Defaults.Exposed › Korjaukset › HTTPS ja pakollinen suojattu uudelleenohjaus

Kuinka korjata HTTPS ja pakollinen suojattu uudelleenohjaus

HTTPS on selainpalkin lukko – se salaa kaiken, mikä kulkee verkkosivustosi ja asiakkaidesi välillä, jotta sitä ei voida lukea tai muuttaa matkalla. Pakollinen suojattu uudelleenohjaus varmistaa, että kävijät päätyvät automaattisesti kyseiselle salatulle versiolle, vaikka he kirjoittaisivat osoitteesi ilman 'https://'. Yhdessä nämä ovat yksittäisesti kaikkein perustavimpia asioita, joita verkkosivusto tarvitsee ollakseen ylipäätään turvallinen.

Lyhyesti liiketoiminnallesi: Ilman HTTPS:ää jokainen salasana, korttinumero ja viesti, jonka asiakas lähettää sinulle, kulkee internetin yli luettavana tekstinä, ja Chrome, Edge, Safari ja Firefox leimaa sivustosi 'Ei turvallinen' jokaiselle kävijälle ennen kuin he lukevat sanaakaan. Ilman uudelleenohjausta jopa sertifikaatin omaavat sivustot jättävät ensimmäisen vierailun suojaamattomaksi. Molemmat maksavat sinulle luottamusta, myyntiä ja hakukonesijoituksia – ja molemmat ovat ilmaisia korjata minuuteissa.

Mitä tämä voi maksaa sinulle

• Ensimmäistä kertaa vieraileva näkee suuren 'Ei turvallinen' -varoituksen heti sivun latautuessa. Useimmat olettavat sivuston olevan väärennös, rikki tai turvaton ja lähtevät kilpailijalle – etkä koskaan tiedä myynnin menettämisestä.
• Asiakas syöttää korttitietonsa tai kirjautuu sisään salaamattoman yhteyden kautta kahvilasta, hotellista tai lentokentältä. Joku samassa WiFissä lukee sen selkotekstisenä, ja petoksesta aiheutuvat veloitukset lantataan sinulle.
• Suuremman asiakkaan hankinta- tai tietoturvatiimi suorittaa nopean skannauksen ennen allekirjoittamista, ei löydä HTTPS:ää tai puuttuvaa pakollista suojattua uudelleenohjausta ja parkitsee sopimuksen, kunnes pystyt todistamaan sen korjatuksi.
• Google sijoittaa sinut HTTPS:ää tarjoavien kilpailijoiden alapuolelle, joten menetät hiljaa hakukoneliikenteen vuosien ajan yhdistämättä sitä koskaan tähän puutteeseen.
• Sääntelyviranomainen tai maksuntarjoajasi pitää henkilö- tai korttitietojen lähettämistä salaamattomana ilmoitettavana virheinä, muuttaen viiden minuutin ilmaisen korjauksen vaatimustenmukaisuusongelmaksi.

Miksi tällä on merkitystä. HTTPS on verkkotietoturvan lattia, ei katto – se on se, mikä saa lukon näkymään ja estää kaiken, mitä asiakkaasi lähettävät, lukemiselta tai muuttamiselta matkalla. Pakollinen suojattu uudelleenohjaus sulkee aukon, jonka yksin sertifikaatti jättää auki: ihmiset kirjoittavat 'https://' lähes koskaan, joten ilman uudelleenohjausta heidän ensimmäinen pyyntönsä kulkee suojaamattomana ennen kuin suojattu versio koskaan latautuu. Sivusto, jolta puuttuu kumpikin, näyttää turvattomalta kävijöille, sijoittuu alemmas haussa ja altistaa todelliset asiakastiedot – minkä vuoksi tämä on kaikkein raskaimmin painotettu yksittäinen epäonnistuminen, jota pisteytämme.

Mitä tämä on selkokielellä

HTTPS on turvallinen, salattu versio verkkosivustostasi – se, joka näyttää lukon osoitepalkissa. Kun kävijä on HTTPS:ssä, kaikki, mikä kulkee heidän selaimen ja sivustosi välillä (sivut, joita he näkevät, täyttämänsä lomakkeet, salasanat, korttitiedot), on salattu niin, ettei kukaan välissä pysty lukemaan tai muuttamaan sitä. Pelkkä versio, HTTP, lähettää kaiken luettavana tekstinä, jonka kuka tahansa samassa verkossa voi siepata.

