Kyberturvallisuus

SSL-sertifikaatti — mitä se on ja miten valita 2026

SSL-sertifikaatti ei ole enää maksullinen tuote vaan automaattinen osa hyvää webhotellia. Selitän erot DV-, OV- ja EV-varmenteissa ja kerron miksi pk-yritykselle riittää ilmainen Let's Encrypt.

Olli Junes · · 6 min

SSL-sertifikaatti on edelleen yksi myydyimpiä lisäpalveluita suomalaisilla webhotellitarjoajilla. Hinnat liikkuvat 50 eurosta tuhanteen euroon vuodessa, ja myyntipuheet vetoavat turvaan ja luotettavuuteen. Todellisuus on toinen: vuodesta 2016 lähtien SSL on ollut ilmainen Let's Encryptin ansiosta, ja vuonna 2026 sen pitäisi olla automaattinen osa jokaista webhotellipakettia. Käyn läpi mitä SSL todella tarkoittaa, mitkä erot eri varmenteilla on ja milloin maksullinen sertifikaatti on perusteltu valinta.

SSL ja TLS — termi ja teknologia eivät ole sama asia

SSL eli Secure Sockets Layer on alkuperäinen salausprotokolla 1990-luvulta. Se on ollut vanhentunut vuosia, ja koko protokolla deprekoitiin vuonna 2015. Kaikki nykyinen liikenne käyttää TLS:ää eli Transport Layer Securitya, joka on SSL:n seuraaja. Standardiversio on nykyään TLS 1.3, ja TLS 1.2 on edelleen yleisesti tuettu.

Termi "SSL-sertifikaatti" on jäänyt elämään, vaikka tekninen tuote on TLS-sertifikaatti. Käytän tässä artikkelissa kumpaakin termiä, koska Google-haussa ihmiset etsivät SSL:llä. Tärkeintä on tietää, että varmenne itse on sama asia: se on julkisen avaimen sertifikaatti, jolla todennetaan että palvelin on se mitä se väittää olevansa, ja jolla neuvotellaan salatun yhteyden avaimet selaimen ja palvelimen välille.

Käytännössä SSL-sertifikaatti tekee kaksi asiaa. Se salaa liikenteen selaimen ja palvelimen välillä, jotta välissä oleva taho (avoin WiFi, palveluntarjoaja, hyökkääjä) ei voi lukea sisältöä. Lisäksi se todentaa palvelimen identiteetin, jotta selain voi varmistaa että puhuu oikealle palvelimelle, ei kalastelusivulle.

DV, OV ja EV — kolme tasoa joista yksi on edelleen relevantti

Varmenteita on kolmea tasoa, jotka eroavat toisistaan vain siinä, miten paljon varmentaja tarkistaa hakijan identiteetin. Salausvahvuus on kaikissa täsmälleen sama.

Domain Validation (DV) on yksinkertaisin taso. Varmentaja tarkistaa vain että hakijalla on hallussaan domain, johon varmenne haetaan. Tarkistus tehdään automaattisesti DNS-tietueen tai HTTP-tiedoston kautta, ja koko prosessi kestää sekunteja. Let's Encrypt myöntää DV-varmenteita ilmaiseksi, ja ne uusiutuvat automaattisesti 90 päivän välein. Käytännössä yli 90 prosenttia internetin sivustoista käyttää DV-varmennetta.

Organization Validation (OV) tarkoittaa että varmentaja tarkistaa myös hakevan organisaation olemassaolon: kaupparekisteri, puhelinnumero, osoite. Prosessi kestää 1–5 päivää ja maksaa 100–300 € vuodessa. Selaimessa OV ja DV näyttävät käyttäjälle täsmälleen samalta, eli pieneltä lukolta osoitepalkissa. Käyttäjä ei näe organisaation nimeä mitenkään ilman että klikkaa lukkoa auki.

Extended Validation (EV) on raskain taso. Varmentaja tekee perusteellisen taustatarkistuksen organisaatiosta, ja prosessi kestää 1–4 viikkoa. Hinta on tyypillisesti 200–1000 € vuodessa. EV:n alkuperäinen myyntiargumentti oli vihreä osoitepalkki, jossa näkyi organisaation nimi. Selaimet poistivat tämän visuaalisen erottelun jo vuosina 2019–2020. Chrome, Firefox, Safari ja Edge eivät enää näytä EV:tä mitenkään erityisellä tavalla. Käytännössä EV-varmenne maksaa satoja euroja vuodessa ilman, että käyttäjä huomaa sitä mitenkään.

Wildcard ja SAN — kuka tarvitsee ja kuka ei

Vakiomuotoinen varmenne kattaa yhden domainin, esimerkiksi example.fi. Jos haluat että sama varmenne kattaa myös www.example.fi, tarvitset SAN-varmenteen (Subject Alternative Name) tai erikseen kaksi varmennetta. Let's Encrypt tukee SAN:ia ilmaiseksi ja sallii jopa 100 domainia samassa varmenteessa.

