Haku
Tyhjennä haku
Sulje haku
Google-sovellukset
Päävalikko

Sivuston suojaaminen HTTPS-protokollan avulla

Sivuston ja käyttäjien suojaaminen

Mitä HTTPS tarkoittaa?

HTTPS (Hypertext Transport Protocol Secure) on verkkoviestintäprotokolla, joka suojaa tietojen eheyttä ja luottamuksellisuutta käyttäjän tietokoneen ja sivustosi välillä. Käyttäjät odottavat saavansa turvallisen ja yksityisen verkkokokemuksen käyttäessään verkkosivustoa. Suosittelemme ottamaan HTTPS:n käyttöön suojellaksesi käyttäjien ja verkkosivustosi välistä yhteyttä, sivuston sisällöstä riippumatta.

Tiedot suojataan HTTPS:ssä Transport Layer Security ‑protokollalla (TLS), joka tarjoaa kolme tärkeää suojaustasoa:

  1. Salaus – välitettyjen tietojen salaaminen niiden suojaamiseksi luvattomilta käyttäjiltä. Tämä tarkoittaa, että käyttäjän selatessa verkkosivustoa kukaan ei voi "kuunnella" keskusteluja, seurata toimintoja useilla sivuilla tai varastaa tietoja.
  2. Tiedon eheys – tietoja ei voi huomaamatta muokata tai vahingoittaa siirron aikana tahallisesti tai tahattomasti.
  3. Todennus – todistaa, että käyttäjä viestii tarkoitetun verkkosivuston kanssa. Tämä estää välistävetohyökkäyksiä ja lisää käyttäjän luottamusta, mikä hyödyttää yritystä.

HTTPS-asetusten parhaat käytännöt

Käytä tehokkaita suojausvarmenteita

Suojausvarmenne on hankittava osana HTTPS:n käyttöönottoa sivustollasi. Varmenteen myöntää varmentaja (Certificate Authority, CA), joka vahvistaa, että verkko-osoitteesi kuuluu organisaatiollesi. Näin asiakkaita suojataan välistävetohyökkäyksiltä. Varmista korkea suojaustaso valitsemalla 2048-bittinen avain, kun asetat varmenteen. Jos sinulla on jo varmenne, jolla on heikompi avain (1024-bittinen), päivitä se 2048-bittiseksi. Muista seuraavat asiat, kun valitset sivuston varmennetta:

  • Hanki varmenteesi luotettavalta varmentajalta, joka tarjoaa teknistä tukea.
  • Valitse sopiva varmenne:
    • Yksittäinen varmenne yksittäiselle suojatulle lähteelle (esim. www.example.com).
    • Usean verkkotunnuksen varmenne usealle hyvin tunnetulle suojatulle lähteelle (esim. www.example.com, cdn.example.com, example.co.uk).
    • Korvausvarmenne suojatulle lähteelle, jossa on useita dynaamisia aliverkkotunnuksia (esim. a.example.com, b.example.com).

Käytä palvelinpuolen 301-uudelleenohjauksia

Uudelleenohjaa käyttäjät ja hakukoneet HTTPS-sivulle tai ‑resurssiin palvelinpuolen 301 HTTP ‑uudelleenohjauksilla.

Varmista, että Google voi indeksoida HTTPS-sivusi

  • Älä estä HTTPS-sivujasi robots.txt-tiedostoilla.
  • Älä sisällytä noindex-sisällönkuvaustageja HTTPS-sivuihisi.
  • Varmista Hae kuten Google ‑työkalulla, että Googlebot pääsee sivuillesi.

Tue HSTS:ää

Suosittelemme, että HTTPS-sivustot tukevat HSTS:ää. HSTS käskee selainta pyytämään automaattisesti HTTPS-sivuja, vaikka käyttäjä kirjoittaisi selaimen osoitepalkkiin http. Se myös ohjaa Googlen näyttämään suojatut URL-osoitteet hakutuloksissa. Näin minimoidaan riski suojaamattoman sisällön näyttämisestä käyttäjille.

Voit tukea HSTS:ää käyttämällä verkkopalvelinta, joka käyttää HTTP Strict Transport Security (HSTS) ‑protokollaa, ja ottamalla HSTS:n käyttöön.