Tässä on kaksi osaa oikein tekemiseen, ja tarkistamme molemmat:

• Onko HTTPS ylipäätään saatavilla? Onko sivustollasi toimiva tietoturvavarmenne, jotta turvallinen, lukollinen versio on olemassa? Tämä on vakavampi kahdesta – ilman sitä ei ole salausta lainkaan.
• Ohjaako sivustosi kävijät siihen? Lähes kukaan ei kirjoita “https://” käsin. Jos joku kirjoittaa pelkän verkkotunnuksesi, heidän selaimensa yrittää ensin pelkkää HTTP-versiota. Pakollinen suojattu uudelleenohjaus ohjaa automaattisesti kyseisen pyynnön salattuun versioon. Ilman sitä ensimmäiset hetket jokaisesta vierailusta ovat suojaamattomia, vaikka sinulla olisikin sertifikaatti.

Haluat molemmat. Sertifikaatti ilman uudelleenohjausta on lukittu etuovi, jota kävijät voivat yksinkertaisesti kiertää.

Liiketoiminnan panokset

Tämä on kaikkein perustavin signaali siitä, onko verkkosivusto turvallinen – ja tärkeää kyllä, se on sellainen, jonka asiakkaasi voivat nähdä itse. Jokainen moderni selain (Chrome, Edge, Safari, Firefox) merkitsee sivuston ilman HTTPS:ää “Ei turvallinen” suoraan osoitepalkissa ja näyttää varoituksen, jos joku yrittää kirjoittaa lomakkeeseen. Kävijöiden ei tarvitse tietää, mikä sertifikaatti on, reagoidakseen tuohon sanaan.

Näkyvän varoituksen lisäksi tämä vaikuttaa kolmeen asiaan, joista omistajat välittävät suoraan: luottamus (ihmiset hylkäävät sivustot, jotka näyttävät turvattomilta), hakukonesijoitus (Google on käyttänyt HTTPS:ää sijoitussignaalina vuosia ja suosii turvallisia sivustoja) ja todellinen altistus (tavallisen HTTP:n kautta lähetetyt tiedot voivat todella lukea muut samassa verkossa). Se on myös asia, jonka suuremman asiakkaan tietoturvatiimi tarkistaa sekunneissa due diligencen aikana – ja puuttuminen voi pysäyttää sopimuksen.

Mitä tämä voi maksaa yrityksellesi

• Hiljainen poistuminen. Potentiaalinen asiakas klikkaa hakutuloksesta tai mainoksesta, ja sivu latautuu harmaalla “Ei turvallinen” -merkillä – tai pahempaa, koko näytön varoituksella. He eivät lähetä sinulle sähköpostia kysyäkseen miksi; he vain sulkevat välilehden ja klikkaavat seuraavaa tulosta. Maksoivat siitä vierailusta ja menetit sen ennen kuin he lukivat sanaakaan, eikä analytiikkasi kerro miksi.”
• Siepattu kirjautuminen tai maksu. Asiakas kirjautuu sisään tai käy kassalla ollessaan hotellin tai kahvilan jaetussa WiFissä. Koska yhteys ei ole salattu, joku lähellä kaappaa salasanansa tai korttinumeronsa selkotekstisenä. Sitä seuraava petos ilmoitetaan sinun murronasi, ja olet se, joka käsittelee vihaisia puheluita ja veloitusten peruutuksia.
• Pysähtynyt kauppa. Suurempi prospekti on valmis allekirjoittamaan, mutta heidän hankintaprosessiinsa sisältyy nopea tietoturvatarkistus verkkosivustostasi. Se palaa merkiten ei HTTPS:ää tai puuttuvaa pakollista suojattua uudelleenohjausta. Äkkiä selität perustavanlaatuista tietoturva-aukkoa sulkemisen sijaan – ja sopimus odottaa tai menee hiljaa kilpailijalle, joka läpäisi tarkistuksen.
• Hidas sijoitusvuoto. Kaksi yritystä tarjoaa samaa asiaa; toinen tarjoaa turvallista HTTPS:ää ja toinen ei. Hakukoneet ohjaavat turvallisen ylemmäksi. Kuukausien aikana menetät tasaisen valuvan vapaan liikenteen etkä koskaan yhdistä sitä tähän yhteen asetukseen.
• Injektoitu sisältö, jota et koskaan kirjoittanut. Salaamattomassa yhteydessä kuka tahansa välissä – epäluotettava julkinen verkko, vaarantunut reititin – voi lisätä väärennettyjä ponnahdusikkunoita, huijaustarjouksia tai haittaohjelmia sivuillesi kävijöiden ladatessa niitä. Kyseiselle kävijälle näyttää siltä, kuin sinun sivustosi teki sen.

