Defaults.Exposed › Korjaukset › TLS-sertifikaatin kunto

Kuinka korjata TLS-sertifikaatin kunto

SSL/TLS-sertifikaattisi on digitaalinen henkilökortti, joka todistaa kävijälle, että hän todella on yhteydessä verkkosivustoosi – ei jäljittelijään – ja toimii selaimen lukon takana. Tämä tarkistus katsoo, onko sertifikaatti kelvollinen ja luotettu, ei pian vanhenemassa, ja rakennettu vahvalla, nykyaikaisella kryptografialla.

Lyhyesti liiketoiminnallesi: Rikkinäinen tai vanhentunut sertifikaatti korvaa verkkosivustosi koko näytön punaisella 'Yhteytesi ei ole yksityinen' -varoituksella jokaisessa selaimessa. Useimmat kävijät poistuvat välittömästi eivätkä palaa – verkkomyynti pysähtyy, rekisteröinnit pysähtyvät ja yhteys, jonka piti olla yksityinen, voidaan hiljaa siepata.

Mitä tämä voi maksaa sinulle

Sertifikaattisi vanhenee hiljaa viikonlopun aikana; maanantaihin mennessä jokainen kävijä näkee koko sivun tietoturvavirheen, kassasi ja yhteydenottolomakkeesi ovat poissa käytöstä, ja menetät myyntiä jokaiselta tunnilta, joka kuluu ongelman havaitsemiseen ja uusimiseen.
Kahvilan tai hotellin Wi-Fin kautta maksava asiakas näkee varoituksen, että sertifikaattisi ei vastaa verkkotunnustasi – he olettavat sivustosi olevan väärennös tai hakkeroitu, hylkäävät ostoksen ja kertovat muille sen 'näyttäneen epäilyttävältä'.
Suuremman asiakkaan IT-tiimi suorittaa sopimusta edeltävän tietoturvaskannauksen, näkee itseallekirjoitetun tai epäluotetun sertifikaatin ja merkitsee sinut riskiksi – kauppa pysähtyy johonkin, joka ei maksa mitään korjata.
Sertifikaattisi käyttää vanhentunutta allekirjoitusmenetelmää tai heikkoa avainta; nykyaikaiset selaimet alkavat näyttää siitä varoituksia ja tietoturvatarkastus merkitsee sinut alaspäin kryptografiasta, joka on ollut suosituslistojen ulkopuolella vuosia.
Hyväksyt korttimaksuja ja maksuntarjoajasi auditoi sinut uudelleen; heikko avain tai vanhentunut sertifikaatti rikkoo maksutietoturvamääräyksiä ja verkkomaksujesi käsittely pysähtyy kunnes se on korjattu.

Miksi tällä on merkitystä. Sertifikaatti on verkkosivustosi tietoturvan yksittäisesti näkyvin osa – terveenä se on näkymätön, ja rikkoontuneen sen mukaansa vie koko sivustosi kauhistuttavalla varoituksella, joka ajaa asiakkaat suoraan kilpailijoille. Sertifikaatin vanheneminen on suurin syy odottamattomiin verkkosivustojen käyttökatkoihin, ja se on täysin estettävissä. Kelvollisen sertifikaatin saaminen on ilmaista, ja sen pitäminen kunnossa on enimmäkseen asia, joka automatisoida se uusittavaksi automaattisesti.

Mitä tämä on selkokielellä

Kun joku vierailee verkkosivustollasi, kaksi asiaa täytyy tapahtua, jotta he tuntevat olonsa turvalliseksi kirjoittaa salasanansa tai korttinumeronsa. Ensinnäkin yhteyden täytyy olla salattu, jotta vieraat eivät pysty lukemaan sitä. Toiseksi – ja tämä on se osa, jonka ihmiset unohtavat – vierailijan selaimen täytyy olla varma, että se on todella sinun sivustosi toisessa päässä, eikä jäljittelijä, joka on pystyttänyt vakuuttavan väärennöksen. Asia, joka tekee molemmat työt, on TLS-sertifikaattisi (usein kutsutaan “SSL-sertifikaatiksi”).

