Haku
Tyhjennä haku
Sulje haku
Google-sovellukset
Päävalikko
true

Sivuston suojaaminen HTTPS-protokollan avulla

Sivuston ja käyttäjien suojaaminen

Mitä HTTPS tarkoittaa?

HTTPS (Hypertext Transport Protocol Secure) on verkkoviestintäprotokolla, joka suojaa tietojen eheyttä ja luottamuksellisuutta käyttäjän tietokoneen ja sivustosi välillä. Käyttäjät odottavat verkkosivustolta turvallista ja yksityistä verkkokokemusta. Sinun kannattaa ottaa HTTPS käyttöön suojellaksesi käyttäjien ja verkkosivustosi välistä yhteyttä, sivuston sisällöstä riippumatta.

Tiedot suojataan HTTPS:ssä Transport Layer Security ‑protokollalla (TLS), jossa on kolme tärkeää suojaustasoa:

  1. Salaus – välitettyjen tietojen salaaminen niiden suojaamiseksi luvattomilta käyttäjiltä. Tämä tarkoittaa, että käyttäjän selatessa verkkosivustoa kukaan ei voi "kuunnella" keskusteluja, seurata toimintoja useilla sivuilla tai varastaa tietoja.
  2. Tiedon eheys – tietoja ei voi huomaamatta muokata tai vahingoittaa siirron aikana tahallisesti tai tahattomasti.
  3. Todennus – todistaa, että käyttäjä viestii tarkoitetun verkkosivuston kanssa. Tämä estää välistävetohyökkäyksiä ja lisää käyttäjän luottamusta, mikä hyödyttää yritystä.

HTTPS-asetusten parhaat käytännöt

Käytä tehokkaita suojausvarmenteita

Suojausvarmenne on hankittava osana HTTPS:n käyttöönottoa sivustollasi. Varmenteen myöntää varmentaja (Certificate Authority, CA), joka vahvistaa, että verkko-osoitteesi kuuluu organisaatiollesi. Näin asiakkaita suojataan välistävetohyökkäyksiltä. Varmista korkea suojaustaso valitsemalla 2048-bittinen avain, kun asetat varmenteen. Jos sinulla on jo varmenne, jolla on heikompi avain (1024-bittinen), päivitä se 2048-bittiseksi. Muista seuraavat asiat, kun valitset sivuston varmennetta:

  • Hanki varmenteesi luotettavalta varmentajalta, joka tarjoaa teknistä tukea.
  • Valitse sopiva varmenne:
    • Yksittäinen varmenne yksittäiselle suojatulle lähteelle (esim. www.example.com).
    • Usean verkkotunnuksen varmenne usealle hyvin tunnetulle suojatulle lähteelle (esim. www.example.com, cdn.example.com, example.co.uk).
    • Korvausvarmenne suojatulle lähteelle, jossa on useita dynaamisia aliverkkotunnuksia (esim. a.example.com, b.example.com).

Käytä palvelinpuolen 301-uudelleenohjauksia

Uudelleenohjaa käyttäjät ja hakukoneet HTTPS-sivulle tai ‑resurssiin palvelinpuolen 301 HTTP ‑uudelleenohjauksilla.

Varmista, että Google voi indeksoida HTTPS-sivusi

  • Älä estä HTTPS-sivujasi robots.txt-tiedostoilla.
  • Älä sisällytä noindex-sisällönkuvaustageja HTTPS-sivuihisi.
  • Varmista Hae kuten Google ‑työkalulla, että Googlebot pääsee sivuillesi.

HSTS:n tukeminen

HTTPS-sivustojen kannattaa tukea HSTS:ää (HTTP Strict Transport Security). HSTS käskee selainta pyytämään automaattisesti HTTPS-sivuja, vaikka käyttäjä kirjoittaa selaimen osoitepalkkiin http. Se myös ohjaa Googlen näyttämään suojatut URL-osoitteet hakutuloksissa. Näin minimoidaan riski suojaamattoman sisällön näyttämisestä käyttäjille.

Voit tukea HSTS:ää käyttämällä sitä tukevaa verkkopalvelinta ja ottamalla toiminnon käyttöön.