Mitä se oikeasti on

Kun selain muodostaa yhteyden verkkosivustoon HTTPS:n kautta, kaksi asiaa tapahtuu. Ensinnäkin sivusto esittää sertifikaatin – luotetun viranomaisen myöntämän tunnuksen, joka todistaa, että sivusto on se, joka väittää olevansa. Toiseksi selain ja palvelin sopivat salausavaimesta ja käyttävät sitä salaamaan kaiken, mitä vaihtavat. Ensimmäinen tarkistuksemme, HTTPS saatavilla, yksinkertaisesti kysyy: voimmeko muodostaa turvallisen TLS-yhteyden sivustoosi vakioturvallisessa portissa (443) ja saada kelvollinen sertifikaatti takaisin? Jos kyllä, lukko voi näkyä ja salaus on päällä. Jos ei, sivustostasi ei ole turvallista versiota lainkaan – ja se on kaikkein raskaimmin pisteytetty yksittäinen epäonnistuminen.

Toinen tarkistus, pakollinen suojattu uudelleenohjaus, kattaa aukon, jonka yksin sertifikaatti jättää auki. Ihmiset kirjoittavat “yrityksesi.fi”, eivät “https://yrityksesi.fi”. Tuo pelkkä pyyntö menee ensin HTTP-versioon. Uudelleenohjaus on yksi rivi, joka sanoo “lähetä kaikki, jotka saapuvat turvattomaan versioon, suoraan turvalliseen.” Tarkistuksemme kysyy: kun pyydämme pelkkää HTTP-osoitettasi, ohjaako sivustosi meidät HTTPS:ään? Jos tekee, jokainen kävijä päätyy suojattuun riippumatta siitä, miten he kirjoittivat osoitteen. Jos ei, tuo ensimmäinen suojaamaton hyppy kantaa kaiken, mitä selain lähettää – evästeet, lomakkeeseen syötetyt tiedot – selkotekstisenä.

Hyvä asetus näyttää tältä: kelvollinen, luotettu sertifikaatti, jotta lukko näkyy jokaisella sivulla, ja jokainen pelkkä HTTP-pyyntö ohjataan automaattisesti HTTPS-versioon (mieluiten pysyvällä “301”-uudelleenohjauksella, joka myös siirtää hakukonesijoituksesi siististi turvalliseen osoitteeseen).

Korjausohje (ilmainen, n. 15 minuuttia)

Anna tämä IT-henkilöllesi tai hosting-palveluntarjoajasi tuelle – korjaus on ilmainen. Molemmat osat eivät maksa mitään: luotetut sertifikaatit ovat ilmaisia ja uusivat itsensä, ja uudelleenohjauksen kytkeminen päälle on yksittäinen asetus useimmilla alustoilla. Ei ostettavaa tuotetta, jotta tämä läpäisee.

On kaksi asiaa kytkettäväksi päälle. Useimmissa nykyaikaisissa hostingeissa ensimmäinen tekeminen tekee usein toisesta yhden klikkauksen vaihtoehdon.

