Oletko koskaan napsauttanut verkkosivustoa ja saanut varoituksen “Yhteytesi ei ole yksityinen”? Kyseessä on usein rikkinäinen varmenneketju, mekanismi joka takaa, että selain voi luottaa verkkosivuston identiteettiin.

4 liittyvaa artikkelia

Tyypillinen ketjun pituus: 3 varmennetta (loppu-, väli-, juurivarmennet) · SSL:n kehittäjä: Netscape (1990-luvun puoliväli) · Korvaaja: TLS (nykyinen standardi) · Luottamusketjun tarkoitus: Varmistaa yhteyden aitous

Pikakatsaus

1Vahvistetut faktat
  • Varmenneketju koostuu SSL-varmenteesta, välivarmenteista ja juurivarmenteesta (Dell Support)
  • Selaimet vahvistavat varmenteen ketjuttamalla sen takaisin luotettuun juurivarmenteeseen (SSL.com)
  • Katkennut ketju aiheuttaa yhteysvirheen selaimessa (SSL.com)
2Mikä on epäselvää
  • Tarkkoja tilastoja virheiden esiintyvyydestä eri toimialoilla ei ole julkisesti saatavilla
  • Alueelliset erot CA-sääntelyssä Suomessa vs. kansainvälisesti
3Aikajanasignaali
  • SHA-1 merkittiin vanhentuneeksi: 2017 (SSL.com)
  • TLS 1.3 julkaistiin standardiksi: 2018 (SSL.com)
4Mitä seuraavaksi
  • TLS 1.2 ja 1.3 ovat nykyiset suositellut protokollat (SSL.com)
  • Automaattinen varmenteiden uusiminen estää vanhenemisvirheet (SSL.com)
Tieto Arvo
Kehittynyt TLS:ksi SSL 3.0 (1996) → TLS 1.3 (2018)
Ketjun validointi Hierarkkinen luottamus
Yleinen virhe Puuttuva väli-varmenne
Juurivarmenne Itse allekirjoitettu
Selaimen luottamusvarasto Yli 100 juurivarmennetta
Vanhenemisvirhe ERR_CERT_DATE_INVALID
Algoritmi SHA-256 (vahva), SHA-1 (vanhentunut)
Suositellut protokollat TLS 1.2 ja 1.3

Mikä on varmenneketju SSL:ssä?

SSL-varmenneketju on järjestetty lista varmenteista, joka yhdistää palvelimen SSL-varmenteen luotettuun juurivarmenteeseen. Ilman tätä ketjua selain ei voi varmistaa, että yhteys on turvallinen.

Määritelmä ja peruskomponentit

Varmenneketju koostuu tyypillisesti kolmesta osasta: loppuvarmenteesta, väli-varmenteesta ja juurivarmenteesta. Jokainen varmenteista on digitaalisesti allekirjoitettu seuraavaa varmentajaa, mikä luo luottamusketjun juuresta loppuvarmenteeseen.

Juurivarmenne on itse allekirjoitettu digitaalinen varmenne, joka edustaa korkeinta luottamustasoa varmennehierarkiassa (SSL.com). Se toimii luottamusankkurina, joka vahvistaa koko ketjun.

Rooli luottamusketjussa

SSL-varmenne toimii verkkosivuston henkilöllisyystodistuksena (Telia). Selaimet tarkistavat, että verkkotunnuksen nimi vastaa varmenteen Subject Alternative Name -kenttää (Dell Support).

Miksi tämä merkitsee

Selaimissa on valmiiksi yli sata luotettua juurivarmennetta, jotka muodostavat luottamusvaraston (SSL.com). Kun vierailet HTTPS-sivustolla, selain vertaa saamaansa ketjua tähän varastoon.

Mikä on varmenneketjuttamisen tarkoitus?

Varmenneketjuttamisen tarkoitus on varmistaa, että selain voi jäljittää jokaisen varmenteen takaisin luotettuun juurivarmenteeseen. Jos allekirjoitusketju ei johda luottamusankkuriin, varmennetta ei luoteta (Aalto-yliopisto).

Luottamuksen varmistaminen

Luottamusketju muodostetaan jäljittämällä varmenne takaisin juurivarmenteeseen (SSL.com). Uuden varmenteen myöntäjän toimintaa auditoi riippumaton tarkastaja vuosittain (Telia).

Estäminen väärentämiseltä

HTTPS tarjoaa salattuja yhteyksiä lukolla. Varmenneketju estää väärentämisen varmistamalla, että palvelin todella omistaa verkkotunnuksen, jota se väittää hallitsevansa.

Vaaran merkki

ERR_CERT_AUTHORITY_INVALID tarkoittaa, että SSL-varmennetta ei ole myöntänyt luotettava varmentaja (SSL.com). Tämä voi johtua puuttuvasta väli-varmenteesta.

Kuinka SSL-varmenneketjut toimivat?

SSL-varmenneketjun toiminta perustuu hierarkkiseen validointiin. Selain tarkistaa jokaisen varmenteen allekirjoituksen ylöspäin, kunnes se saavuttaa tunnetun juurivarmenteen.