Wildcard-varmenne (*.example.fi) kattaa kaikki alidomain-tasot. Tämä on hyödyllinen jos sinulla on dynaamisesti syntyviä alidomaineja, esimerkiksi asiakas1.example.fi, asiakas2.example.fi. Let's Encrypt myöntää myös wildcard-varmenteita ilmaiseksi, kunhan DNS-validointi on kunnossa. Tavalliselle pk-yritykselle wildcard on tarpeeton, koska alidomaineja on yleensä muutama (www, mail, blog) ja ne saa SAN:illa.

Miksi pk-yritykselle riittää Let's Encrypt

Pk-yrityksen kohdalla logiikka on yksinkertainen. Käyttäjä ei näe eroa DV-, OV- ja EV-varmenteen välillä, koska kaikki näyttävät samalta lukolta selaimessa. Salaus on identtinen kaikissa. Identiteetin todentaminen kaupparekisteritasolle ei kiinnosta selainta eikä käyttäjää, koska sitä ei näytetä missään.

Maksullisten varmenteiden myynti perustuu vanhentuneeseen myyntiargumenttiin. 2010-luvun puolivälissä EV:n vihreä osoitepalkki oli oikea erottelutekijä verkkokaupoille ja pankeille. Vuodesta 2020 lähtien tuo argumentti on kuollut, mutta moni suomalainen webhotelli myy edelleen "premium SSL" -paketteja samalla myyntipuheella. Asiakas maksaa siitä että saa identtisen tuotteen kuin Let's Encryptiltä, plus lasku.

Poikkeuksia on. Jos olet rahoituslaitos, terveydenhuollon toimija tai käsittelet luottokortteja PCI DSS -tasolla 1, OV- tai EV-varmenne voi olla osa compliance-vaatimustasi tai vakuutusyhtiön ehtoja. Tämä on harvinaista pk-yrityksissä. 95 prosentille suomalaisista pk-yrityksistä Let's Encryptin DV-varmenne on teknisesti ja juridisesti riittävä.

Pelkkä sertifikaatti ei riitä — TLS-konfiguraatio ratkaisee

Varmenne on vain yksi osa salausta. Yhtä tärkeää on miten palvelin on konfiguroitu. Vanhentunut TLS 1.0 tai 1.1 -tuki, heikot ciphers, puuttuva HSTS-otsake ja OCSP-stapling vaikuttavat siihen, miten turvallisesti varmennetta käytetään. Halvalla webhotellilla voi olla ilmainen Let's Encrypt, mutta jos palvelin tukee TLS 1.0:aa ja heikkoja cipher suiteja, käytännön salausvahvuus on heikko.

Hyvin konfiguroidussa palvelimessa on käytössä TLS 1.2 ja TLS 1.3, vahvat cipher suitet (esim. ECDHE + AES-GCM tai ChaCha20-Poly1305), HSTS-otsake vähintään 12 kuukauden voimassaololla ja OCSP-stapling päällä. Tämän voi testata ilmaiseksi SSL Labsin testillä, joka antaa sivustolle arvosanan A–F. Tavoitearvosana on A tai A+.

Resahostilla TLS-konfiguraatio on harmonisoitu kaikille asiakkaille A+-tasolle. Sertifikaatti on Let's Encrypt automaattisella uusinnalla, ja konfiguraatio sisältää TLS 1.3:n, modernit cipher suitet sekä HSTS:n. Asiakas ei joudu konfiguroimaan mitään käsin, eikä joudu maksamaan erikseen ominaisuuksista jotka kuuluvat perustasoon vuonna 2026.

Miten välttää turhia kustannuksia hosting-vaihdossa

Jos olet hankkimassa uutta webhotellia tai vaihtamassa nykyistä, tarkista neljä asiaa. Ensiksi varmista että SSL on automaattisesti sisällytetty pakettiin, eikä myydä lisämaksusta. Toiseksi varmista että uusinta on automaattinen, ei manuaalinen joka 90 päivä. Kolmanneksi tarkista että palvelin tukee TLS 1.3:a ja ettei TLS 1.0/1.1 ole enää käytössä. Neljänneksi pyydä SSL Labs -arvosana ennen sopimuksen tekoa.

Nämä neljä tarkistusta erottavat 2010-luvun hosting-tarjonnan 2020-luvun tarjonnasta. Webhotellivertailussani 2026 käytin näitä samoja kriteereitä, ja tulokset olivat hajanaiset: osa suomalaisista tarjoajista on pysynyt ajan tasalla, osa myy edelleen vanhentunutta tuotetta vanhentuneella hinnoittelulla.

Jos haluat tarkistuksen oman sivustosi SSL- ja TLS-konfiguraatiosta, tilaa ilmainen audit. Saat raportin sertifikaatista, voimassaolosta, salauksen vahvuudesta ja konfiguraation puutteista. Auditin perusteella tiedät, onko nykyinen järjestelysi kunnossa vai joudutko maksamaan ominaisuudesta jonka pitäisi olla automaattinen.

Lähteet: Let's Encrypt vuosiraportti 2025, Mozilla Server Side TLS recommendations 2025, SSL Labs Best Practices 2.0, CA/Browser Forum Baseline Requirements v2.0.