikaatit (Organization Validated, myöhemmin OV)
  • Laajennetun validoinnin sertifikaatit (Extended Validation, myöhemmin EV)

Sertifikaattityyppien nimistä ilmenee, miten validointi on tehty ennen sertifikaatin myöntämistä. DV- eli domainvalidoitujen sertifikaattien osalta validointi on tehty vahvistamalla domainin omistajuus, kun taas OV- eli organisaatiovalidoitujen sertifikaattien osalta varmistetaan sekä domainin omistajuus että domainiin liittyvä yritys. EV- eli laajennetun validoinnin sertifikaatit ovat korkeimman validointitason sertifikaatteja, sillä niiden myöntäminen edellyttää domainin omistajuuden, organisaation ja sekä yrityksen laillisen entiteetin vahvistamista. EV-tasoisen varmenteen on havaittu lisäävän [1] verkkokauppojen myyntiä ja kannattavuutta.

Sertifikaatteja myöntävät autorisoidut sertifikaattiauktoriteetit (certificate authority, CA), joita ovat esimerkiksi Digicert ja Sectigo. Sertifikaattiauktoriteetit ovat luotettavia kolmannen osapuolen toimijoita, jotka myöntävät SSL/TLS-sertifikaatteja verifioimalla verkkosivuston omistajuustiedot. Selainten ylläpitäjät pitävät listaa sertifikaattiauktoriteeteista, joihin ne luottavat. Mikäli luotettava toimija on myöntänyt SSL-sertifikaatin, luottaa selain myös sertifikaatin luotettavuuteen ja pystyy näin takaamaan sivuston käytön turvallisuuden. Sertifikaatit toimivat näin ollen kahdessa eri tehtävässä, joista toinen on käyttäjien ja verkkopalvelimen välisen yhteydenpidon salaaminen ja toinen on domainin omistavan tahon omistajuuden ja identiteetin vahvistus. Tämä lisää omalta osaltaan luotettavuutta sillä sertifikaatti myönnetään vain, jos sitä hakeneella taholla on oikeus edustaa kyseistä yritystä tai organisaatiota verkossa.

Miten sertifikaatti toimii?

SSL-varmenteen myöntämisen jälkeen se asennetaan palvelimelle, jossa sivusto sijaitsee. SSL/TLS-protokolla hyödyntää CSR-avaimen luomisen yhteydessä muodostunutta julkisen ja yksityisen avaimen paria turvallisen yhteyden autentikointiin. Näistä julkinen avain (public key) on muiden nähtävissä, kun taas yksityinen avain (private key) pidetään salaisuutena. Julkisen ja yksityisen avaimen avulla yhteydenpito selaimen ja verkkopalvelimen välillä voidaan salata.

Selaimen ja sertifikaatilla suojatun verkkopalvelimen välinen kommunikaatio alkaa, kun käyttäjä menee sivustolle ja selain pyytää verkkopalvelinta identifioimaan itsensä. Verkkopalvelin lähettää selaimelle kopion SSL-sertifikaatistaan yhdessä julkisen avaimen kanssa autentikointia varten. Selain tarkistaa sertifikaatin paikkaansapitävyyden ja luo uniikin symmetrisen avaimen, jonka se lähettää julkisella avaimella salattuna takaisin verkkopalvelimelle, minkä jälkeen verkkopalvelin avaa salauksen yksityisen avaimen avulla. Tämän prosessin jälkeen verkkopalvelimen ja selaimen välille muodostuu suojattu yhteys, jossa niiden välillä kulkeva tieto on suojattu molempien hallussa olevalla avaimella. Istunnon lopuksi avaimet hävitetään ja prosessi alkaa alusta, kun käyttäjä tulee seuraavan kerran samalle SSL-sertifikaatilla suojatulle sivulle.

Miten voin hankkia sivustolleni sertifikaatin?

Domainkeskuksen valikoimasta löytyvät niin DV-, OV- kuin EV-sertifikaatit, joihin voi tutustua paremmin täällä.

Tarjoamme asiakkaillemme myös mahdollisuuden ottaa käyttöön ilmainen Let’s Encrypt -sertifikaatti, jolle emme maksuttomuudesta johtuen tarjoa erillistä tukea. Maksulliset sertifikaatit asennetaan käyttöön asiantuntijoidemme toimesta, minkä lisäksi takaamme niiden toiminnan sekä tuen mahdollisen vikatilanteen sattuessa.

[1] https://www.digicert.com/news/EV_whitepaper_8.22.13.pdf