Ajattele sitä verkkotunnuksesi väärentämättä henkilökortina. Tunnustettu viranomainen myöntää sen, siinä on leimattu verkkotunnuksesi nimi ja viimeinen voimassaolopäivä, ja siinä on kryptografinen avain, joka salaa yhteyden. Kun kaikki on kunnossa, selain näyttää lukon ja sivustosi latautuu normaalisti. Kun henkilökortissa on jotain vialla, selain tekee päinvastaisen kuin rauhoittaa kävijää – se heittää koko näytön varoituksen, joka sanoo käytännössä “tämä sivusto saattaa olla turvaton.”

Tämä tarkistus katsoo kyseisen henkilökortin kunnon neljässä asiassa, jotka kukin itsenäisesti rikkovat sen:

Onko se kelvollinen ja luotettu? – myönnetty tunnustetulta viranomaiselta, vastaa tarkkaa verkkotunnustasi, ei itseallekirjoitettu, eikä vanhentunut.
Onko se aikeissa vanheta? – koska lauennut sertifikaatti kaataa koko sivustosi.
Onko se allekirjoitettu vahvalla menetelmällä? – vanhat allekirjoitusalgoritmit voidaan väärentää.
Onko sen avain riittävän vahva? – heikko avain voidaan periaatteessa murtaa.

Hyvä uutinen etukäteen: terveen sertifikaatin saaminen on ilmaista, ja sen pitäminen terveenä on enimmäkseen asia, jolla se uusitaan automaattisesti, joten ihmisen ei tarvitse muistaa.

Mitä tämä voi maksaa yrityksellesi

Viikonloppukäyttökatko. Sertifikaatti osuu hiljaa voimassaolon päättymispäivään perjantai-iltana. Uusiminen, jonka piti toimia, ei toiminut (palvelin siirtyi, skripti rikkoutui, kukaan ei huomannut). Lauantaiaamuun mennessä jokainen kävijä – ja jokainen Google-ryömijä – näkee koko sivun punaisen varoituksen kotisivusi sijaan. Kauppasi on suljettu etkä edes tiedä sitä. Tekninen korjaus kestää minuutteja; menetetty viikonlopun myynti ja asiakkaat, jotka päättivät sinun “lopettaneen toimintasi”, eivät palaa.
Hylätty kassaprosessi. Asiakas ostaa puhelimellaan hotellin Wi-Fin kautta. Sertifikaattisi ei aivan vastaa verkkotunnusta, jota he käyttivät (sanotaan se kattaa kauppa.yrityksesi.fi, mutta ei pelkkää yrityksesi.fi:tä, jota he käyttivät). Selain varoittaa heitä sivuston “voivan esiintyä” sinuna. Ei-tekniselle ostajalle tämä luetaan huijaukseksi – he sulkevat välilehden, etkä koskaan tiedä myynnin olemassaolosta.
Pysähtyneeseen sopimus. Suuremman prospektin tietoturvatiimi suorittaa rutiinitarkistuksen ennen allekirjoittamista. Se palaa ja näyttää itseallekirjoitetun tai epäluotetun sertifikaatin jollakin aliverkkotunnuksistasi. Vaikka kaikki muu on kunnossa, se yksi punainen lippu muuttaa nopean hyväksynnän edestakaisin menoksi, joka viivästyttää kauppaa – ongelmasta, joka ei maksa mitään korjata.
Hidastempoinen varoitus. Sertifikaattisi on teknisesti kelvollinen, mutta allekirjoitettu SHA-1:llä, vanhalla menetelmällä, jota selaimet ovat poistumassa käytöstä. Yhden selainpäivityksen jälkeen osa kävijöistäsi alkaa nähdä varoituksia, joita et pysty toistamaan omalla ajan tasalla olevalla koneellasi. Tukipyyntöjä tulee sanomalla sivuston “näyttävän rikkinäiseltä”, etkä pysty selvittämään miksi.
Vaatimustenmukaisuuden epäonnistuminen. Hyväksyt korttimaksuja. Uudelleenauditoinnissa tarjoajasi tarkistukset merkitsevät heikon avaimen tai laukenneen sertifikaatin. Korttitietoturvamääräykset vaativat vahvaa, nykyistä salausta – joten verkkomaksuihin tulee katko kunnes myönnät uudelleen, jäädyttäen tuotot pahimpaan mahdolliseen hetkeen.