Toimintaperiaate vaihe vaiheelta

  • Selain vastaanottaa palvelimen SSL-varmenteen yhteyden alussa
  • Selaimen luottamusvarasto sisältää luotetut juurivarmenteet (SSL.com)
  • Jokainen varmenne tarkistaa seuraavan allekirjoituksen ketjussa
  • Varmenneperuutus tarkistetaan varmenteen voimassaolossa (Dell Support)
  • Jos ketju on kunnossa, yhteys muodostetaan turvallisesti

Esimerkki ketjusta

Tyypillinen varmenneketju kolmella varmenteella:

  1. Loppuvarmentajan (CA) myöntämä palvelinvarmenne – Asennettu palvelimelle, sisältää sivuston tiedot
  2. Väli-varmenne – Allekirjoittaa loppuvarmenteen, yhdistää juureen
  3. Juurivarmenne – Itse allekirjoitettu, sisäänrakennettu selaimen luottamusvarastoon
Käytännön vinkki

SHA-256 on vahvempi allekirjoitusalgoritmi kuin vanhentunut SHA-1 (SSL.com). Vanhat juurivarmenteet voivat aiheuttaa virheellisiä varmenteita.

Mikä ero on varmenteella ja varmenneketjulla?

Yksittäinen SSL-varmenne on palvelimelle myönnetty identiteettitodistus. Varmenneketju taas on koko polku, joka yhdistää tämän varmenteen luotettuun juurivarmenteeseen.

Yksittäinen varmenne vs. ketju

SSL-varmenne toimii verkkosivuston henkilöllisyystodistuksena (Telia). Se yksinään ei riitä – selain tarvitsee koko ketjun todentaakseen aitouden.

Milloin ketjua tarvitaan

Varmenneketju tarvitaan täydelliseen validointiin. Ilman väli-varmenteen asennusta selain ei pysty todentamaan, kuka on myöntänyt palvelimen varmenteen.

Yhteenveto: Yksittäinen varmenne on kuin henkilökortti, mutta varmenneketju on kuin koko perheen sukututkimus. Ilman ketjua selain ei voi varmistaa, että kortti on aito.

Miltä varmenneketju näyttää?

Varmenneketju näyttää järjestetyltä listalta varmenteista PEM- tai DER-muodossa. Jokainen varmenne sisältää tiedot myöntäjästä, voimassaolosta ja allekirjoituksesta.

Visuaalinen esimerkki

Voit tarkastella varmenteen tietoja selaimen kehittäjätyökaluilla tai openssl-komennolla. Tyypillisesti näet:

  • Myöntäjän nimi ja organisaatio
  • Voimassaolon päivämäärät
  • Varmenteen sarjanumero
  • Käytetyn allekirjoitusalgoritmin (esim. SHA-256 with RSA)

Tarkistusmenetelmät

Voit tarkistaa varmenneketjun useilla työkaluilla. SSL.com-sivuston mukaan openssl verify on yleinen komentorivityökalu, joka validoi ketjun (SSL.com). Testaa varmenneasennus aina varmistaaksesi toimivuuden (SSL.com).

Näin tarkistat

Chromessa napsauta lukkokuvaketta osoiterivillä ja valitse “Yhteys on turvallinen” → “Varmenne on kelvollinen”. Firefoxissa vastaava polku löytyy myös lukon takaa.

SSL-varmenneketjun korjaaminen

Katkennut varmenneketju aiheuttaa yhteysvirheitä selaimissa (SSL.com). Yleisimmät virheet ja niiden korjaukset on kuvattu alla.

Yleisimmät HTTPS-virheet

Virhe Syy Korjaus
ERR_CERT_AUTHORITY_INVALID Puuttuva väli-varmenne Asenna kaikki varmenteen osat palvelimelle
ERR_CERT_DATE_INVALID Varmenne vanhentunut Hanki ja asenna uusi varmenne
SSL_ERROR_BAD_CERT_DOMAIN Domain ei vastaa varmennetta Tarkista sertifikaatin tiedot
NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM Vanha algoritmi (SHA-1) Päivitä moderniin algoritmiin
ERR_SSL_PROTOCOL_ERROR Protokollaongelma Pidä palvelinohjelmistot ajan tasalla

Yllä oleva taulukko osoittaa, miten eri virhetyypit johtuvat tyypillisesti joko puuttuvista väli-varmenteista tai vanhentuneista komponenteista.

Vaiheet korjaukseen

  1. Tunnista virhe – Katso selaimen antama virheilmoitus
  2. Tarkista ketju – Käytä SSL-laboratorioiden työkalua tai openssl-komentoa
  3. Lataa puuttuvat varmenteet – Hae väli-varmenteet CA:n sivustolta
  4. Asenna palvelimelle – Lisää väli-varmenne SSL-varmenteen jälkeen
  5. Testaa uudelleen – Avaa sivusto ja varmista toimivuus

Käytä muistutuksia varmenteiden vanhenemisesta ja hanki varmenteet vain tunnetuista lähteistä (SSL.com). Pidä palvelinohjelmistot ajan tasalla estääksesi protokollavirheet.

