Kun selaat verkkoa, tietosi kulkevat oman laitteesi ja palvelimen v\u00e4lill\u00e4 monen verkon kautta. Matkalla on reitittimi\u00e4, palveluntarjoajia ja langattomia verkkoja, joiden kautta liikenne kulkee. Ilman suojausta kuka tahansa n\u00e4ist\u00e4 v\u00e4lik\u00e4sist\u00e4 voisi lukea l\u00e4hett\u00e4m\u00e4si tiedon tai jopa muuttaa sit\u00e4. HTTPS ja sen taustalla toimiva TLS ratkaisevat t\u00e4m\u00e4n ongelman salaamalla yhteyden niin, ett\u00e4 vain sin\u00e4 ja oikea palvelin pystytte lukemaan liikenteen.<\/p>\n
HTTPS on tuttu verkko-osoitteiden alusta. Se on sama protokolla kuin tavallinen HTTP, mutta sen p\u00e4\u00e4lle on lis\u00e4tty salauskerros. T\u00e4m\u00e4n kerroksen nimi on TLS, joka tarkoittaa kuljetuskerroksen suojausta. Vaikka n\u00e4et selaimessa sanan HTTPS, varsinaisen suojausty\u00f6n tekee TLS. Vanhempi nimitys samalle tekniikalle oli SSL, ja termi el\u00e4\u00e4 yh\u00e4 puhekieless\u00e4, vaikka itse vanhat SSL-versiot ovat jo poistuneet k\u00e4yt\u00f6st\u00e4 turvattomina.<\/p>\n
TLS antaa yhteydelle kolme erillist\u00e4 suojaa, ja niiden erottaminen toisistaan auttaa ymm\u00e4rt\u00e4m\u00e4\u00e4n, mit\u00e4 lukon kuvake todella lupaa.<\/p>\n
Ensimm\u00e4inen suoja on salaus. TLS muuntaa l\u00e4hetett\u00e4v\u00e4n tiedon muotoon, jota ulkopuolinen ei pysty lukemaan. Vaikka joku onnistuisi kaappaamaan liikenteen esimerkiksi avoimessa langattomassa verkossa, h\u00e4n n\u00e4kee vain sekavaa salattua dataa. T\u00e4m\u00e4 est\u00e4\u00e4 salakuuntelun, joka olisi muuten helppoa monessa verkossa. Salasanasi, viestisi ja maksutietosi pysyv\u00e4t piilossa matkan ajan.<\/p>\n
Toinen suoja on eheys. TLS varmistaa, ettei tietoa ole muutettu matkalla. Jokaiseen l\u00e4hetettyyn viestiin liitet\u00e4\u00e4n tarkiste, jonka avulla vastaanottaja voi havaita, jos sis\u00e4lt\u00f6\u00e4 on peukaloitu. Jos v\u00e4lik\u00e4si yritt\u00e4\u00e4 muuttaa edes yht\u00e4 merkki\u00e4, tarkiste ei en\u00e4\u00e4 t\u00e4sm\u00e4\u00e4 ja yhteys hyl\u00e4t\u00e4\u00e4n. T\u00e4m\u00e4 est\u00e4\u00e4 hy\u00f6kk\u00e4ykset, joissa hy\u00f6kk\u00e4\u00e4j\u00e4 yritt\u00e4\u00e4 livauttaa liikenteeseen oman sis\u00e4lt\u00f6ns\u00e4, esimerkiksi v\u00e4\u00e4rennetyn maksum\u00e4\u00e4r\u00e4yksen tai haitallisen koodin.<\/p>\n
Kolmas suoja on todennus, ja se on usein v\u00e4hiten ymm\u00e4rretty. TLS ei pelk\u00e4st\u00e4\u00e4n salaa yhteytt\u00e4, vaan se my\u00f6s varmistaa, ett\u00e4 puhut juuri sen palvelimen kanssa, jonka kanssa luulet puhuvasi. Ilman t\u00e4t\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4 voisi asettua v\u00e4liin ja esiinty\u00e4 pankkinasi vaikka yhteys olisi salattu. Todennus toteutetaan varmenteilla, ja juuri ne tekev\u00e4t HTTPS:st\u00e4 luotettavan eiv\u00e4tk\u00e4 pelk\u00e4st\u00e4\u00e4n salatun.<\/p>\n