Mitä se oikeasti on (neljä osaa)

Sertifikaatti voi olla epäterve neljällä eri tavalla, ja tämä sivu käsittelee kaikkia niitä. Jokainen on erillinen tarkistus, mutta sinulle ne kaikki ovat “onko sertifikaattini kunnossa?“

1. Kelvollinen ja luotettu

Tämä on tärkein – ja ainoa osa sertifikaatin kunnosta, joka on kriittinen, korkeimman painoarvon tarkistus. Sertifikaatti on “kelvollinen ja luotettu” vain, kun kaikki nämä ovat totta:

Se on myönnetty tunnustetulta sertifikaattiviranomaiselta, johon selaimet jo luottavat (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon ja niin edelleen).
Se vastaa tarkkaa verkkotunnusta, jota kävijä käyttää – mukaan lukien aliverkkotunnukset. Sertifikaatti www.yrityksesi.fi:lle, joka ei myös kata yrityksesi.fi:tä, varoittaa pelkässä verkkotunnuksessa.
Se ei ole itseallekirjoitettu – eli et ole myöntänyt sitä itsellesi, mikä salaa, mutta ei todista mitään siitä, kuka olet.
Se on tällä hetkellä päivämääräikkunansa sisällä – ei vanhentunut eikä (harvinaisesti mutta tapahtuu) päivätty alkamaan tulevaisuudessa.
Sen luottamusketju on ehjä – sitä allekirjoittanut viranomainen on itsessään luotettu, kaikki ylös asti.

Jos jokin näistä epäonnistuu, selaimet näyttävät pelätyn “Yhteytesi ei ole yksityinen” -sivun ja tämä tarkistus epäonnistuu vakavasti. Hyvä näyttää tältä: sertifikaatti tunnustetulta viranomaiselta, joka kattaa jokaisen verkkotunnuksen ja aliverkkotunnuksen, jota todella käytät, mukavasti päivämääriensä sisällä.

2. Ei pian vanhene

Jokaisella sertifikaatilla on kova päättymispäivä. Ilmaisilla ne kestävät tyypillisesti 90 päivää; maksullisilla usein vuoden. Päivämäärän jälkeen luottamus katoaa välittömästi – armoaikaa ei ole. Tämä tarkistus mittaa, kuinka monta päivää on jäljellä ja miten se toimii suhteessa siihen, kuka sen myönsi:

Jos se on jo vanhentunut tai vanhenee alle 7 päivässä, sitä pidetään kriittisenä – merkki siitä, että uusiminen on epäonnistunut.
Jos se vanhenee 30 päivässä eikä ole automaattisesti hallinnoitu, on varoitus uusia nyt.
Jos se on automaattisesti uusivalta palveluntarjoajalta (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL ja vastaavat) ja vähintään viikko jäljellä, se läpäisee – koska se odottaa uusivansa itsensä ennen määräaikaa.
Runsaasti tilaa (90+ päivää tai automaattisesti hallinnoitu) on puhdas läpäisy.

Hyvä näyttää tältä: automaattisesti hallinnoitu sertifikaatti, joka uusii itsensä ilman, että kukaan koskee siihen. Yksittäisin luotettavin tapa koskaan saada vanhenemiskäyttökatkoa on tehdä koneesta, ei ihmisestä, uusimisesta vastaava.

