Defaults.Exposed › Korjaukset
Korjaa verkkotunnuksesi tietoturva — ilmaiset, vaiheittaiset oppaat
Selkokieliset oppaat jokaisen arvioimamme ongelman korjaamiseen — SPF, DKIM, DMARC, DNSSEC, TLS, varmenteet ja HTTP-turvaotsakkeet. Jokainen kertoo, mikä se on, mitä se voi maksaa yrityksellesi ja tarkalleen miten se otetaan käyttöön palveluntarjoajallasi.
- CAA-tietueet
CAA-tietue on lyhyt ohje verkkotunnuksesi asetuksissa, joka nimeää, mitkä varmenneyhtiöt saavat myöntää verkkosivustosi 'lukko'-turvasertifikaatin. Sen ollessa käytössä, mikään muu yhtiö ei pysty hiljaa luomaan sinun nimelläsi kelvollista sertifikaattia. - CDN / WAF ja hosting
Kaksi lukemaa verkkosivustosi taustalla olevasta putkistosta: istuuko edessäsi suojaava kilpi (CDN, jossa Web Application Firewall, kuten Cloudflare), joka suodattaa hyökkäykset ja absorboi liikennepiikit, ja kartta siitä, kuka todella pyörittää DNS:äsi, verkkosivustoasi ja sähköpostiasi. Molemmat ovat tiedoksi annettavia pisteytyksessämme – ne eivät muuta arvosanaasi – mutta ne kuvaavat, kuinka alttiina lähtöpalvelimesi on hyökkäykselle ja käyttökatkolle, ja kuinka kietoutuneita toimittajasi ovat. Suoja edessä ja järkevästi jaettu joukko toimittajia on se, miltä resilientit yritykset näyttävät. - Content-Security-Policy (CSP)
Content Security Policy on turvallisuussääntö, jonka verkkosivustosi antaa jokaisen kävijän selaimelle, kertoen sille tarkalleen, mitä koodia saa ajaa. Ilman sitä, jos haitallista sisältöä koskaan päätyy sivulle – kommenttikentän, hakkerointun lisäosaan tai kolmannen osapuolen skriptin kautta – selain ajaa sen vapaasti, mukaan lukien koodin, joka hiljaa skimmaa asiakkaidesi korttinumerot ja salasanat heidän kirjoittaessaan, lukon näkyessä silti. - DKIM
DKIM on näkymätön väärinkäytöltä suojaava sinetti jokaisessa yrityksesi lähettämässä sähköpostissa. Sen avulla vastaanottava sähköpostipalvelin voi varmistaa, että viesti tuli aidosti sinulta eikä sitä ole muutettu matkalla. Ilman DKIM:iä postiasi on helpompi väärentää, muuttaa matkalla ja se päätyy paljon todennäköisemmin roskapostiin. - DMARC (Sähköpostin väärentämissuojaus)
DMARC on se yksi asetus, joka todella käskee maailman sähköpostitoimittajia ESTÄMÄÄN sähköpostit, jotka väärentävät yrityksesi nimen. SPF ja DKIM tarkistavat lukot; DMARC päättää, mitä tapahtuu kun väärennös epäonnistuu tarkistuksessa – roskakoriin, merkitään vai päästetään läpi. Asetettu väärin, verkkotunnuksesi on täysin väärennetivissä; asetettu oikein, tekeytyminen pysähtyy postilaatikkoon. - DNSSEC
DNSSEC on digitaalinen sinetti verkkotunnuksesi osoitekirjalle. Se antaa internetin todistaa, että vastaus 'missä tämä verkkotunnus sijaitsee?' tuli todella sinulta eikä sitä peukaloitu matkalla. Ilman sitä vastaus voidaan väärentää – ja kävijäsi lähetetään hiljaa jonnekin muualle. - HSTS (Strict-Transport-Security)
HSTS on yksirivi ohje, jonka verkkosivustosi antaa jokaiselle selaimelle: 'tule aina takaisin luokseni turvallisen, salatun yhteyden kautta – älä koskaan turvattoman.' Ilman sitä lukkosi voidaan hiljaa poistaa jaetussa WiFissä, ja aivan ensimmäinen sivustovierailusi on alttiina. - HTTPS ja pakollinen suojattu uudelleenohjaus
HTTPS on selainpalkin lukko – se salaa kaiken, mikä kulkee verkkosivustosi ja asiakkaidesi välillä, jotta sitä ei voida lukea tai muuttaa matkalla. Pakollinen suojattu uudelleenohjaus varmistaa, että kävijät päätyvät automaattisesti kyseiselle salatulle versiolle, vaikka he kirjoittaisivat osoitteesi ilman 'https://'. Yhdessä nämä ovat yksittäisesti kaikkein perustavimpia asioita, joita verkkosivusto tarvitsee ollakseen ylipäätään turvallinen. - IPv6-tuki
IPv6 on uudempi, paljon suurempi versio internetin osoitejärjestelmästä, otettu käyttöön, koska vanha (IPv4) on loppunut tilasta. IPv6-tuen lisääminen tarkoittaa, että verkkosivustosi ja sähköpostisi ovat tavoitettavissa modernin verkon kautta vanhan lisäksi. Pisteytyksessämme tämä on tiedoksi annettavaa – sen puuttuminen ei laske arvosanaasi – mutta se on todellinen tavoittavuusongelma: kasvava osa mobiili- ja ulkomaalaisia asiakkaita yhdistää vain IPv6-verkkojen kautta, ja he tavoittavat sinut sujuvasti vain jos tukee sitä. Korjaus on ilmainen ja elää DNS:ssäsi ja hostingissasi. - Käänteinen DNS (PTR)
