Aktivoi jatkuva SSL

Paranna sijoitustasi Googlen hakutuloksissa

Googlen uusi hakusijoitusalgoritmi suosii nettisivuja, jotka käyttävät HTTPS:ää oletuksena. Hakujätti toivoo, että tämä rohkaisee yrityksiä käyttämään HTTPS-salausta. Tämä hyödyttää sekä nettisivun omistajaa, että nettisivuilla vierailevia, sillä turvatut nettisivut näkyvät korkeammalla Googlen hakutuloksissa.

Enable Persistent SSL

Kuvittele, että lukitset etuovesi, mutta jätät takaoven auki. Tilanne on sama silloin, kun nettisivu käyttää jaksoittaista SSL:ää, joka suojaa vain tiettyjä sivuja kuten kirjautumistietoja ja transaktioita. Jotkut yhtiöt ajattelevat olevansa suojattuja datavarkauksia ja hakkerointia vastaan lisäämällä SSL:n vain tiettyihin nettisivun osiin. Tämä kuitenkin jättää nettisivun muut osat täysin suojaamattomiksi ja avoimiksi hyökkäyksille.

Paranna sijoitustasi Googlen hakutuloksissa

Yksi suurimmista jatkuvan SSL:n käyttöön rohkaisevista tekijöistä on Googlen 6. elokuuta 2014 onlieturvallisuusblogissaan julkaisema postaus. Siinä Google suunnittelee antavansa paremmat hakutulossijoitukset nettisivustoille, jotka ovat täysin HTTPS-salattuja.

Googlen webmaster trenianalystien Zineb Ait Bahajjin ja Gary Illyesin mukaan syy on yksinkertainen. "Haluamme rohkaista kaikkia nettisivujen omistajia vaihtamaan HTTP:stä HTTPS:ään pitääkseen verkon turvallisena. Tärkeimpänä tekijänä on varmistaa, että nettisivut joille käyttäjät siirtyvät Googlen kautta ovat turvallisia." Googlen viesti ei voisikaan olla selkeämpi: "Haluamme nähdä yhä useamman nettisivun käyttävän HTTPS:ää tulevaisuudessa". Tavoitteena onkin rohkaista nettisivuja muuttamaan turvallisuuskäytäntöjään tehokkaammiksi - ja samalla tekemään datansiirroista turvallisempia joka puolella verkossa.

Käyttäjökokemuksen kokonaisvaltainen turvaaminen

Jatkuvan SSL:n aktivointi on olennainen ja kustannustehokas turvallisuustoimenpide, joka tarjoaa kokonaisvaltaisen suojan nettisivujen käyttäjlle. Se ei ole korvaava tuote olemassa olevalle SSL Sertifikaatillesi, vaan enemmänkin lähestymistapa, joka tunnistaa tarpeen turvata käyttäjän koko tapahtuma eikä vain kirjautumissivua. Jatkuvan SSL:n käyttö perustuu sivustonlaajuiseen HTTPS:n käyttöön, mutta se myös tarkoittaa turvallisuuslipun asennusta kaikkiin istuntokohtaisiin evästeisiin. Tämä estää niiden sisällön lähettämisen salaamattoman HTTP-yhteyden kautta. Lisätoiminnot, kuten Extended Validation (EV) ja HSTS voivat entisestään vahvistaa infrastruktuuriasi taistelussa mies välissä -hyökkäyksiä vastaan.

Aseta turvallisuuslippu kaikkiin istuntokohtaisiin evästeisiin

Istuntokohtainen eväste voidaan asettaa vaihtoehtoisen "turvallisuuslipun" kanssa, joka kehottaa selainta ottamaan yhteyden lähdeserveriin käyttämällä ainoastaan HTTPS:ää sen lähettäessä evästeen takaisin. Turvallisuustoimintoa tulisi tarkastella turvallisuusohjeena, jonka serveri antaa käyttäjäagentille kertoakseen, että evästeiden suojaaminen on toiminnon etu. Tämä toiminto auttaa estämään evästeiden lähettämistä HTTP:n kautta myös silloin, kun käyttäjä tietämättään tekee selainpyynnön serverille HTTP:n kautta.

Tehosta turvallisuutta & luottamusta Extended Validation (EV) Sertifikaateilla

Suosittelemme yrityksiä harkitsemaan Extended Validation (EV) SSL Sertifikaatin käyttöä vahvemman suojauksen saamiseksi. EV-suojatut sivustot käyvät läpi CA Browser Forumin käyttöönottaman tiukan verifikaatioprosessin, joka on yli 30 johtavan sertifikaattiauktoriteetin ja selaintarjoajan yhteistyöhanke.

Tämä verifikaatioprosessi varmistaa nettisivuoperaattoreiden identiteetin ja olemassaolon käyttämällä luotettavia kolmannen osapuolen lähteitä. Käyttäjät, jotka vierailevat EV SSL Sertifikaatilla suojatuilla nettisivuilla näkevät vihreän palkin ja organisaation nimen osoiterivillä. Tämä tarjoaa käyttäjälle visuaalisen varmistuksen operaattorin identiteetistä.

Ota HSTS käyttöön estääksesi aktiivisia hyökkäyksiä

HTTPS-yhteydet käynnistetään useimmiten silloin, kun vierailija uudelleenohjataan HTTP-sivustolta tai kun he esimerkiksi klikkaavat kirjautumislinkkiä, joka johtaa heidät HTTPS-sivustolle. Mies välissä -hyökkäys on kuitenkin mahdollinen siirryttäessä suojaamattomasta yhteydestä suojattuun yhteyteen. Tämä voidaan tehdä joko passiivisesti tai huijaamalla uhri klikkaamaan HTTP-linkkiä aidolle nettisivulle esimerkiksi kalastelusähköpostin kautta.

HTTP Strict Transport Securityn (HSTS) asentaminen nettisivuillesi on paras suojaus tämän tyyppisiä hyökkäyksiä vastaan. Tämä spesifikointi määrittää nettisivuille tavan, jolla ne voivat tehdä itsensä saavutettaviksi vain suojatun yhteyden kautta. Se myös antaa käyttäjille mahdollisuuden kommunikoida sivuston kautta ainoastaan suojatun yhteyden avulla.