3. Vahva allekirjoitusalgoritmi

Jokainen sertifikaatti on “allekirjoitettu” kryptografisella algoritmilla, joka antaa selainten havaita väärinkäytön. Vanhat algoritmit – MD5 ja SHA-1 – on osoitettu väärennetyiksi, eli hyökkääjä voisi periaatteessa luoda väärän sertifikaatin, joka näyttää laillisesti sinulta. Tämä tarkistus läpäisee, kun sertifikaatti käyttää vahvaa, nykyaikaista allekirjoitusta: SHA-256 tai vahvempi (SHA-384, SHA-512), nykyaikainen ECDSA tai Ed25519/Ed448. MD5 ja SHA-1 epäonnistuvat. Hyvä näyttää tältä: SHA-256 tai parempi – joka on oletuksena jokaisessa ilmaisessa ja nykyaikaisessa sertifikaatissa, joten tämä on harvoin ongelma viime vuosina myönnetyissä.

4. Vahva avain

Sertifikaatti kantaa kryptografista avainta, joka tekee varsinaisen salaamisen. Jos kyseinen avain on liian lyhyt, nykyaikainen laskentatehot voi – riittävillä resursseilla – murtaa sen, jolloin hyökkääjä voi esiintyä sivustonasi tai purkaa liikenteen salauksen. Hyväksytyt minimit ovat 2048-bittinen RSA tai 256-bittinen elliptinen käyrä (EC). Tämä tarkistus läpäisee kyseisillä koilla tai niiden yläpuolella ja epäonnistuu niiden alapuolella. Hyvä näyttää tältä: 2048-bittinen (tai 4096-bittinen) RSA tai 256-bittinen EC-avain kuten P-256 – jälleen oletuksena nykyaikaisissa ilmaisissa sertifikaateissa.

Korjausohje (ilmainen, n. 15 minuuttia)

Anna tämä osio verkkosivustoasi tai hostingiasi hallinnoivalle – korjaus on ilmainen. Kelvollinen, vahva, automaattisesti uusiutuva sertifikaatti ei maksa mitään Let’s Encryptillä tai millään nykyaikaisella hostingilla. Veloitamme vain sen terveyden seurannasta ajan myötä, emme korjaamisesta.

Vaihe 1 – Hanki (tai korvaa) sertifikaatti ilmaisella, luotetulla. Tämä yksi vaihe korjaa kelvollisuuden, allekirjoituksen ja avaimen vahvuuden kaikki kerralla, koska nykyaikaiset ilmaiset sertifikaatit käyttävät SHA-256:ta ja vahvoja avaimia oletuksena.

Cloudflare: kohdassa SSL/TLS → Yleiskatsaus, aseta tilaksi Täysi (tiukka). Cloudflare myöntää ja uusii automaattisesti luotetun reunasertifikaatin sinulle; varmista, että alkuperäpalvelimellasi on myös kelvollinen sertifikaatti, jotta “Tiukka” toimii.
Google Workspace / Microsoft 365 hosting tai mikä tahansa cPanel-hosting: etsi SSL/TLS-tila ja suorita AutoSSL. Se provisioi ja uusii ilmaiset sertifikaatit automaattisesti.
Sivustonrakentajat (Squarespace, Wix, Shopify, nykyaikaiset WordPress-hostingit): SSL on yleensä oletuksena päällä – vahvista se käytössä olevaksi verkkotunnus/tietoturva-asetuksistasi, ja että se kattaa sekä yrityksesi.fi että www.yrityksesi.fi.
Oma Linux-palvelin (Nginx/Apache): asenna Let’s Encrypt Certbotilla – sudo certbot --nginx -d yrityksesi.fi -d www.yrityksesi.fi (tai --apache). Nykyaikaiselle EC-avaimelle lisää --key-type ecdsa. Listaa jokainen palvelemasi isäntänimi -d:llä, jotta sertifikaatti vastaa niitä kaikkia.

