SSL-sertifikaatti on yksi niistä asioista, joita ilman kotisivut eivät enää pärjää verkossa. Jos mietit, miksi SSL-sertifikaatti on tärkeä kotisivuille, vastaus tiivistyy kolmeen sanaan: turvallisuus, luottamus ja näkyvyys. Ilman sitä selain varoittaa kävijöitäsi, Google pudottaa sijoitustasi ja asiakkaasi lähtevät kilpailijan sivuille.
Olen nähnyt tämän käytännössä kymmeniä kertoja. Yrittäjä ihmettelee, miksi yhteydenottolomakkeesta ei tule viestejä — ja syy on se, että Chrome näyttää isolla ”Ei turvallinen” -tekstin osoiterivillä. Kukaan ei halua lähettää nimeään ja puhelinnumeroaan sivustolle, joka selaimen mielestä on turvattomuusriski.
Mitä SSL-sertifikaatti oikeastaan tekee?
SSL (nykytermein TLS) salaa kaiken tiedon, joka liikkuu käyttäjän selaimen ja palvelimen välillä. Kun SSL on käytössä, osoite alkaa https:// ja osoiterivillä näkyy lukko-ikoni. Tämä tarkoittaa, että lomakkeiden tiedot, kirjautumiset ja maksutapahtumat kulkevat salattuina eivätkä ulkopuoliset pääse niihin käsiksi.
Käytännössä tämä on sama asia kuin kirjekuori postikortin sijaan. Ilman SSL:ää kaikki tieto kulkee avoimena — kuka tahansa samassa verkossa voi periaatteessa lukea sen.
Luottamus ratkaisee — ja SSL rakentaa sitä
Tässä tulee yksi yleinen myytti: ”Minun sivuillani ei käsitellä maksutietoja, joten en tarvitse SSL:ää.” Tämä ei pidä paikkaansa. Jokainen yhteydenottolomake kerää henkilötietoja — nimi, sähköposti, puhelinnumero. Jo pelkkä evästeiden käyttö yhdistettynä IP-osoitteeseen on henkilötiedon käsittelyä GDPR:n näkökulmasta.
Mutta luottamuskysymys menee syvemmälle kuin lainsäädäntö. Kun asiakas näkee lukko-ikonin, hän ei edes mieti asiaa. Kun hän näkee ”Ei turvallinen” -varoituksen, hän miettii — ja usein poistuu. Eräs tuttu yrittäjä kertoi menettäneensä kuukauden tarjouspyynnöt ennen kuin tajusi, että ongelma oli puuttuva sertifikaatti.
SSL ja hakukonenäkyvyys
Google on käyttänyt HTTPS-yhteyttä ranking-signaalina jo vuodesta 2014. Kyse ei ole valtavasta yksittäisestä tekijästä, mutta tasavertaisten sivujen kesken se voi ratkaista kumpi näkyy korkeammalla. Ja koska sivuston nopeus vaikuttaa sekä hakukonenäkyvyyteen että käyttäjäkokemukseen, kannattaa tietää, että moderni HTTP/2-protokolla — joka nopeuttaa sivulatausta merkittävästi — vaatii käytännössä HTTPS-yhteyden toimiakseen.
Eli SSL ei ole pelkästään turvallisuusasia. Se on osa kokonaisuutta, joka tekee kotisivuistasi nopeammat, luotettavammat ja paremmin löydettävät.
Miten SSL-sertifikaatti hankitaan käytännössä?
Tässä ei tarvitse olla palvelinasentaja. Useimmat hosting-palvelut tarjoavat SSL:n automaattisesti hallintapaneelista. Yleisin vaihtoehto on Let’s Encrypt, joka on ilmainen ja uusii itsensä automaattisesti.
Askel askeleelta:
1. Tarkista hosting-palvelusi hallintapaneeli. Useimmissa löytyy ”SSL” tai ”HTTPS” -osio, josta voit ottaa Let’s Encrypt -sertifikaatin käyttöön yhdellä klikkauksella.
