Verkkosivujen TLS-salauksen taso Helsingin pörssiyhtiöillä

Abstract

Internetin käyttö on lisääntynyt viime vuosien aikana merkittävästi, mikä on johtanut siihen, että verkossa jaetaan enenevissä määrin arkaluonteista tietoa. Verkkosivun ja verkkoselaimen välillä siirrettävän arkaluonteisen tiedon turvalliseen välittämiseen on kehitetty TLS-salaus, mutta tämän käyttöönottaminen ei yksinään takaa riittävää turvallisuutta. Tämä johtuu siitä, että TLS-salaus koostuu useista eri asetuksista, jotka verkkosivustojen ylläpitäjien pitää huomioida, jotta salaus voidaan toteuttaa riittävän vahvasti. Jos salausta ei toteuteta riittävän hyvin, voi pahantahtoisille tahoille vuotaa arkaluonteista tietoa, kuten käyttäjätunnuksia tai salasanoja. Tämän tutkielman päätavoitteena oli perehtyä Helsingin pörssiyhtiöiden verkkosivujen TLS-salauksen tasoon ja tarkastella, onko kyseiset verkkosivut salattu riittävän vahvalla TLS-salauksella. Tutkimuksen alatavoitteena oli kehittää työkalu, jolla voidaan kerätä tietoa verkkosivujen TLS-salauksesta. Tutkimuksen teoriaosuudessa esitellään oleellisia käsitteitä liittyen verkkosivustojen toimintaan sekä keskitytään TLS-salaukseen ja siihen liittyviin osioihin. Teoriaosuuden lopussa käsitellään vahvan TLS-salauksen tärkeyttä sekä luodaan TLS-salauksen suositeltu vähimmäistaso, jota vasten kerättyjen verkkosivujen TLS-salausta verrattiin. Kehitetyn työkalun avulla kerättiin 4431 kappaletta Helsingin pörssiyhtiöiden julkisia verkkosivuja, joiden TLS-salauksen tasoa arvioitiin. Työkalu julkaistiin julkiseen käyttöön, jotta kuka tahansa pystyy hyödyntämään tai kehittämään työkalua omiin tarpeisiinsa. Tutkimuksessa vain 3,5 prosenttia kerätyistä verkkosivuista täytti kaikki asetetut TLS-salauksen vähimmäistason suositukset. Tulos viittaa siihen, että tutkittujen verkkosivujen TLS-salauksien vahvuudessa olisi parannettavaa. Tutkimuksessa avattiin tarkemmin kaikki kymmenen asetettua suosituskategoriaa, jotta nähtiin yleisimmät syyt sille, miksi verkkosivut eivät läpäisseet asetettuja suosituksia. Nämä yleisimmät puutteet löytyivät salaussarjoista, OCSP staplingista ja HSTS:stä. Tutkimuksessa esitettiin mahdollisia syitä, miksi verkkosivujen TLS-salauksen eri osa-alueet eivät täyttäneet asetettuja suosituksia, mutta todellisten syiden selvittäminen jätettiin jatkotutkimuksiin, koska niiden selvittäminen ei kuulunut tämän tutkimuksen tavoitteisiin.

The use of the Internet has increased significantly in recent years, which has led to the sharing of more sensitive data online. TLS encryption has been developed for the secure transmission of sensitive information transferred between a website and a web browser, but the implementation of this alone does not guarantee sufficient security. This is because TLS encryption consists of several different settings that website administrators need to consider for the encryption to be strong enough. If the encryption is implemented poorly, sensitive information, including usernames and passwords, can be leaked to malicious parties. The main objective of this research was to investigate the strength of TLS encryption of websites listed on Nasdaq Helsinki and to examine whether these websites have been encrypted with a sufficiently strong TLS encryption. The sub-objective of this research was to develop a tool that can be used to collect information regarding the TLS encryption of websites. The theoretical section of the research introduces the key concepts related to websites and focuses on TLS encryption. The end of the theory section includes an explanation of the importance of using secure TLS encryption, as well as a compilation of the recommended minimum level of TLS encryption, which was compared against the TLS encryption of the collected websites. The developed tool was used to collect 4431 public websites of Nasdaq Helsinki, and their TLS encryption strength was assessed. The tool was also released for public use, so anyone can use or develop it for their own purposes. The research findings showed that only 3.5 percent of the collected websites met all the TLS encryption recommendations. This finding suggests that the TLS encryption strength of the websites would require improvement. The research also reviewed all the ten TLS encryption recommendation settings to see the most common reasons why the websites did not meet the recommendations. Most commonly, flaws were found in the lack of cryptographic sets, OCSP stapling, and HSTS. This research also considered reasons why the different settings of TLS encryption on the websites did not meet general recommendations, however, finding the actual reasons behind this phenomenon were left for future research, as it was not among the objectives of this research.