HTTPS-varmenteen käyttö käyttäjätunnusten ja salasanojen suojaamiseksi on ollut WP-palvelun asiakkaiden sivustojen vakio-ominaisuus alusta alkaen. Tänä keväänä olemme ryhtyneet tarjoamaan jokaiselle asiakkaan verkkotunnukselle omaa HTTPS-varmennetta ilmaiseksi, jotta kaikki HTTP-liikenne voidaan suojata. Se parantaa tiedon luottamuksellisuutta, aitouden varmistamista, yksityisyyttä ja yllättäen myös nopeuttaa sivustojen latautumista, koska uusi nopeampi HTTP/2-protokolla toimii vain HTTPS-yhteyden yli. Toivomme että HTTPS yleistyy myös muilla palveluntarjoajilla.
HTTPS-varmenteen käyttöönotto ei kuitenkaan vielä riitä parhaan tietoturvan varmistamiseksi. On myös pidettävä huolta, että varmenne on asennettu oikein.
WP-palvelussa HTTPS-varmenteeseen liittyvät perusasetukset hoidetaan asiakkaan puolesta.
Oikeat asetukset estävät vanhat haavoittuvuudet
HTTPS-varmenteen toimivuuden takaamiseksi sillä tulee ensinnäkin olla riittävän vahva salausavain. Tämän lisäksi on tärkeää, että varmenne on asennettu oikeilla asetuksilla eli www-palvelin pitää olla oikein määritelty HTTPS-yhteyksien palvelun osalta. Näin estetään vanhat protokollahaavoittuvuudet, kuten esimerkiksi BEAST tai POODLE.
Keväällä 2014 julkisuuteen tullut Heartbleed-nimen saanut haavoittuvuus OpenSSL-ohjelmistossa, joka on maailman yleisin HTTPS-ohjelmisto, mahdollisti verkkoliikenteen salakuuntelun ja jopa tietojen aktiivisen hakemisen palvelinten muistista. Korjaus siihen oli päivittää käyttöön korjattu versio OpenSSL:stä.
SSL Labs -testi antaa palvelimelle arvosanan suojauksesta
Qualys-yhtiö ylläpitää erinomaista SSL Labs -verkkopalvelua, jossa voi helposti testata onko jonkin palvelimen HTTPS-määritykset kunnossa. Se antaa sivustolle kouluarvosanan A–F. Alla on taulukko WP-palvelun testituloksesta sekä muutamista verkkopankeista ja muista palveluista, joissa HTTPS-suojauksen pitäisi olla mahdollisimman vahva.
| Verkkosivusto | Testitulos |
|---|---|
| WP-palvelu.fi | A+ |
| S-Pankki.fi | A+ |
| Nordnet.fi | A |
| Kansalaisten potilastiedot Kanta.fi | A |
| OP.fi | A- |
| Danske Bank | A- |
| Procountor | A- |
| Nordea | B |
| Ilmarinen | C |
Testit suoritettiin 28.6.2016. Klikkaamalla linkkiä kunkin arvosanan kohdalla saat SSL Labsin uusimman testituloksen koskien samaa palvelinta.
HTTPS-suojaus WP-palvelun sivustoilla
WP-palvelun asiakkaiden sivustot saavuttavat automaattisesti A-tuloksen SSL Labsin testissä, eli riittävään suojaukseen ei asiakkaidemme tarvitse tehdä mitään toimenpiteitä. A+ -tulosta varten kuitenkin tarvitaan muutos, jonka seurauksena sivusto toimii vain HTTPS-yhteydellä. Halutessaan asiakas voi lisätä suojausta ja tehdä seuraavan muutoksen:
- Lisää sivustokohtaiseen
/data/wordpress/nginx/custom.conf-tiedostoon riviadd_header Strict-Transport-Security "max-age=63072000;";. - Jos käytössä on tuore versio WP-palvelun WordPress-pohjasta, on kyseinen rivi siellä valmiina ja asiakkaan tarvitsee vain poistaa #-kommenttimerkki rivin alusta ja aktivoida muutos ajamalla komento
wp-restart-nginx. - Lisätietoja löydät Ohjeet-sivulta.