2. Pakota HTTPS-uudelleenohjaus. Tämä tarkoittaa, että kaikki http://-osoitteet ohjautuvat automaattisesti https://-muotoon. WordPress-sivuilla tämä onnistuu joko .htaccess-tiedostolla tai lisäosalla.
3. Päivitä sisäiset linkit ja mediasisällöt. Jos kuvat tai muut resurssit latautuvat vielä http://-osoitteesta, selain antaa ”mixed content” -varoituksen. WordPress-sivuilla Better Search Replace -lisäosa hoitaa tämän nopeasti.
4. Testaa. Avaa sivusto ja tarkista, että lukko näkyy jokaisella sivulla — ei pelkästään etusivulla. Voit käyttää esimerkiksi Qualys SSL Labs -testiä arvioimaan asennuksen laadun.
Jos ylläpidät sivustoa itse, kannattaa huolehtia myös laajemmasta kotisivujen tietoturvasta samalla kertaa.
Mitä sertifikaattityyppejä on?
DV (Domain Validation) on ylivoimaisesti yleisin. Se vahvistaa, että hallitset kyseistä domainia. Let’s Encrypt on DV-sertifikaatti ja se riittää valtaosalle yrityksistä.
OV (Organization Validation) vahvistaa myös organisaation tiedot. Jotkut isommat yritykset käyttävät tätä uskottavuuden lisäämiseksi.
EV (Extended Validation) on raskain prosessi ja kallein vaihtoehto. Aiemmin se näkyi vihreänä palkkina selaimessa, mutta selaimet ovat poistaneet tämän visuaalisen eron. Käytännössä EV ei enää tuo tavalliselle yrittäjälle lisäarvoa.
Wildcard-sertifikaatti suojaa päädomainin ja kaikki alidomainit. Hyödyllinen jos käytät esimerkiksi kauppa.yritys.fi ja blogi.yritys.fi -rakenteita.
Miksi SSL-sertifikaatti on tärkeä juuri sinun kotisivuillesi?
Tiivistettynä: hyvät kotisivut ovat turvallisia kotisivuja. SSL-sertifikaatti ei ole enää lisäominaisuus vaan perusedellytys. Se suojaa asiakkaidesi tietoja, parantaa hakukonenäkyvyyttäsi, nopeuttaa sivustoasi HTTP/2:n kautta ja ennen kaikkea — se poistaa sen ”Ei turvallinen” -varoituksen, joka karkottaa asiakkaita.
Jos sinulla on WordPress-sivusto ja hosting-palvelussa on Let’s Encrypt, koko homma on 15 minuutin työ. Ei ole mitään syytä jättää sitä tekemättä.
UKK
Maksaako SSL-sertifikaatti jotain?
Let’s Encrypt on täysin ilmainen ja tarjoaa saman salaustason kuin maksulliset DV-sertifikaatit. Useimmat hosting-palvelut tukevat sitä suoraan hallintapaneelista. Maksullisia sertifikaatteja tarvitaan lähinnä silloin, kun halutaan OV- tai EV-tason organisaatiovarmennus.
Pitääkö SSL-sertifikaattia uusia manuaalisesti?
Let’s Encrypt -sertifikaatti on voimassa 90 päivää, mutta uusiminen tapahtuu automaattisesti palvelimen puolesta. Käytännössä sinun ei tarvitse tehdä mitään, kunhan automaattiuusinta on konfiguroitu — ja useimmissa hosting-palveluissa se on oletuksena päällä.
Vaikuttaako SSL sivuston nopeuteen?
Kyllä, mutta positiivisesti. Moderni TLS-kättely on erittäin nopea, ja SSL mahdollistaa HTTP/2-protokollan käytön, joka lataa sivun resurssit rinnakkain huomattavasti tehokkaammin. Käytännössä HTTPS-sivusto on usein nopeampi kuin HTTP-vastaava.