HSTS on turvallisempi, mutta se tekee version palauttamisesta monimutkaisempaa. HSTS kannattaa ottaa käyttöön näin:

  1. Julkaise HTTPS-sivusi ensin ilman HSTS:ää.
  2. Ala lähettämään HSTS-otsikoita, joilla on lyhyt käyttöikä. Tarkkaile käyttäjien ja muiden asiakkaiden liikennettä sekä sivustasi riippuvaisten kohteiden, esim. mainosten, tuloksia.
  3. Lisää hitaasti HSTS:n enimmäisikää.
  4. Jos HSTS ei vaikuta käyttäjiin tai hakukoneisiin negatiivisesti, voit halutessasi pyytää sivustosi lisäämistä Chromen HSTS-esilatausluetteloon.

HSTS-esilatauksen käyttäminen

Jos otat HSTS:n käyttöön, voit halutessasi lisätä suojaustasoa ja suorityskykyä tukemalla HSTS-esilatausta. Ota esilataus käyttöön siirtymällä osoitteeseen hstspreload.org ja noudattamalla sivustoasi koskevia pyyntövaatimuksia.

Yleisiä virheitä

Kun suojaat sivustosi TLS:llä, vältä seuraavia virheitä:

Ongelma Toimenpide
Vanhentuneet varmenteet Varmista, että varmenteesi on aina ajan tasalla.
Varmenne on rekisteröity väärällä verkkosivuston nimellä Varmista, että sinulla on varmenne kaikille sivustoa käyttäville palvelinnimille. Jos varmenne esimerkiksi kattaa vain osoitteen www.example.com, lataaminen osoitteella example.com (ilman www.-etuliitettä) aiheuttaa varmenteen nimivirheen.
Puuttuva palvelinnimen tunnistus (SNI) ‑tuki Varmista, että verkkopalvelimesi tukee SNI:tä ja että käyttäjäsi käyttävät tuettuja selaimia yleisesti. Vaikka kaikki modernit selaimet tukevat SNI:tä, tarvitset erillisen IP:n, jos sinun on tarjottava tuki vanhemmille selaimille.
Lukuongelmat Älä estä HTTPS-sivustosi lukemista käyttämällä robots.txt-tiedostoa.
Indeksointiongelmat Salli sivujesi indeksointi hakukoneille, jos mahdollista. Vältä noindex-sisällönkuvaustagia.
Vanhat protokollaversiot Vanhat protokollaversiot ovat haavoittuvaisia. Varmista, että sinulla on viimeisimmät ja uusimmat TLS-kirjastoversiot, ja ota käyttöön uusimmat protokollaversiot.
Sekoitetut suojauselementit Upota vain HTTPS-sisältöä HTTPS-sivuille.
Erilainen sisältö HTTP- ja HTTPS-versioissa Varmista, että HTTP-sivustosi ja HTTPS-sivustosi sisältö on sama.
HTTP-tilakoodivirheet HTTPS:ssä Varmista, että verkkosivustosi palauttaa oikean HTTP-tilakoodin. Esimerkiksi 200 OK käytettäville sivuille ja 404 tai 410 sivuille, joita ei ole olemassa.

Lisää vinkkejä

Katso Usein kysytyt kysymykset HTTPS:ään siirtymisestä, jos haluat lisää ohjeita HTTPS-sivujen käyttämisestä sivustollasi.

HTTP:stä HTTPS:ään siirtyminen

Kun vaihdat sivustosi protokollan HTTP:stä HTTPS:ään, Google pitää muutosta sivuston siirtämisenä, johon kuuluu URL-osoitteen muutos. Liikennemääräsi voivat tilapäisesti vaihdella tämän vuoksi. Lue lisää sivuston siirto ‑sivulta.

Lisää HTTPS-sivusto Search Consoleen. Search Console käsittelee HTTP:n ja HTTPS:n erikseen, eikä näiden sivustojen tietoja jaeta Search Consolessa. Jos sinulla on sivuja molemmissa protokollissa, sinulla on oltava kummallekin erillinen Search Console ‑sivusto.

Lisätietoja

Lisätietoa TLS:n käyttöönotosta sivustollasi:

Oliko tästä artikkelista hyötyä?
Miten sivua voisi parantaa?