Varmenne on s\u00e4hk\u00f6inen todistus, joka liitt\u00e4\u00e4 tietyn verkkotunnuksen tiettyyn julkiseen avaimeen. Kun otat yhteyden palvelimeen, se esitt\u00e4\u00e4 varmenteensa, ja selaimesi tarkistaa sen. Varmenne kertoo, kenelle se on my\u00f6nnetty, kuka sen on my\u00f6nt\u00e4nyt ja kuinka kauan se on voimassa.<\/p>\n
Varmenteen luotettavuus perustuu siihen, kuka sen on allekirjoittanut. Varmentaja on luotettu taho, jonka teht\u00e4v\u00e4 on varmistaa hakijan henkil\u00f6llisyys tai verkkotunnuksen hallinta ennen varmenteen my\u00f6nt\u00e4mist\u00e4. Selaimet ja k\u00e4ytt\u00f6j\u00e4rjestelm\u00e4t sis\u00e4lt\u00e4v\u00e4t valmiin listan luotetuista varmentajista. Kun palvelimen varmenne on jonkin t\u00e4llaisen varmentajan allekirjoittama, selain hyv\u00e4ksyy sen. Jos varmenne on itse allekirjoitettu, vanhentunut tai my\u00f6nnetty v\u00e4\u00e4r\u00e4lle verkkotunnukselle, selain n\u00e4ytt\u00e4\u00e4 varoituksen.<\/p>\n
T\u00e4m\u00e4 luottamusketju on koko j\u00e4rjestelm\u00e4n ydin. Sinun ei tarvitse luottaa jokaiseen verkkosivustoon erikseen, vaan sinun riitt\u00e4\u00e4 luottaa varmentajiin, ja ne takaavat sivustojen henkil\u00f6llisyyden. J\u00e4rjestelm\u00e4 ei ole t\u00e4ydellinen, sill\u00e4 varmentajakin voi tehd\u00e4 virheen tai joutua v\u00e4\u00e4rink\u00e4yt\u00f6n kohteeksi, mutta k\u00e4yt\u00e4nn\u00f6ss\u00e4 se toimii ja muodostaa luotettavan perustan verkkokaupalle ja viestinn\u00e4lle.<\/p>\n
Varmenteiden allekirjoitus nojaa tiivistefunktioihin. Allekirjoitettaessa varmenteen sis\u00e4ll\u00f6st\u00e4 lasketaan tiiviste, joka sitten allekirjoitetaan varmentajan yksityisell\u00e4 avaimella. Selain laskee saman tiivisteen ja tarkistaa allekirjoituksen, jolloin se havaitsee, jos varmennetta on muutettu. Jos tiivistefunktio on heikko ja kaksi eri sis\u00e4lt\u00f6\u00e4 voidaan saada tuottamaan sama tiiviste, koko allekirjoituksen luotettavuus murenee. Juuri t\u00e4st\u00e4 syyst\u00e4 vanhentuneista tiivistefunktioista on luovuttu varmenteissa. Tiivistefunktioiden toimintaa ja niiden murtumista k\u00e4sitell\u00e4\u00e4n tarkemmin salausta<\/a> koskevassa osiossa.<\/p>\n Kun avaat HTTPS-sivun, laite ja palvelin k\u00e4yv\u00e4t l\u00e4pi lyhyen aloituskeskustelun, jota kutsutaan k\u00e4ttelyksi. Sen aikana ne sopivat k\u00e4ytett\u00e4vist\u00e4 menetelmist\u00e4, palvelin esitt\u00e4\u00e4 varmenteensa ja osapuolet muodostavat yhteisen salaisen avaimen, jolla varsinainen liikenne salataan. Avaimen muodostaminen tapahtuu niin, ettei sit\u00e4 l\u00e4hetet\u00e4 koskaan sellaisenaan verkon yli, joten salakuuntelija ei pysty kaappaamaan sit\u00e4.