TLS-suojaus

Internetin tietoturva

Internet on avoin tietoverkko, joka koostuu toisistaan riippumattomista yhteenliitetyistä verkoista, palvelimista, reitittimistä ja muista tietoliikennelaitteista. Internetverkon rakentamisen alkuaikoina prioriteetti oli verkon avoimuudessa, eikä suunnittelussa osattu ennakoida nykyisiä tietoturvaongelmia.

Internetin perusprotokollia rakennettaessa ei huomioitu riittävästi tietoturvallisuutta, ja osaltaan siksi internetissä asioiminen on sellaisenaan turvatonta. Tietoturvaa voidaan parantaa esimerkiksi käyttämällä salaavia yhteyskäytäntöjä sekä vahvaa todentamista hyödyntäviä käyttäjäntodennusmenetelmiä. Viimeisten vuosien aikana sekä salaavat ratkaisut että vahvan tunnistaminen ovat yleistyneet voimakkaasti.

TLS-protokolla

www-sivujen selailun suojaukseen käytetään useimmiten TLS-protokollaa (Transport Layer Security). Aikaisemmin puhuttiin yleisesti SSL-salauksesta, mutta koska SSL-käyttö on monelta osin osoittautunut turvattomaksi, on verkossa siirrytty uudempiin salausteknologioihin kuten TLS 1.2.

TLS mahdollistaa yhteyden vahvan salaamisen käyttäjän www-selainohjelman ja www-palvelimen välillä. Salaus suojaa tietoliikenteen siten, että ulkopuolinen tarkkailija ei yhteyttä seuraamalla pysty näkemään luottamuksellisia tietojasi.

TLS-yhteys alkaa "turvakättelyllä", jolla saadaan muodostettua suojattu yhteys asiakkaan www-selainohjelman ja www-palvelimen välille. Tässä kättelyssä asiakasohjelmisto ja palvelin sopivat yhteyskohtaisista ja kertakäyttöisistä salakirjoitusavaimista. Niitä käytetään istunnon ajan tiedon salaamiseen ja tulkintaan.

Yhteyden salaamisen lisäksi TLS-protokolla mahdollistaa palvelutarjoajan vahvan todentamisen varmenteiden avulla. Todennus tapahtuu siten, että palvelimella on oma palvelinvarmenne, jonka perusteella käyttäjä voi varmistua kommunikoivansa oikean www-palvelimen kanssa.

TLS -salauksesta on olemassa eri versioita. Salauksen vahvuudesta kertoo mm. salausavaimen pituudesta kertova luku. Mitä pidempi avain on, sitä vaikeampi salausta on murtaa, joten 256 -bittinen salaus on huomattavan paljon turvallisempi 128 bittinen tai 40-bittinen salaus.

Suojaamatonta yhteyttä voidaan verrata vaikkapa postikortin lähettämiseen postin kautta. Kaikki korttia käsittelevät voivat myös nähdä sen sisällön. 40- ja 56-bittinen salaus vastaa suunnilleen kirjekuoren käyttöä, kun taas 256-bittinen salaus on kuin sisällön sulkemista kassakaappiin, joka toimitetaan vartioituna perille.

Käytännössä kaikki yleisimpien selainohjelmistojen uusimmat versiot tukevat 256 tai vähintään 128-bittistä salausta.

Yleisesti tunnettu varmenteen myöntäjä (CA) sekä Extended Validation (EV) -varmenne

Jotta turvattu yhteys voidaan luoda palvelimelle, tarvitaan TLS-varmenne, jonka on allekirjoittanut yleisesti tunnettu varmenteen myöntäjä. Kun varmenteen on allekirjoittanut luotettu taho, varmenne hyväksytään selaimessa (Chrome, Firefox, Internet Explorer, Edge, Safari ym.) sellaisenaan takeena siitä, että sivusto on luotettava ja se joka se väittää olevansa.

Extended Validation (EV) on varmenne, jolla on korkein suojataso takaamassa normaalia varmennetta tehokkaammin, että käyttäjä on varmasti asioimassa oikean yhtiön sivuilla. Myöntääkseen EV-varmenteen varmentaja suorittaa hakijasta tehostetun tarkistusprosessin. Siinä käydään läpi yrityksen viralliset asiakirjat, todennetaan varmennetta hakeva henkilö ja tiedot tarkistetaan kolmannen osapuolen tietokannasta.

EV-varmenteen käyttö on helppo havaita, koska turvalukon ja HTTPS:n lisäksi EV-varmenteella suojattu sivusto muuttaa osoitekentässä olevan yrityksen nimen vihreäksi.

Verkkosivujen suojaus Ifissä

If käyttää TLS-yhteyksiä aina, kun lähetetään suojausta vaativia tietoja Internet-yhteyden kautta. Ifissä suojataan liikenne julkisella sivustolla oleville lomakkeille ja sivuille, joihin edellytetään sisäänkirjautumista. Käytämme TLS-yhteyksissä viimeisintä turvalliseksi todettua TLS-versiota sekä 256-bittistä salausta.

Lisäksi käytämme julkisissa sivustoissamme Extended Validation –varmenteita, jolloin sivujen käyttäjä voi olla varma, että asioi oikean tahon kanssa. Ifin sivuilla asioidessaan käyttäjä voi tarkistaa selaimen osoitepalkista, että varmennettu yhtiö on If Vahinkovakuutusyhtiö Oy. Tarkistus tehdään painamalla hiirellä selaimen osoitekentän vihreää yhtiönimeä, jolloin käyttäjä saa nähtäväkseen käytetyn varmenteen tekniset tiedot. Tällä tavoin käyttäjä voi varmistua siitä, että kukaan ei yritä harhauttaa häntä Ifin nimissä. Ifin verkkopalveluiden käyttö on täysin turvallista, kun varmistaa, että yhteys on muodostettu oikeaan palveluun.