 HSTS tekee peruutusstrategiastasi monimutkaisemman. Suosittelemme ottamaan HSTS:n käyttöön näin:

  1. Julkaise HTTPS-sivusi ensin ilman HSTS:ää.
  2. Ala lähettämään HSTS-otsikoita, joilla on lyhyt käyttöikä. Tarkkaile käyttäjien ja muiden asiakkaiden liikennettä sekä sivustasi riippuvaisten kohteiden, esim. mainosten, tuloksia.
  3. Lisää hitaasti HSTS:n enimmäisikää.
  4. Jos HSTS ei vaikuta käyttäjiin tai hakukoneisiin negatiivisesti, voit halutessasi pyytää sivustosi lisäämistä Chromen HSTS-esilatausluetteloon.

Harkitse HSTS-esilatauksen käyttämistä

Jos otat HSTS:n käyttöön, voit halutessasi lisätä suojaustasoa tukemalla HSTS-esilatausta. Ota tämä käyttöön siirtymällä osoitteeseen hstspreload.org ja noudattamalla sivustoasi koskevia pyyntövaatimuksia.

includeSubDomains

Jotta voit käyttää HSTS-esilataamista, sinun on lisättävä includeSubDomains-komento HSTS-otsikkoon. Aliverkkotunnuksen vastaavuudet toimivat näin: jos sivusto www.example.com palauttaa HSTS-otsikon, jossa on includeSubDomains, se vastaa seuraavia verkkotunnuksia:

includeSubDomains = True, sivusto on www.example.com
URL-osoite Vastaavuus
www.example.com Vastaa
foo.www.example.com Vastaa
example.com Ei vastaa
foo.example.com Ei vastaa

Vältä näitä yleisiä virheitä

Kun suojaat sivustosi TLS:llä, vältä seuraavia virheitä:

Ongelma Toimenpide
Vanhentuneet varmenteet Varmista, että varmenteesi on aina ajan tasalla.
Varmenne on rekisteröity väärällä verkkosivuston nimellä Varmista, että olet rekisteröinyt varmenteesi oikealla isäntänimellä. Jos rekisteröit varmenteen esimerkiksi sivustolle www.example.com ja verkkosivustosi on määritetty käyttämään nimeä example.com, tuloksena on varmenteen nimivirhe.
Puuttuva palvelinnimen tunnistus (SNI) -tuki Varmista, että verkkopalvelimesi tukee SNI:tä ja että käyttäjäsi käyttävät tuettuja selaimia yleisesti. Vaikka kaikki modernit selaimet tukevat SNI:tä, tarvitset erillisen IP:n, jos sinun on tarjottava tuki vanhemmille selaimille.
Lukuongelmat Älä estä HTTPS-sivustosi lukemista käyttämällä robots.txt-tiedostoa.
Indeksointiongelmat Salli sivujesi indeksointi hakukoneille, jos mahdollista. Vältä noindex-sisällönkuvaustagia.
Vanhat protokollaversiot Vanhat protokollaversiot ovat haavoittuvaisia. Varmista, että sinulla on viimeisimmät ja uusimmat TLS-kirjastoversiot, ja ota käyttöön uusimmat protokollaversiot.
Sekoitetut suojauselementit Upota vain HTTPS-sisältöä HTTPS-sivuille.
Erilainen sisältö HTTP- ja HTTPS-versioissa Varmista, että HTTP-sivustosi ja HTTPS-sivustosi sisältö on sama.
HTTP-tilakoodivirheet HTTPS:ssä Varmista, että verkkosivustosi palauttaa oikean HTTP-tilakoodin. Esimerkiksi 200 OK käytettäville sivuille ja 404 tai 410 sivuille, joita ei ole olemassa.

Lisää vinkkejä

Katso Usein kysytyt kysymykset HTTPS:ään siirtymisestä, jos haluat lisää ohjeita HTTPS-sivujen käyttämisestä sivustollasi.

HTTP:stä HTTPS:ään siirtyminen

Kun vaihdat sivustosi protokollan HTTP:stä HTTPS:ään, Google pitää muutosta sivuston siirtämisenä, johon kuuluu URL-osoitteen muutos. Liikennemääräsi voivat tilapäisesti vaihdella tämän vuoksi. Lue lisää sivuston siirto ‑sivulta.

Lisää HTTPS-sivusto Search Consoleen. Search Console käsittelee HTTP:n ja HTTPS:n erikseen, eikä näiden sivustojen tietoja jaeta Search Consolessa. Jos sinulla on sivuja molemmissa protokollissa, sinulla on oltava kummallekin erillinen Search Console ‑sivusto.

Lisätietoja

Lisätietoa TLS:n käyttöönotosta sivustollasi:

Oliko tästä artikkelista hyötyä?
Miten sivua voisi parantaa?