Vaihe 2 – Tee uusimisesta automaattista, jotta se ei koskaan vanhene. Tämä vaihe estää viikonloppu-käyttökatkon.

Let’s Encryptin palvelimella vahvista, että uusintatyöajastin on aktiivinen ja testaa sitä: sudo certbot renew --dry-run. Certbot asentaa normaalisti automaattisen ajastimen; jos ei, lisää päivittäinen cron-työ: 0 3 * * * certbot renew --quiet.
Cloudflaren, cPanel AutoSSL:n ja hallittujen/sivustonrakentajahostingien uusiminen on sinulle hoidettu – aikataulutettavaa ei ole.

Vaihe 3 – Varmista, että se kattaa oikeat nimet. Yleisin “kelvollinen mutta varoitus” -syy on nimiristiriita. Sertifikaatin täytyy kattaa jokainen isäntänimi, jota asiakkaat todella käyttävät – pelkkä verkkotunnus, www ja kaikki aliverkkotunnukset kuten kauppa. tai sovellus.. Sertifikaattia luodessa sisällytä jokainen niistä (jokerimerkki kuten *.yrityksesi.fi kattaa kaikki aliverkkotunnukset kerralla).

Vaihe 4 – Jos vain allekirjoitus tai avaimen vahvuus on merkitty, myönnä vain uudelleen. Sinun ei tarvitse ostaa mitään: luo uusi sertifikaatti (Vaihe 1) ja uusi käyttää SHA-256:ta ja vahvaa avainta automaattisesti. Omalla palvelimellasi voit kiinnittää nykyaikaisen avaimen eksplisiittisesti – esim. openssl ecparam -genkey -name prime256v1 -out server.key EC:lle tai openssl genrsa -out server.key 4096 RSA:lle – sitten myönnä uudelleen.

Vaihe 5 – Vahvista, sitten tarkista täällä uudelleen. Vahvista päivämäärät, myöntäjä ja avain nopealla komennolla – echo | openssl s_client -servername yrityksesi.fi -connect yrityksesi.fi:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject – sitten suorita tämä tarkistus uudelleen.

Yleisimmät virheet

“SSL on asennettu kerran” -asenteen ylläpitäminen. Sertifikaatit vanhenevat kellon mukaan. Ilman automaattista uusimista kysymys ei ole jos se raukeaa vaan milloin – yleensä epämukavimpana hetkenä.
www:n kattaminen mutta ei pelkkää verkkotunnusta (tai päinvastoin). Molemmat täytyy olla sertifikaatissa tai toinen heittää nimiristiriita-varoituksen. Sama ansa napattu myöhemmin lisätyissä uusissa aliverkkotunnuksissa.
Itseallekirjoitetun sertifikaatin jättäminen “testi”-aliverkkotunnukselle, joka on itseasiassa julkinen. Se salaa, joten se tuntuu turvalliselta – mutta selaimet (ja tietoturvaskannaustyökalut) pitävät sitä epäluotettavana, ja se on klassinen auditoinnin punainen lippu.
Maksullisen olettaminen turvallisemmaksi. Ilmainen Let’s Encrypt -sertifikaatti on täsmälleen yhtä luotettu ja salattu kuin kallis. Enemmän maksaminen ei tee vahvempaa lukkoa.
Sertifikaatin uusiminen mutta palvelimen uudelleenkäynnistyksen unohtaminen. Levyllä istuva uusi sertifikaatti ei tee mitään ennen kuin verkkopalvelin ladataan uudelleen poimimaan se – yllättävän yleinen syy “uusin sen mutta se näyttää edelleen vanhentuneelta.”
Automaattinen uusiminen, joka epäonnistui hiljaa. Uusimistyö voi rikkoutua (siirretty tiedosto, DNS-muutos, estetty portti) ja jatkaa “onnistumistaan” hiljaa. Vanhenemispäivän seuraaminen – ei vain uusimistyön – on se, mikä aidosti havaitsee tämän ennen kuin se polkee sinua.”