Käänteinen DNS on yrityksesi sähköpostia lähettävän palvelimen henkilöllisyystodistus. Kun vastaanottava palveluntarjoaja kuten Gmail tai Microsoft 365 tarkistaa, kuka on lähettävän osoitteen takana, ja saa nimen, joka täsmää, postisi näyttää legitiimiltä. Kun henkilöllisyystodistusta ei ole – tai nimi ja numero eivät täsmää – täysin aidot laskusi ja tarjouksesi päätyvät epäilyttäviin ja hylätään tai menevät roskapostiin. - Klikkaushuijauksen suojaus (X-Frame-Options)
Yksirivi ohje, joka kertoo selaimille olla antamatta muiden verkkosivustojen ladata sivustoasi salaa omansa sisälle. Ilman sitä huijari voi piilottaa todelliset, kirjautuneet sivusi väärennetyn sivun taakse ja huijata asiakkaitasi klikkaamaan jotain, mitä he eivät koskaan tarkoittaneet – hyväksymään maksun, vaihtamaan salasanan, myöntämään pääsyn. - MIME-sniffing-suojaus (X-Content-Type-Options)
Yksirivi otsikko, joka estää selaimia arvailemasta, mikä tiedosto todella on. Ilman sitä tiedosto, jonka joku lataa sivustollesi – tai tiedosto omilla sivuillasi – voidaan lukea väärin selaimessa ja ajaa koodina, mikä on täsmälleen se tapa, jolla jotkut hyökkäykset muuttavat harmittomalta näyttävän latauksen tavaksi varastaa asiakkaidesi istunnot. - MX-tietueet (sähköpostin asetukset)
MX-tietue on viiteopaste, joka kertoo muulle internetille, minne toimittaa verkkotunnuksellesi osoitettu sähköposti. Jos se puuttuu tai on rikki, jokainen sinulle lähetetty viesti – asiakaskyselyt, salasanan nollaukset, laskut, sopimukset – palautuu heti lähettäjälle. Ei MX-tietuetta, ei postilaatikkoa. - Nimipalvelimien asetus (monimuotoisuus ja SOA)
Nimipalvelimesi ovat hakemisto, joka kertoo koko internetille, mistä verkkosivustosi ja sähköpostisi löytyvät. Jos ne kaikki sijaitsevat yhdessä verkossa ja se kaatuu, yrityksesi katoaa internetistä samalla hetkellä – ei sivustoa, ei sähköpostia, ei mitään – ja huolimaton kellonasetus näillä palvelimilla voi jättää tekemäsi muutokset jumiin päiviksi. - Nykyaikainen salaus (TLS-versio ja salausalgoritmit)
TLS on lukko, joka salaa kävijöidesi ja verkkosivustosi välillä kulkevan datan. Kaksi asiaa tekee tuosta lukosta luotettavan: nykyaikaisen TLS-version käyttö (ei vanhoja, rikkinäisiä versioita) ja vahvojen salausalgoritmien käyttö (varsinainen salausresepti). Tämä sivu kattaa molemmat – sekä muutaman siihen liittyvän asetuksen, jotka eivät vaikuta arvioosi mutta on hyvä tietää. - Referrer-Policy
Referrer-Policy on yksirivi ohje, jonka verkkosivustosi antaa jokaisen kävijän selaimelle, halliten sitä, kuinka paljon verkkoosoitteestasi kulkee heidän mukanaan heidän klikatessa linkkiä toiselle sivustolle. Ilman sitä sivun täysi osoite – hakusanat, tilinumerot, palautuslinkit, sisäiset sivupolut ja kaikki muu – luovutetaan hiljaa seuraavalle sivustolle, mukaan lukien mainostajat, analytiikkayritykset ja minne tahansa muualle, mihin linkki osoittaa. - Ristiin-lähtöiset eristysotsakeet (COOP / CORP / COEP)
Kolme valinnaista selaimen ohjetta, jotka hallitsevat sitä, miten muut sivustot saavat vuorovaikuttaa sinun sivustosi kanssa – avaamaan sen ponnahdusikkunoihin, upottamaan kuviasi ja skriptejäsi tai vetämään resurssejasi omille sivuilleen. Ne ovat modernia kovennusta, ei perusvaatimus, ja pisteytyksessämme ne ovat tiedoksi annettavia: niiden puuttuminen ei laske arvosanaasi. Mutta kaksi turvallista sulkevat hiljaisen tietojenkalastelu- ja kaistanleveyden varastamisaukon, ja huolellisen ostajan IT-tiimi huomaa, kun ne ovat läsnä. - SPF (Sender Policy Framework)
SPF on yksi rivi verkkotunnuksesi asetuksissa – se kertoo, mitkä sähköpostipalvelut saavat lähettää viestejä yrityksesi nimissä. Ilman sitä kuka tahansa maailmalla voi lähettää sähköpostia, joka näyttää tulevan sinulta – ja omat aidot viestisi päätyvät helpommin asiakkaiden roskapostiin. - TLS-sertifikaatin kunto
SSL/TLS-sertifikaattisi on digitaalinen henkilökortti, joka todistaa kävijälle, että hän todella on yhteydessä verkkosivustoosi – ei jäljittelijään – ja toimii selaimen lukon takana. Tämä tarkistus katsoo, onko sertifikaatti kelvollinen ja luotettu, ei pian vanhenemassa, ja rakennettu vahvalla, nykyaikaisella kryptografialla.