<\/p>\n K\u00e4ttelyn j\u00e4lkeen kaikki liikenne kulkee salattuna t\u00e4m\u00e4n yhteisen avaimen avulla. T\u00e4m\u00e4 tapahtuu sekunnin murto-osassa, etk\u00e4 yleens\u00e4 huomaa siit\u00e4 mit\u00e4\u00e4n muuta kuin lukon kuvakkeen osoiterivill\u00e4. Nykyaikaiset menetelm\u00e4t on my\u00f6s suunniteltu siten, ett\u00e4 aiemmin tallennettu liikenne pysyy turvassa, vaikka palvelimen pitk\u00e4aikainen avain my\u00f6hemmin paljastuisi.<\/p>\n Selaimen osoiterivill\u00e4 n\u00e4kyv\u00e4 lukko kertoo, ett\u00e4 yhteys palvelimeen on salattu ja varmenne on kunnossa. T\u00e4m\u00e4 on t\u00e4rke\u00e4 signaali, mutta se ei tarkoita, ett\u00e4 sivusto olisi rehellinen tai turvallinen kaikilta osin. Lukko todistaa, ett\u00e4 yhteys on suojattu ja ett\u00e4 puhut juuri sen verkkotunnuksen kanssa, joka osoiterivill\u00e4 lukee. Se ei kerro mit\u00e4\u00e4n siit\u00e4, mit\u00e4 sivusto tekee tiedoillasi tai onko sivuston omistaja luotettava.<\/p>\n T\u00e4m\u00e4 ero on t\u00e4rke\u00e4 tietojenkalastelun kannalta. My\u00f6s huijaussivusto voi hankkia varmenteen ja n\u00e4ytt\u00e4\u00e4 lukon kuvaketta, koska varmenteen saaminen on nyky\u00e4\u00e4n helppoa ja ilmaista. Lukko ei siis takaa, ett\u00e4 olet oikealla sivustolla, vaan ainoastaan, ett\u00e4 yhteys siihen sivustoon, jonka osoite n\u00e4kyy, on salattu. Tarkista siksi aina osoiterivin verkkotunnus huolellisesti, sill\u00e4 huijarit k\u00e4ytt\u00e4v\u00e4t usein l\u00e4hes oikealta n\u00e4ytt\u00e4vi\u00e4 mutta hieman muutettuja osoitteita. Aihetta k\u00e4sitell\u00e4\u00e4n tarkemmin tietojenkalastelua<\/a> koskevassa artikkelissa.<\/p>\n HTTPS:n hy\u00f6ty korostuu erityisesti avoimissa langattomissa verkoissa, joita on kahviloissa, lentokentill\u00e4 ja hotelleissa. T\u00e4llaisessa verkossa liikenne kulkee jaetun yhteyspisteen kautta, ja periaatteessa kuka tahansa samassa verkossa oleva voi yritt\u00e4\u00e4 tarkkailla muiden liikennett\u00e4. Ennen HTTPS:n yleistymist\u00e4 t\u00e4m\u00e4 oli todellinen ongelma, koska salaamaton liikenne oli helposti luettavissa.<\/p>\n Kun yhteys on suojattu TLS:ll\u00e4, avoimen verkon riski pienenee merkitt\u00e4v\u00e4sti. Vaikka joku tarkkailisi liikennett\u00e4, h\u00e4n n\u00e4kee vain salattua dataa eik\u00e4 p\u00e4\u00e4se k\u00e4siksi salasanoihisi tai viesteihisi. T\u00e4m\u00e4 ei kuitenkaan poista varovaisuuden tarvetta. Avoimessa verkossa kannattaa varmistaa, ett\u00e4 jokainen sivu, jolla sy\u00f6t\u00e4t arkaluonteista tietoa, k\u00e4ytt\u00e4\u00e4 HTTPS:\u00e4\u00e4, eik\u00e4 ep\u00e4m\u00e4\u00e4r\u00e4isilt\u00e4 vaikuttaviin varmennevaroituksiin pid\u00e4 koskaan suostua. Jos selain varoittaa varmenteesta avoimessa verkossa, joku saattaa yritt\u00e4\u00e4 asettua v\u00e4liisi ja palvelimen v\u00e4liin.