HTTP “pole turvaline” ehk kuidas veeb HTTPS peale suunata?

Google on võtnud eesmärgiks jõuda 2018 aasta lõpuks olukorrani, kus turvaline HTTPS ühendus on standard mida ei pea brauseri aadressi-ribal eraldi esile tooma. Sellega kaasneb paraku see, et ebaturvalist HTTP-ühendust kasutavad veebid saavad endale külge märke “Pole turvaline”.

Sellist teadet hakkab kuvama juba juulis ilmuv Google Chrome versioon 68:

Oktoobris ilmuvas Chrome versioonis  70 saab see teade olema ka punasega esile toodud, kui kasutaja veebilehel midagi sisestama hakkab:

Midagi uut selles ei ole, näiteks 2017 jaanuaris oleme kirjutanud blogis Chrome 56, “Not Secure” HTTP ja kuidas kolida HTTPS peale ning makseandmeid käsitlevate veebide puhul nõutakse juba ka HTTPS puhul vanemate standardite välistamist:  30. juunist jõustub e-kaubanduse jaoks oluline HTTPS nõue. Kuigi meie serverite liiklusest on üle poole HTTPS, kasutab umbes 2/3 meie (väiksemate) klientide veebidest endiselt HTTP-ühendust.

Miks HTTPS vajalik on?

Turvamata ühenduse puhul on näiteks WiFis võimalik salvestada kõik kasutaja brauseri ja serveri vahel liikunud info, sh kasutajanimed ja paroolid, samuti on mitmeid võimalusi kasutaja võlts-lehele suunamiseks. See pilt on tehtud salvestades WiFi-liiklust:

Kuidas HTTPS veebiühendust kaitseb?

Kahel moel:

  1. veebibrauseri ja serveri vaheline side krüpteeritakse (šifreeritakse)
  2. enne iga ühenduse loomist kontrollib brauser, et ta suhtleks ikka õige serveriga – sest kui liiklust saab “pealt kuulata”, siis saab ilmselt ka “vahele rääkida”

Kuidas oma veeb turvalise HTTPS peale suunata?

Me oleme proovinud kõik HTTPS kasutuselevõtuga seonduva võimalikult lihtsaks teha ja ära automatiseerida. Enamus järgmistest sammudest tähendab vaid ühte klõpsu Minu Zone iseteeninduses:

  1. TLS sertifikaati tellimine – me toetame tasuta Let’s Encrypt sertifikaate, nende väljastamine ja uuendamine on täielikult automatiseeritud. Kas aga tasuta on piisavalt hea? Sama sertifikaati kasutab näiteks Majandus- ja Kommunikatsiooniministeerium, seega kui sobib valitsusasutusele sobib ka Sulle!
  2. Veebiserveri seadistamine selle sertifikaadi ja HTTPS ühenduse kasutamiseks. Automatiseeritud!
  3. Veebirakenduse (WordPress, Magento jt) seadistamine võib vajada veidike seadistuste muutmist ja teatavatel puhkudel ka pisiparandusi koodist. Vaata allolevaid juhiseid ja kui hätta jääd, kirjuta info@zone.ee (hüva nõu saame jagada niisama, aga kui on reaalselt vaja aega panustada, siis küsime tunnihinda).

Me oleme teinud üksikasjalikud juhised levinumate veebirakenduste seadistamiseks mis sisaldavad nii punkt-haaval lahti kirjutatud tegevusi kui video-õpetust:

Erijuhendita rakenduste puhul võib alustada nupust Suuna liiklus HTTPS peale:

Sertifikaadi tellimine ja aktiveerimine võtab reeglina umbes 10 minutit aega. Kui see ei õnnestu või veeb uues olukorras ei toimi, saab suunamise samast välja lülitada, veeb jätkab tööd HTTP ühenduse peal ning HTTPS korda tegemisega võib rahulikult edasi tegeleda.

Kui täis-automaatne protsess riskantne tundub, siis võib mõistagi ka lisada Let’s Encrypt sertifikaadi, veenduda ca 10 minuti pärast HTTPS toimimises, teha veebirakenduses muudatused ja seejärel lisada kogu liikluse suunamise:

Ja nagu öeldud – kui tekib küsimus, siis võid kasutada postituse kommentaare või kirjutada info@zone.ee ja nõu küsida. Aga võid tulla ka meie help-zone Slack’i chatti 😉