Kindlasti oled märganud, et osade veebilehtede aadressid brauseriribal on algusega HTTPS. Mida see täiendav S seal tähendab ja kuidas see üldse turvalisust mõjutab? Kas ma võin oma salasõna sisestada ka lihtsalt HTTP-ga algaval veebilehel või on see ebaturvaline?
Alljärgnevalt selgitan, miks on HTTPS nii oluline ja kuidas saaks sellega ka oma veebi turvalisemaks teha.
Mis on HTTPS ja miks see on turvalisuse seisukohalt nii tähtis?
HTTPS ehk krüpteeritud ühendusega ligipääs veebile on tegelikult ülioluline. Ilma krüpteerimata lehel andmete sisestamine on sama ebaturvaline, nagu kontori ukse lukustamata jätmine või PIN-koodi kirjutamine pangakaardile. Kogu info, mis internetis liigub ilma HTTPS (SSL) protokollita, on sisuliselt avalik. Eriti veel, kui juhtud kasutama avalikku, jagatud või WiFi-võrguühendust.
Kuidas ära tunda, kas veebileht on HTTPS-iga või mitte?
Kodulehe külastaja peaks jälgima tabaluku märki veebilehitseja aadressirea ees:
Samuti peaks jälgima seda, et veebilehe aadress algaks kujul https://. Krüpteerimata lehe külastamisel peaks olema teadlik võimalikest riskidest. Üks võimalus neid riske külastaja enda poolt hajutada on võtta kasutusele VPN – näiteks Chrome´i lehitsejale saab paigaldada ZenMate VPN plugin´i, mille sisselülitamisel kogu veebiliiklus krüpteeritakse.
Millised oleksid hoiatavad näited, millised aga positiivsed näited turvalisusest?
Mis siis ikkagi juhtub, kui soovid näiteks müüa oma korterit tuntud kinnisvaraportaali lehel, mis ei kasuta HTTPS-ühendust?
Lekkida võivad nii kasutajanimi ja salasõna kui ka kogu muu tundlik info, sest see on võrgus pealt kuulatav. Seega tuleb alati jälgida, milliseid kodulehti külastada ja milliseid andmeid neile jagada, eriti sellistes veebides, mis ei kasuta HTTPS-ühendust.
Võtame mõned lihtsad näited (vt märkust artikli lõpust). Saadad näiteks hinnapäringu maja katuse remondiks Ruukki või Toode kodulehtede kaudu ja kuna HTTPS ei ole seal kasutusel, võivad lekkida ka sisestatud isikuandmed ning kodune aadress. Häkkeril on siit järeldada nii mõndagi: suure tõenäosusega leidub uue katuse otsijal parasjagu piisavalt vabu vahendeid suuremaks remondiks ja juba oledki muutunud huvitavaks sihtmärgiks, keda võiks juba täpsemini rünnata.
Või kui küsid perefoorumist nõu mõnel tundlikul teemal, mida ei tahaks enda nime all avalikustada – näiteks peresuhete kohta Perekeskus Sina ja Mina kodulehel ja juba lekibki tundlik info, mida on võimalik hiljem kasutada mõjutamiseks või väljapressimiseks.
Võid küll mõelda, et kasutad postitamisel anonüümset pseudonüümi ning seda infot ei saa sinuga kuidagi kokku viia, aga kui oled oma isiklikku infot ka mujale sisestanud (näiteks sellelsamal katuse tellimise lehel, millest eespool rääkisime), siis on häkkeri jaoks asi selge, millega veel võiks kasutajat hirmutada.
Sama kehtib paraku ka paljude tutvumisportaalide ja muude turvamata foorumite kohta – enamik neist ei kasuta veel HTTPS ühendust. Vaata näiteks https://rate.ee, https://date.delfi.ee/ ja nii edasi, seal ei ole HTTPS korralikult kasutusele võetud.
Tasakaaluks tasub tuua ka häid näiteid lehtedest, mis kasutavad HTTPS (SSL-protokolliga) ühendust ning mille külastajad ei pea andmete lekkimise pärast muretsema: näiteks Kliinik.ee, Facebook, Swedbank.
Milline on üldse olukord maailmas, kas HTTPS on populaarne või pigem haruldane?
Enamik lehti maailmas siiski ei ole veel HTTPS-i kasutusele võtnud (seda mainivad ka Wired ja Google) ning põhjus on lihtne. See on maksnud siiani iga aastast SSL-sertifikaadi väljastamise tasu ja lisaks on tavasertifikaadi väljastamine olnud üsna keeruline protsess. Need mõlemad punktid on muutunud uue Let’s Encrypt teenuse tulekuga – sertifikaati on võimalik nüüd väljastada tasuta ning väga lihtsalt. Lisaks on paljud majutusfirmad võimaldanud SSL-i kasutada ainult oma kallimates pakettides, Veebimajutuses on see aga juba põhipaketis.
Viimase poole aasta jooksul on väljastatud juba umbes seitse miljonit tasuta SSL-sertifikaati, seega olukord on väga kiiresti muutumas paremuse poole.
Kas kõik lehed võiks kasutada HTTPS’i? Ka sellised, kus jagatakse lihtsalt infot ja külastajalt mingeid andmeid ei küsita?