<\/p>\n Hy\u00f6kk\u00e4yst\u00e4, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 asettuu sinun ja palvelimen v\u00e4liin lukeakseen tai muuttaakseen liikennett\u00e4, kutsutaan v\u00e4list\u00e4vedoksi. Hy\u00f6kk\u00e4\u00e4j\u00e4 yritt\u00e4\u00e4 saada laitteesi luulemaan, ett\u00e4 se puhuu oikean palvelimen kanssa, vaikka liikenne kulkeekin h\u00e4nen kauttaan. Juuri t\u00e4t\u00e4 vastaan TLS:n todennus suojaa. Koska hy\u00f6kk\u00e4\u00e4j\u00e4ll\u00e4 ei ole oikean palvelimen varmennetta eik\u00e4 siihen kuuluvaa salaista avainta, h\u00e4n ei pysty esiintym\u00e4\u00e4n palvelimena ilman, ett\u00e4 selain havaitsee varmenteen olevan v\u00e4\u00e4r\u00e4 ja n\u00e4ytt\u00e4\u00e4 varoituksen. T\u00e4m\u00e4 on yksi syy siihen, miksi varmennevaroitusta ei pid\u00e4 koskaan ohittaa kevyesti.<\/p>\n Sivu voidaan ladata HTTPS:n kautta, mutta se voi silti hakea osan sis\u00e4ll\u00f6st\u00e4\u00e4n, kuten kuvia tai komentosarjoja, salaamattoman HTTP-yhteyden kautta. T\u00e4llaista tilannetta kutsutaan sekoittuneeksi sis\u00e4ll\u00f6ksi, ja se heikent\u00e4\u00e4 suojaa, koska salaamaton osa on alttiina tarkkailulle ja peukaloinnille. Nykyaikaiset selaimet varoittavat sekoittuneesta sis\u00e4ll\u00f6st\u00e4 tai est\u00e4v\u00e4t sen lataamisen kokonaan, mutta ilmi\u00f6 on hyv\u00e4 tuntea. Se muistuttaa, ett\u00e4 lukon kuvake koskee yhteytt\u00e4 sivuston p\u00e4\u00e4osoitteeseen, eik\u00e4 se yksin takaa, ett\u00e4 aivan kaikki sivun osat olisi haettu suojatusti.<\/p>\n TLS suojaa tiedon matkalla laitteen ja palvelimen v\u00e4lill\u00e4, mutta ei sen ulkopuolella. Kun tieto saapuu palvelimelle, se puretaan salauksesta ja k\u00e4sitell\u00e4\u00e4n siell\u00e4. Jos palvelin on huonosti suojattu tai joutuu murron kohteeksi, TLS ei auta, koska ongelma on yhteyden p\u00e4\u00e4ss\u00e4 eik\u00e4 matkalla. Samoin jos oma laitteesi on saastunut haittaohjelmalla, se voi lukea tiedon ennen salausta tai sen j\u00e4lkeen, jolloin salaus ei est\u00e4 vahinkoa.<\/p>\n TLS ei my\u00f6sk\u00e4\u00e4n suojaa sinua, jos annat tietosi vapaaehtoisesti v\u00e4\u00e4r\u00e4lle taholle. Jos kirjoitat salasanasi huijaussivustolle, salaus toimittaa sen huijarille moitteettomasti suojattuna. Salaus on siis vain yksi kerros muiden joukossa. Se hoitaa teht\u00e4v\u00e4ns\u00e4 luotettavasti, mutta se ei korvaa tervett\u00e4 harkintaa, ajantasaista laitetta eik\u00e4 muita turvak\u00e4yt\u00e4nt\u00f6j\u00e4. Parhaan suojan saat, kun ymm\u00e4rr\u00e4t, mit\u00e4 kukin kerros tekee ja mit\u00e4 se j\u00e4tt\u00e4\u00e4 tekem\u00e4tt\u00e4.<\/p>\nMiten yhteys muodostuu<\/h2>\n
Lukon kuvake ja sen rajat<\/h2>\n
Avoimet langattomat verkot<\/h2>\n
V\u00e4list\u00e4veto<\/h3>\n
Sekoittunut sis\u00e4lt\u00f6<\/h2>\n
Mit\u00e4 TLS ei suojaa<\/h2>\n