Julkaistu
Päivitetty

HTTPS-varmenteen käyttö käyttäjätunnusten ja salasanojen suojaamiseksi on ollut WP-palvelun asiakkaiden sivustojen vakio-ominaisuus alusta alkaen. Tänä keväänä olemme ryhtyneet tarjoamaan jokaiselle asiakkaan verkkotunnukselle omaa HTTPS-varmennetta ilmaiseksi, jotta kaikki HTTP-liikenne voidaan suojata. Se parantaa tiedon luottamuksellisuutta, aitouden varmistamista, yksityisyyttä ja yllättäen myös nopeuttaa sivustojen latautumista, koska uusi nopeampi HTTP/2-protokolla toimii vain HTTPS-yhteyden yli. Toivomme että HTTPS yleistyy myös muilla palveluntarjoajilla.

HTTPS-varmenteen käyttöönotto ei kuitenkaan vielä riitä parhaan tietoturvan varmistamiseksi. On myös pidettävä huolta, että varmenne on asennettu oikein.

WP-palvelussa HTTPS-varmenteeseen liittyvät perusasetukset hoidetaan asiakkaan puolesta.

Oikeat asetukset estävät vanhat haavoittuvuudet

HTTPS-varmenteen toimivuuden takaamiseksi sillä tulee ensinnäkin olla riittävän vahva salausavain. Tämän lisäksi on tärkeää, että varmenne on asennettu oikeilla asetuksilla eli www-palvelin pitää olla oikein määritelty HTTPS-yhteyksien palvelun osalta. Näin estetään vanhat protokollahaavoittuvuudet, kuten esimerkiksi BEAST tai POODLE.
Keväällä 2014 julkisuuteen tullut Heartbleed-nimen saanut haavoittuvuus OpenSSL-ohjelmistossa, joka on maailman yleisin HTTPS-ohjelmisto, mahdollisti verkkoliikenteen salakuuntelun ja jopa tietojen aktiivisen hakemisen palvelinten muistista. Korjaus siihen oli päivittää käyttöön korjattu versio OpenSSL:stä.

SSL Labs -testi antaa palvelimelle arvosanan suojauksesta

WP-palvelu.fi:n tulos SSL Labsissa: A+

WP-palvelu.fi:n tulos SSL Labsissa: A+


Qualys-yhtiö ylläpitää erinomaista SSL Labs -verkkopalvelua, jossa voi helposti testata onko jonkin palvelimen HTTPS-määritykset kunnossa. Se antaa sivustolle kouluarvosanan A–F.
Alla on taulukko WP-palvelun testituloksesta sekä muutamista verkkopankeista ja muista palveluista, joissa HTTPS-suojauksen pitäisi olla mahdollisimman vahva.

Verkkosivusto Testitulos
WP-palvelu.fi A+
S-Pankki.fi A+
Nordnet.fi A
Kansalaisten potilastiedot Kanta.fi A
OP.fi A-
Danske Bank A-
Procountor A-
Nordea B
Ilmarinen C

 
Testit suoritettiin 28.6.2016. Klikkaamalla linkkiä kunkin arvosanan kohdalla saat SSL Labsin uusimman testituloksen koskien samaa palvelinta.

HTTPS-suojaus WP-palvelun sivustoilla

WP-palvelun asiakkaiden sivustot saavuttavat automaattisesti A-tuloksen SSL Labsin testissä, eli riittävään suojaukseen ei asiakkaidemme tarvitse tehdä mitään toimenpiteitä. A+ -tulosta varten kuitenkin tarvitaan muutos, jonka seurauksena sivusto toimii vain HTTPS-yhteydellä. Halutessaan asiakas voi lisätä suojausta ja tehdä seuraavan muutoksen:

  • Lisää sivustokohtaiseen /data/wordpress/nginx/custom.conf -tiedostoon rivi add_header Strict-Transport-Security "max-age=63072000;";.
  • Jos käytössä on tuore versio WP-palvelun WordPress-pohjasta, on kyseinen rivi siellä valmiina ja asiakkaan tarvitsee vain poistaa #-kommenttimerkki rivin alusta ja aktivoida muutos ajamalla komento wp-restart-nginx.
  • Lisätietoja löydät Ohjeet-sivulta.

Kommentoi

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Lue lisää

Kategoriassa: Uncategorized

Singaporen klusteri avattu

Tarjolla on hyviä uutisia Aasiassa liiketoimintaa harjoittaville nykyisille ja uusille asiakkaillemme – tästä eteenpäin Seravo tarjoaa mahdollisuuden sivuston palvelintilan sijoittamiseen […]

19 syyskuun, 2019

Let’s Encrypt on riittävä

Meiltä kysellään usein ilmaisesta Let’s Encrypt -varmenteesta, joka sisältyy kaikkiin palvelupaketteihimme. Monia mietityttää, voiko ilmainen varmenne varmasti tarjota tarpeeksi kattavan […]

20 elokuun, 2019

Tietomurto PHP:n pakettikirjastossa (PEAR)

Seravon WP-palvelussa seuraamme aktiivisesti tietoturvatiedotteita ja omien valvontatyökalujemme raportteja. Reagoimme välittömästi kaikkiin poikkeamiin, jotta asiakkaamme voivat luottaa siihen, että heidän […]

22 tammikuun, 2019

GDPR tulee, mitä se tarkoittaa?

EU:n tietosuoja-asetuksen (GDPR) soveltaminen alkaa 25.5.2018.  Koska kyseessä on asetus, se on suoraan kaikkia EU-kansalaisia ja yrityksiä velvoittava.  GDPR tekee […]

12 huhtikuun, 2018

Hanki HTTPS-suojaus ennen lokakuuta, tai pelotat asiakkaasi pois

Onko yrityksesi verkkosivuilla yksikin lomake? Keräätkö liidilistaa, uutiskirjeen tilaajia, tarjouspyyntöjä tai tapahtumaan ilmoittautumisia? Jos sivustollasi ei ole käytössä HTTPS-suojausta, lomaketta […]

22 syyskuun, 2017

Seravo-pluginin uudet ominaisuudet

Olemme huomanneet, että jos työskentelee lähinnä WordPressin hallintapaneelissa, ei SSH-yhteyden avaaminen ja siellä tekstipohjaisten komentojen ajaminen ole mielekästä tai tehokasta. […]

21 elokuun, 2017