Näiteks http://www.seb.ee/ avalik koduleht SSL sertifikaati ei kasuta, kuid internetipank https://www.seb.ee/ip/ipank kasutab. Sarnaselt kasutavad turvalist ühendust ka Eesti suuremad kinnisvara- ja automüügiportaalid auto24.ee ja city24.ee.
Kindlasti tuleks tänapäeval kasutada igal pool turvalist HTTPS-ühendust – seda mitmel põhjusel.
Esmalt on võimalik turvamata veebiühendusega pahalastel jälgida, milliseid lehekülgi külastatakse ning koguda kasutaja profiili kohta üsna tundlikke andmeid (et siis näiteks jõukamatele inimestele täpsemalt suunatud ründeid planeerida).
Teiseks on pahalastel võimalik kaaperdada krüpteerimata lehekülgi, muutes koodi ja asendades näiteks internetipanka sisenemise viite, mis võib suunata hoopis mõnele enda loodud lehele, kus näiteks paroole koguda.
Kolmandaks: kuna näiteks SEB krüpteerimata infolehel asuvad ka sisselogimise ning otsingu vormid, siis on võimalik tuvastada sealt nii sisestatud kasutajanimesid kui ka otsitud märksõnu – esmapilgul ei tundu see võibolla suur turvarisk, kuid võib mõnel juhul anda pahalasele olulist infot täpsema ründe ettevalmistamiseks.
Lisaks turvalisusele on loomulikult ka teisi aspekte, millest kõige olulisemad on otsingumootoris leitavus ning maineküsimus. Google on avaldanud, et kuvab enda otsingumootori tulemustes turvalised lehed eespool kui mitteturvalised. Kui veebileht on paremini leitav, saab see ka rohkem külastusi ning eeldatavasti läbi selle edeneb ka ettevõtte äri paremini. Ettevõtte mainet puudutab peamiselt järgmisel aastal Google Chrome veebilehitsejasse lisatav täiendus, mis hakkab kasutajatele visuaalselt kuvama hoiatust et HTTP lehed on ebaturvalised - seda saab vältida HTTPS-ile üle minnes.
Mida saaks kiiresti ise ära teha, et kodulehe külastamine oleks turvalisem?
Vastus sellele küsimusele on lihtne: kodulehe omanikul tuleks kohe hakata hoolitsema oma veebikülastajate turvalisuse eest ning hakata neile pakkuma turvalist HTTPS (SSL) protokolliga veebiühendust, mis pole pealt kuulatav. See on kasulik nii sinu enda ärile kui ka üldse kogu interneti paremale turvalisusele, sest iga kaitstud leht teeb ju maailma natukene paremaks.
Veebimajutus.ee teenuste hulgas on HTTPS nüüd tasuta olemas. Kuidas selle paigaldamine käib?
Veebimajutus.ee pakub tasuta Let’s Encrypt´i SSL turvasertifikaate ning HTTPS sisaldub ilma lisatasuta juba standardpaketis. Iseteeninduses on olemas mugav tööriist kodulehe suunamiseks turvalise HTTPS-protokolli peale. Muud teha polegi vaja – kõik kasutajad, kes tulevad ka http:// kujul algavale kodulehele, suunatakse edasi turvalise https:// kujul aadressi peale.
Täpsemalt käib see nii:
- Sisene iseteenindusse ning telli Let’s Encrypt´i sertifikaat – see väljastatakse ja paigaldatakse automaatselt serverisse ca 10 minuti jooksul.
- Veendu, et tarkvara töötab – mõningate tarkvarade puhul tuleks kindlasti kasutada veebiarendaja abi, kes aitab HTTPS-ühenduse keerukamal kodulehel seadistada. Oluline on kontrollida, et nii pildid, skriptid kui ka viited kasutaksid kõik HTTPS-ühendust.
- Kui oled testinud, et kodulehekülg toimib HTTPS-protokollil kenasti, siis muuda turvaline HTTPS-ühendus ka lehe külastajate jaoks vaikimisi sätteks, sest muidu jäävad kasutajad endiselt kodulehte üle HTTP külastama. Kodulehe suunamise HTTPS-i peale saab mugava tööriista abil seadistada meie iseteeninduses (jaotus “Domeeni suunamine”) või .htaccessi abil.
Tasuta Let’s Encrypt´ile lisaks on endiselt olemas ka tasuline HTTPS. Miks see parem on?
Väikese aastatasuga HTTPS on neile, kes soovivad kangemat sertifikaati kui Let’s Encrypt, see sisaldab lisaks turvalisusele ka lehe omaniku tuvastust, saad selle tellida siit. See annab külastajale veelgi selgema garantii, et kodulehele oma andmeid jätta on turvaline.
Lisalugemist
SELGITUS: kõik ülaltoodud kodulehtede aadressid on valitud juhusliku valimi järgi, sisestades Google’isse märksõna ning jälgides esimesi otsingutulemusi. Autor ei väida, et antud kodulehed oleksid automaatselt ebaturvalised või ohtlikud, vaid toob välja, et küberturvalisust on seal mõistlik veelgi tõsta. Autor on saatnud nende kodulehtede üldisele kontaktile käesoleva artikli. Kõiki lehekülgi on külastatud 13.10.2016.