UKK

En ole tekninen – voiko tämän hoitaa itse?

Kryptografiaa ei tarvitse ymmärtää. Kelvollinen sertifikaatti on ilmainen (Let's Encryptillä ja useimmilla nykyaikaisilla hostingeilla), ja hallitussa hostingissa se on yleensä automaattinen. Anna alla oleva 'Korjausohje' verkkosivustoasi tai hostingiasi hallinnoivalle – suurimmalle osalle yrityksistä se on nopea, ilmainen työ, ei osto.

Sivustollani näkyy lukko – eikö se tarkoita, että sertifikaattini on kunnossa?

Lukko tarkoittaa vain, että turvallinen yhteys on nyt olemassa. Se ei kerro, onko sertifikaatti aikeissa vanheta, onko se rakennettu vahvalle avaimelle tai onko se enää huomisen selainten luottama. Tämä tarkistus katsoo lukon ohi neljään asiaan, jotka todella pitävät sen palvottuna: onko sertifikaatti kelvollinen ja luotettu, onko se vanhenemassa pian, onko se allekirjoitettu vahvalla algoritmilla ja onko sen avain riittävän vahva.

Täytyykö SSL-sertifikaatista maksaa?

Ei. Let's Encryptin ilmaiset sertifikaatit (ja Cloudflaren, cPanelin AutoSSL:n ja useimpien nykyaikaisten hostingpalvelujen sisäänrakennetut) ovat jokaisen selaimen luottamat ja täsmälleen yhtä turvallisia kuin maksulliset. Maksuliset sertifikaatit ostavat pääasiassa tukisopimuksia, takuita tai laajennetun validoinnin merkkejä – mikään näistä ei vaikuta siihen, onko sivustosi salattu tai luotettu. Emme koskaan veloita tämän korjaamisesta; veloitamme vain sen terveyden seurannasta.

Kuinka sertifikaatti voi 'vanheta' – ja miksi se kaataa sivustoni?

Jokaisella sertifikaatilla on kiinteä päättymispäivä (usein 90 päivää ilmaisille). Kyseisen päivän jälkeen selaimet kieltäytyvät luottamasta siihen ja näyttävät koko sivun varoituksen sivustosi sijaan. Se ei ole asteittainen lasku – se toimii täydellisesti määräaikaan asti, sitten katkeaa täysin. Siksi automaattinen uusiminen on niin tärkeää: se poistaa ihmisen, joka muuten unohtaisi.

Mikä on 'itseallekirjoitettu' sertifikaatti ja miksi se epäonnistuu?

Itseallekirjoitettu sertifikaatti on sellainen, jonka olet myöntänyt itsellesi sen sijaan, että hankkisit sen tunnustetulta viranomaiselta. Se salaa yhteyden, mutta mikään ei takaa, että se todella olet sinä – joten selaimet pitävät sitä epäluotettavana ja varoittavat kävijöitä, aivan kuten tekisivät hyökkääjän väärästä sertifikaatista. Julkiselle verkkosivustolle haluat aina sertifikaatin luotetulta viranomaiselta, joka on ilmainen.

Mitä 'heikko avain' ja 'heikko allekirjoitusalgoritmi' oikeastaan tarkoittavat yritykselleni?

Molemmat ovat tapoja, joilla sertifikaatti voi olla teknisesti pätevä tänään, mutta kryptografisesti hauras. Heikko avain (alle 2048-bittinen RSA tai 256-bittinen EC) voidaan periaatteessa murtaa, jolloin hyökkääjä voi esiintyä sivustonasi. Heikko allekirjoitus (SHA-1 tai MD5) voidaan väärentää vakuuttavan väärän sertifikaatin luomiseksi. Nykyaikaiset ilmaiset sertifikaatit käyttävät vahvoja avaimia ja allekirjoituksia oletuksena, joten korjaus on lähes aina vain uudelleenmyöntäminen – ilman kustannuksia.