Yhteenveto: Korjaus ERR_CERT_AUTHORITY_INVALID:lle on asentaa kaikki varmenteen osat palvelimelle oikeassa järjestyksessä (SSL.com). Vanhentuneen varmenteen korjaus on hankkia ja asentaa uusi varmenne.

Vahvistetut ja epävarmat tiedot

Tässä osiossa erotellaan vahvistetut faktat epävarmoista tiedoista SSL-varmenneketjuun liittyen.

Vahvistetut faktat

  • Varmenneketju koostuu 2–4 varmenteesta
  • Selain hylkää katkenneen ketjun välittömästi
  • TLS 1.2 ja 1.3 ovat suositeltavia protokollia
  • Automaattinen varmenteiden uusiminen estää vanhenemisvirheet

Epävarmat tiedot

  • Tarkat tilastot virheiden esiintyvyydestä eri toimialoilla
  • Alueelliset erot CA-sääntelyssä Suomessa vs. kansainvälisesti
  • Vertailu eri selainten virheenkäsittelystä
  • Automaattisten uusimistyökalujen spesifiset esimerkit

Asiantuntijalausuntoja

Mikä tahansa varmenne SSL/TLS-varmenteen ja juurivarmenteen välillä on väli-varmenne. Nämä väli-varmenteet mahdollistavat sen, että CA ei voi myöntää kaikkia varmenteita suoraan juurivarmenteelta.

— SSL.com (Varmenneviranomainen)

Uuden varmenteen myöntäjän toiminta auditoi riippumaton tarkastaja vuosittain. Tämä takaa, että varmenteet myönnetään asianmukaisesti ja turvallisesti.

— Telia (Suomalainen televiestintäoperaattori)

Yhteenveto

SSL-varmenneketju on kriittinen osa HTTPS-suojauksen toimintaa. Ketju yhdistää palvelimen varmenteen luotettuun juurivarmenteeseen, ja selain vahvistaa tämän ketjun jokaisella yhteyden muodostuksella. Varmenneketjun puuttuvat osat aiheuttavat “Yhteytesi ei ole yksityinen” -varoituksen Chromessa (Dell Support).

Verkkosivuston ylläpitäjille käytännön johtopäätös on selvä: varmenneketjun tarkistus ja korjaus tulisi tehdä osana säännöllistä ylläpitoa. Automatisoitu varmenteiden uusiminen estää vanhenemisvirheet ja suojaa sivuston kävijät epäluotettavilta varoituksilta.

Aiheeseen liittyvää: Kuinka ottaa kuvakaappaus – Nopea opas tietokoneelle ja puhelimelle · Sähkömopo 45 km/h: opas ajokortista malleihin ja vertailuun

SSL-varmenneketju varmistaa yhteyden luotettavuuden hierarkkisella varmenne-sarjalla, jota kattava opas ketjusta selittää vaihe vaiheelta esimerkein.

Ala missa naita

Usein kysytyt kysymykset

Miksi SSL:ää ei enää käytetä?

SSL 3.0 kehitettiin 1990-luvulla, mutta siinä havaittiin vakavia haavoittuvuuksia. TLS (Transport Layer Security) korvasi SSL:n turvallisempana protokollana. Nykyään suositellaan TLS 1.2 tai 1.3 -protokollia.

Mikä on SSL?

SSL (Secure Sockets Layer) on salausprotokolla, joka suojaa tiedonsiirron selaimen ja palvelimen välillä. Se toimii verkkosivuston henkilöllisyystodistuksena ja mahdollistaa salattuja HTTPS-yhteyksiä.

Miten tarkistan varmenneketjun?

Voit tarkistaa varmenneketjun selaimen kehittäjätyökaluilla, SSL-laboratorioiden online-työkalulla tai komentorivillä openssl-komennolla. Tarkista, että kaikki varmenteet ovat voimassa ja ketju on ehjä.

Mikä tapahtuu jos ketju puuttuu?

Jos varmenneketju on rikkinäinen, selain näyttää turvallisuusvaroituksen kuten “Yhteytesi ei ole yksityinen”. Käyttäjät saattavat lähteä sivustolta, mikä vähentää liikennettä ja heikentää luottamusta.

Tarvitaanko root-varmennetta?

Root-varmennetta ei tarvitse erikseen asentaa palvelimelle – se on jo selaimen luottamusvarastossa. Sen sijaan väli-varmenteet tulee asentaa palvelimelle, jotta selain voi muodostaa täydellisen ketjun.

Mikä on väli-varmenne?

Väli-varmenne on varmenne, joka sijaitsee loppuvarmenteen ja juurivarmenteen välissä. Se on allekirjoitettu juurivarmenteella ja puolestaan allekirjoittaa loppuvarmenteen, mikä mahdollistaa CA:n joustavamman varmenteiden myöntämisen.

Kuinka lisään ketjun palvelimeen?

Lisää väli-varmenteet SSL-varmenteen jälkeen palvelimen varennekokoonpanotiedostoon. Nginxissä käytetään ssl_certificate_key -rivin jälkeen ssl_trusted_certificate -riviä. Apache:ssa vastaava on SSLCertificateChainFile.