Kun aloitat turvallista yhteyttä vaativan toiminnon internetissä, kuten verkkoselaimella sähköpostiin kirjautumisen tai teet tilauksen verkkokauppaan, sivuston palvelin lähettää selaimellesi SSL-varmenteen, joka varmistaa palvelimen identiteetin. Varmenne sisältää erilaisia tunnistetietoja, kuten verkkosivuston osoitteen. Tietojen oikeellisuuden on vahvistanut selaimesi luotettavana pitämä kolmannen osapuolen varmentaja (esim. Symantec).

Klikkaa verkkoselaimen osoiterivillä näkyvää lukkoa, niin saat näkyviin varmenteen ja muuta tietoa sivustosta, jolla sillä hetkellä olet.

Varmenteesta täytyy monen muun asian lisäksi tarkistaa kaksi tärkeää asiaa:
1. Verkkosivuston osoite.
2. Varmenteen voimassaolo.

Jos verkkoselaimesi huomaa kumman tahansa olevan pielessä, saat siitä ilmoituksen. Sillä pyritään varmistamaan, että et luovuttaisi tietojasi verkkorikolliselle tai muulle huijarille, joka on aikeissa varastaa käyttäjänimesi ja salasanasi. Sellaiselle sivustolle, josta verkkoselain varoittaa, ei kannata siirtyä.

Entä sitten varoitus, joka koskee nimenomaan SSL varmenteen voimassaoloa? Varmenteen allekirjoittajan on pidettävä luetteloa ei enää voimassaolevista varmenteista tarkistuspalvelussa OCSP (Online Certificate Status Protocol), joka oli aikaisemmalta nimeltään varmenteiden sulkulista CRL (Certificate Revocation List). Käsitteiden OSCP ja SSL Revocation selitykset englanniksi. Verkkoselaimet tarkistavat tästä palvelusta varmenteiden voimassaolon.

Pari vuotta sitten DigiNotar niminen varmentaja joutui vakavan tietomurron uhriksi iranilaisen hakkerin saatua haltuunsa väärennettyjä varmenteita. Kohteina oli kymmeniä verkkotunnuksia, joiden joukossa oli muun muassa yleisesti tunnettuja sähköposti , pikaviesti ja ääniviestipalveluja. Tapauksen myötä kaikki merkittävät verkkoselainohjelmien kehittäjät joutuivat poistamaan DigiNotarin luotettavien varmentajien luettelosta.

Jos tällaisessa tilanteessa verkon käyttäjät vain ohittavat selainohjelman varoitukset, heidän tunnuksena ja salasanansa saatetaan varastaa. DigiNotar lopetti toimintansa, sillä tapauksen jälkeen kukaan ei enää luottanut sen varmenteisiin. Sen myöntämät varmenteet lisättiin kumottujen varmenteiden luetteloon.

Jos huomaat ilmoituksen, jossa varmenteen kerrotaan olevan vanhentunut, sinun ei tulisi jatkaa sivustolle.

On tietysti muitakin syitä, miksi verkkoselain varoittaa käyttäjiä mahdollisista tietoturvaongelmista:
• Verkkopalvelimen SSL varmenne on asennettu väärin.
• Verkkoselain ei luota myöntäjänä toimivaan varmentajaan (englanninkielisessä blogikirjoituksessa lisää tietoa).
• Sivustolla on käytössä itse allekirjoitettu varmenne, jolloin selainohjelma ei luota siihen.
• Sivustolle on voitu tartuttaa haittaohjelmisto, ja hakukone on merkinnyt sivuston haitallisten sivujen mustalle listalle.

Mikä tahansa tietoturvailmoituksen syy onkin, selainohjelman ilmoituksiin on aina suhtauduttava vakavasti. Ilmoitusten syytä ei aina itse pysty selvittämään, mutta itse voi aina päättää olla menemättä sellaiselle sivustolle.

Mikäli olet itse tekemisissä palvelimen kanssa, jonne käyttäjät kytkeytyvät turvallisella yhteydellä, ota seuraavat asiat huomioon turhien tietoturvavaroitusten välttämiseksi:
• Varmista SSL varmenteen oikea asennus. Tarkista asennus osoitteesta https://ssl-tools.verisign.com löytyvien työkalujen avulla.
• Kokeile myös Qualysin palvelintarkistustyökalua, jolla voi varmistaa koko varmenneketjun asennuksen. Työkalu varmistaa myös, että haavoittuneet yhteyskäytännöt ja salakirjoitusmenetelmät on poistettu käytöstä. Samalla voi tarkistaa verkkosivuston SSL toteutuksen toimivuuden.
• Aseta kalenteri muistuttamaan SSL varmenteiden vanhenemisajankohdasta. Muista myös, että usein varmenteet voi uusia jo 90 päivää etukäteen.
• Jos yrityksesi käytössä on lukuisia varmenteita, kannattaa harkita Symantecin Certificate Intelligence Centerin kaltaista ratkaisua, jonka avulla varmenteita voidaan valvoa. Se myös hoitaa Symantec SSL varmenteiden hallinnan ja uusimisen automaattisesti.
• Tutki säännöllisesti, ettei hallitsemallasi sivustolla ole haittaohjelmistoja tai haavoittuvuuksia.
• Symantecin asiakkaat voivat ottaa yhteyttä tukitiimiin ympäri vuorokauden kaikkina viikonpäivinä.

Luottamus on verkkokaupankäynnin ja verkkoviestinnän elinehto. Olemme velkaa itsellemme ja asiakkaillemme sen, että asiat ovat siltä osin kunnossa.