Mikä on SSL-sertifikaatti ja miten HTTPS vaikuttaa SEO:oon?

SSL-sertifikaatti (Secure Sockets Layer) on digitaalinen todistus, joka salaa verkkosivustosi ja käyttäjän selaimen välisen tietoliikenteen. Käytännössä se tarkoittaa, että sivustosi URL-osoite alkaa https:// eikä http://, ja selaimessa näkyy lukon symboli osoitepalkin vieressä. HTTPS tulee sanoista Hypertext Transfer Protocol Secure.

Google vahvisti HTTPS:n rankingfaktoriksi jo vuonna 2014 ja on sittemmin vahvistanut sen merkityksen useaan otteeseen. Käytännössä kahden muuten identtisen sivuston välillä HTTPS-versio sijoittuu korkeammalle. HTTPS vaikuttaa SEO:oon myös epäsuorasti usealla tavalla:

• Luottamus: Selaimet merkitsevät HTTP-sivustot “Ei turvallinen” -varoituksella, mikä lisää välittömien poistumisten määrää ja heikentää käyttäjäkokemusta
• Referrer-data: Kun käyttäjä siirtyy HTTPS-sivustolta HTTP-sivustolle, referrer-tieto katoaa ja liikenne näkyy suorana liikenteenä analytiikassa. HTTPS säilyttää referrer-datan oikein
• Core Web Vitals: Jotkin selaimen suojausominaisuudet, kuten HTTP/2, toimivat vain HTTPS-yhteydellä ja voivat nopeuttaa sivuston latautumista merkittävästi
• AI-hakukoneet: ChatGPT, Perplexity ja muut tekoälypohjaiset hakukoneet suosivat luotettavia ja turvallisia lähteitä

SSL-sertifikaatti on nykyään ilmainen tai hyvin edullinen käytännössä kaikilla hosting-palveluntarjoajilla. Let’s Encrypt on ilmainen ja automaattisesti uusiutuva sertifikaatti, jonka useimmat hosting-palvelut aktivoivat yhdellä klikkauksella hallintapaneelista. Jos hosting-palvelusi ei tarjoa ilmaista SSL:ää, se on merkki siitä, että on aika vaihtaa parempaan palveluntarjoajaan.

Sertifikaattityyppejä on useita:

• DV (Domain Validation): Perusvarmennus, joka todistaa vain domainin omistajuuden. Riittää useimmille verkkosivustoille ja blogeille
• OV (Organization Validation): Laajempi varmennus, joka todistaa myös organisaation olemassaolon. Sopii yrityksille
• EV (Extended Validation): Laajin varmennus, joka vaatii perusteellisen taustatarkistuksen. Käytetään pääasiassa pankeissa ja suurissa verkkokauppiaissa
• Wildcard SSL: Kattaa päädomainin lisäksi kaikki alidomainit, kuten blog.sinundomainisi.fi ja shop.sinundomainisi.fi

HTTPS-siirtymä on tekninen operaatio, jossa on monta vaihetta. Tehty väärin se voi aiheuttaa vakavia ongelmia indeksoinnissa ja sijoituksissa. Tee siirtymä tässä järjestyksessä:

• Asenna SSL-sertifikaatti hosting-palvelun kautta ja varmista, että se toimii oikein
• Lisää 301-uudelleenohjaukset kaikille HTTP-versioille HTTPS-versioihin. Tämä tehdään .htaccess-tiedostossa Apache-palvelimella tai palvelinasetuksissa Nginx-palvelimella
• Päivitä WordPress-asetuksista sivuston URL HTTPS-muotoon kohdassa Asetukset ja Yleiset
• Päivitä kaikki sisäiset linkit HTTPS-muotoon. Really Simple SSL -lisäosa tekee tämän automaattisesti WordPressissä
• Tarkista mixed content eli sekasisältö, jossa HTTPS-sivu lataa resursseja HTTP:n kautta. Selain varoittaa näistä ja ne heikentävät HTTPS:n hyötyjä. Why No Padlock -työkalu löytää ne helposti
• Päivitä canonical-tagit HTTPS-muotoon
• Päivitä XML-sivustokartta HTTPS-osoitteilla ja lähetä se uudelleen Google Search Consoleen
• Lisää HTTPS-versio sivustosta Google Search Consoleen uutena ominaisuutena
• Päivitä ulkoiset linkit tärkeimmissä lähteissä, kuten Google Business Profile ja sosiaalisen median profiilit

HSTS (HTTP Strict Transport Security) on HTTP-otsake, joka kertoo selaimille, että sivusto on aina käytettävissä vain HTTPS:n kautta. Se estää niin sanotut downgrade-hyökkäykset, joissa yhteys yritetään pakottaa HTTP:lle. HSTS lisätään palvelinasetuksiin tai .htaccess-tiedostoon:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

HSTS on hyvä käytäntö kaikille sivustoille, joilla on SSL-sertifikaatti paikoillaan ja uudelleenohjaukset toimivat oikein.

• SSL Labs osoitteessa ssllabs.com/ssltest analysoi SSL-sertifikaattisi laadun ja antaa sille arvosanan A:sta F:ään
• Google Search Console varoittaa tietoturvaongelmista, mukaan lukien vanhentunut tai virheellinen SSL-sertifikaatti
• Screaming Frog tunnistaa mixed content -ongelmat crawlauksen aikana
• Selaimen osoitepalkin lukko-ikoni kertoo perusstatus: vihreä lukko tarkoittaa, että yhteys on suojattu

Muista myös sertifikaatin uusiminen. Let’s Encrypt -sertifikaatit ovat voimassa 90 päivää kerrallaan, mutta useimmat hosting-palvelut uusivat ne automaattisesti. Vanhentuneen sertifikaatin takia selain näyttää käyttäjälle varoituksen, joka käytännössä estää sivustolle pääsyn.

SSL-sertifikaatti salaa sivustosi tietoliikenteen ja mahdollistaa HTTPS:n käytön. Se on Googlen vahvistettu rankingfaktori, parantaa käyttäjien luottamusta ja on nykyään käytännössä ilmainen. HTTPS-siirtymässä tärkeintä on tehdä 301-uudelleenohjaukset oikein, päivittää canonical-tagit ja tarkistaa mixed content -ongelmat.