1. Hanki sertifikaatti, jotta HTTPS toimii (lukko).

• Cloudflare: jos sivustosi on Cloudflaren takana, SSL on sinulle hoidettu. Aseta SSL/TLS-tilaksi “Täysi” (tai “Täysi (tiukka)”, jos alkuperäpalvelimellasi on myös sertifikaatti).
• Sivustonrakentajat ja hallittu hosting (Squarespace, Wix, Shopify, Webflow, GoDaddy-sivustonrakentaja, useimmat Microsoft 365 / Google Workspace -webhostingit): HTTPS on tarjottu automaattisesti; varmista se käytössä olevaksi sivusto/verkkotunnus-asetuksistasi – asennettavaa ei yleensä ole.
• cPanel-hosting: avaa SSL/TLS-tila ja suorita AutoSSL, joka myöntää ilmaisen Let’s Encrypt -sertifikaatin.
• Oma palvelin (VPS): asenna Let’s Encrypt Certbotilla – sudo certbot --nginx -d verkkotunnuksesi.fi (tai --apache). Se hakee ja asentaa ilmaisen sertifikaatin ja asettaa automaattisen uusimisen.
• Muut: ota yhteyttä hosting-palveluntarjoajasi tukeen ja pyydä heitä “ottamaan käyttöön ilmainen SSL-sertifikaatti verkkotunnukselleni”. Lähes kaikki tarjoavat tämän ilmaiseksi.

2. Pakota jokainen kävijä HTTPS:ään (uudelleenohjaus).

• Cloudflare: SSL/TLS → Reunasertifikaatit → kytke päälle “Käytä aina HTTPS:ää.” Siinä koko työ.
• Sivustonrakentajat (Squarespace, Wix, Shopify jne.): etsi “Pakota HTTPS” tai “Turvallinen (HTTPS)” -vaihtoehto sivustosi asetuksista ja kytke se päälle.
• Nginx: lisää palvelinlohko portille 80, joka palauttaa pysyvän uudelleenohjauksen – return 301 https://$host$request_uri;.
• Apache (.htaccess): ota uudelleenkirjoittaminen käyttöön ja ohjaa kaikki ei-HTTPS-pyynnöt – RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows-hosting): asenna URL Rewrite -moduuli ja lisää “HTTP to HTTPS” -uudelleenohjaussääntö.

Kun molemmat ovat päällä, testaa: kirjoita osoitteesi pelkällä http:// eteen ja vahvista, että selain hyppää automaattisesti lukollistettuun https://-versioon, ja että lukko näkyy pääsivuillasi.

Yleisimmät virheet

• Sertifikaatti asennettuna, mutta ei uudelleenohjausta. Yleisin puute. Näet lukon vieraillessasi omalla sivustollasi (koska selaimesi muisti HTTPS:n), joten oleta olevasi valmis – mutta uudet kävijät, jotka kirjoittavat pelkän verkkotunnuksen, päätyvät silti ensin HTTP:hen. Testaa aina pelkkä http://-versio eksplisiittisesti.
• Sekasisältö. Sivusi latautuu HTTPS:n kautta, mutta hakee kuvan, skriptin tai fontin vanhan http://-osoitteen kautta. Selaimet joko estävät sen tai alentavat lukon varoitukseen. Päivitä nuo viittaukset https://:ksi (tai suhteellisiksi linkeiksi). Useimmilla alustoilla on “sekasisältö” tai “turvaton sisältö” -raportti, joka löytää ne.
• Väliaikainen (302) uudelleenohjaus pysyvän (301) sijaan. 302 toimii kävijöille, mutta kertoo hakukoneille siirron olevan väliaikainen, joten sijoituksen arvo ei siirry siististi turvalliseen osoitteeseesi. Käytä pysyvää 301:tä.
• Vain pelkän verkkotunnuksen ohjaaminen, ei ‘www’:tä (tai päinvastoin). Varmista, että sekä verkkotunnuksesi.fi että www.verkkotunnuksesi.fi päätyvät HTTPS:ään, muuten toinen polku on silti altis.
• Sertifikaatin vanhentumisen salliminen. Lauennut sertifikaatti heittää koko näytön selainvirheen, joka pysäyttää kävijät. Ilmaiset Let’s Encrypt -sertifikaatit uusivat automaattisesti; jos ostit sen manuaalisesti, aseta kalenterimuistutus hyvissä ajoin ennen sen vanhentumista.

UKK

Katso yllä olevat kysymykset – ne kattavat ei-teknisen “voiko tämän hoitaa itse”, eron lukon ja uudelleenohjauksen pakottamisen välillä, sertifikaatin kustannuksen ja uusimisen, tarvitsevatko esitesivustot sen, ja miten tämä liittyy HSTS:ään.

UKK