HTTPS-protokolla tarkoittaa salattua yhteyttä selaimen ja palvelimen välillä. Akronomi on lyhenne sanoista Hypertext Transfer Protocol Secure. Erona vanhaan HTTP-protokollaan on sen viimeinen S-kirjain, jonka avulla suojataan sekä oma että sivustokäyttäjien yksityisyys verkossa.
HTTPS suomeksi voisi olla “suojattu hypertekstin siirtoprotokolla”.
Mutta miksi kirjoittaa artikkeli aiheesta näin vuoden 2024 lopulla?
— Eikö tämän pitäisi olla jo ihan päivänselvä asia?
Onhan se varmasti. Silti viimeisimmissä SEO-projekteissa on noussut yksittäisiä HTTP-sisältöjä, jotka ovat jääneet kummittelemaan sivustoille. Nämä ovat aina tietoturvariski.
Ei riitä, että sivustosi domain on suojattu. Sinun tulee tarkistaa, että kaikki sisällöt jokaista yksittäistä julkaisua myöten ovat salattuja.
HTTPS:llä on kolme tietoturvaominaisuutta
- Salaus: HTTPS-salauksella varmistetaan, ettei tietoja voida lukea tai muokata niiden siirtyessä selaimen ja palvelimen välillä. Tarkoitus on siis estää kolmansia osapuolia sieppaamasta ja lukemasta netin kautta lähetettyjä tietoja.
- Todennus: HTTPS sisältää vahvan todennusmekanismin, jolla varmistetaan sivuston aitous. Näin ollen verkkosivustot, jotka käyttävät HTTPS:ää, tarvitsevat tietoturvatodistuksen, joka vahvistaa sivuston identiteetin. Tätä kutsutaan myös SSL-sertifikaatiksi.
- Eheys: Jokainen HTTPS-palvelimen lähettämä asiakirja (eli tieto) sisältää tavallaan “digitaalisen allekirjoituksen”, jonka avulla selain voi tarkistaa, ettei asiakirjaa (eli sisältöä) ole muutettu siirron aikana.
Miten tarkistan HTTPS-protokollan?
Nopeiten (ja ylimalkaisesti) tarkistat SSL-luojauksen klikkaamalla domain-osoitteen edessä olevaa lukko-kuvaketta tai vastaavaa ikonia kuin kuvassa yllä.
“Yhteys on turvallinen.”
Varmimmin tarkistat tämän Googlen oman datatyökalun avulla. Ylätason domain-tarkistus ei nimittäin kerro, onko sivustolla yksittäisiä HTTP-sivuja.
Google Search Consolen raportista näet, kuinka moni sivustosi indeksoituneista URL-osoitetteista on HTTP- ja HTTPS-osoitteita.
Kuten alla olevasta kuvasta näet, sivustolla ei ole kriittisiä ongelmia eli vanhentuneita, tietoturvariskin sisältäviä sivuja.
Älä pelästy näitä ilmoituksia (jos teet tarkistuksen SSL.orgilla)
Jos haluat tehdä tarkistuksen ilman Google Search Consolea, voit hyödyntää verkosta löytyvää SSL.org-ohjelmaa. Todennäköisesti saat kuitenkin ilmoituksia haavoittuvuuksista.
Käydään läpi pari yleisintä.
LUCKY13 (CVE-2013-0169)
Jos saat ilmoituksen LUCKY13 (CVE-2013-0169) -tietoturvariskistä, älä ahdistu. Vaikka LUCKY13-haavoittuvuus vaikutti useimpiin suuriin TLS-toteutuksiin (kuten OpenSSL, GnuTLS ja Java), tästä on aikaa yli vuosikymmen.
Haavoittuvuus paikattiin vuoden 2013 ensimmäisellä neljänneksellä, joten nykyisin on hyvin epätodennäköistä, että palvelimet olisivat alttiita juuri tälle hyökkäykselle.
Jos siis saat tästä varoituksen, se ei todennäköisesti tarkoita todellista haavoittuvuutta – etenkin, jos julkaisujärjestelmäsi on uusi (eikä esimerkiksi vanha, kovakoodattu sivusto).
BREACH (CVE-2013-3587)
Jos BREACH (CVE-2013-3587) näkyy varoituksena, tämäkin on yhdenlainen tietoturvahyökkäyksen malli, joka hyödyntää vanhentunutta HTTP-protokollaa.
Tarkista siis, ja mieluiten Google Search Consolesta, ettei sivustollasi ole käytössä vanhentuneita HTTP-versioita. On nimittäin hyvin mahdollista, että muutama tällainen sivu on jäänyt käyttöön, vaikka “pääsääntöisesti” sivustosi olisi SSL-suojattu.
Miksi HTTPS on tärkeä?
Nykyään HTTPS:ää suositellaan käytettäväksi kaikilla verkkosivustoilla, ei siis pelkästään arkaluontoista tietoa käsittelevillä sivustoilla. Näin siksi, että käyttäjien yksityisyys ja tietoturva olisivat mahdollisimman hyvin suojattuja.
Suojaus takaa turvallisen käyttökokemuksen
Käyttämällä suojausta varmistat turvallisen tiedonsiirron. Näihin lukeutuvat muun muassa:
- henkilötiedot
- salasanat
- maksutapahtumat
- ja kaikki muu arkaluontoinen sisältö.
Sivustosi (ja brändisi) on uskottavampi
Etenkin verkkokaupoissa toisinaan ilmenevät “sivusto ei ole suojattu” -ilmoitukset karkoittavat asiakkaat. Ja jos tällaisia ilmoituksia ilmenee muilla sivustoilla, esimerkiksi webinaari-ilmoittautuminen voi jäädä tekemättä tai uutiskirje tilaamatta.
SSL-suojauksen voi aktivoida ilmaiseksi
Yleensä verkkopalvelun tarjoaja aktivoi tämän valmiiksi, mutta mikäli sivustosi on itse rakennettu, harkitse esimerkiksi Really Simple Security -lisäosan aktivoimista.
Voit voittaa Googlen parhaan sijoitukset
Google suosittelee vahvasti HTTPS:n käyttöä käyttäjien turvallisuuden ja yksityisyyden suojaamiseksi. Jos sivustollasi on yksittäinenkin sisältösivu, jolla on sekä HTTP- että HTTPS-osoite, Google indeksoi mieluummin HTTPS-version.
Et siis pääset Googlen kärkeen suojaamattomalla sisällöllä – etkä myöskään herätä luottamusta sivustokävijöissäsi. Lisäksi protokollan käyttö on yksi eettisen SEO:n tärkeimmistä toimenpiteistä.
Ota siis viimeistään nyt Search Console käyttöön, ja tarkista oman sivustosi tilanne. Näin voit aloittaa vuoden 2025 turvallisin mielin.
Tiedä ennen muita.
Datajournalismia ja näkökulmia algoritmimuutoksista AI-optimointiin. Tilaa SEO-uutiset kuukausikoosteena sähköpostiisi.