SSL-varmenteiden maksimi-iän pudotessa yhteen vuoteen pitää varmenteet uusia useammin kuin ennen ja tämä lisää unohtamisriskiä. Varoittavia esimerkkejä vahingossa vanhenevan SSL-varmenteen pahoistakin vaikutuksista on nähty ulkomaiden lisäksi myös Suomessa.
Autamme välttämään tämän tilanteen. Sen lisäksi, että voit luoda Entrust Datacardin SSL-varmenteet itse, valvotaan samoilla työkaluilla koko varmenteen elinkaari. Valvontaan saat myös muilta toimittajilta hankitut tai omalla PKI:lla tehdyt varmenteet. Jo neljäsosa Suomessa käytössä olevista vahvoista varmenteista (*) on tällaisen valvonnan piirissä. Entrust tarjoaa ratkaisut myös erilaisten PKI/CA -alustojen keskitettyyn hallintaan.
(*) OV/EV -varmenteet, jotka sisältävät myös sähköisen identiteetin organisaation verifioinnin myötä
Aika usein ihmiset keskustelevat työelämästään ja työtilanteestaan. Näinä päivinä keskusteluun on varmasti tullut mukaan myös etätyökuvioista päivittely.
Toimin kolmatta vuotta Wesentralla verifiointiasiantuntijan tehtävissä ja olenkin usein kertonut työstäni lähipiirille ja siitä kiinnostuneille. Riippuen seurasta, olen saattanut todeta vain, että toimin it-alalla. Jos kerron, että olen verifiointiasiantuntija it-alalla, kertoo se joillekin alalla toimiville jo jotain, mutta suurimmalle osalle ei mitään. Jokainen tietää suunnilleen, mitä lääkäri tai putkimies tekee, mutta mitä verifiointiasiantuntija tekee työkseen?
Kun olen kansantajuisesti kertonut kanssaihmisille, mitä SSL/TLS-sertifikaatti tai varmenne tarkoittaa, on osa kuuntelijoista jo liuennut paikalta. Ne, ketkä ovat kiinnostuneita tietämään, miten minä kuulun jännittävään sertifikaatin hankintaprosessiin, jatkavat keskustelua kanssani työtehtävästäni.
Verifiointiasiantuntijan tulee ensimmäiseksi suorittaa Certificate Authorityn määrittelemä testi, jotta hän saa tehdä verifiointeja. Tämä testi uusitaan vuosittain. Verifiointiprosessissa noudatetaan CA/Browser Forumin ohjeita, jotta varmenne myönnetään tietoturvallisesti oikealle organisaatiolle. Tuossa taikasanat: oikealle organisaatiolle. Suomessa yrityksen perustaminen ja siitä ilmoittaminen on systemaattinen prosessi ja suomalaisten yritysten ja organisaatioiden tiedot pystytään helposti tarkistamaan Yritys- ja yhteisötietojärjestelmästä (www.ytj.fi). Suomessa pystymme luottamaan myös siihen, että tiedot virallisissa rekistereissä ovat oikein.
Emme voi olla täysin varmoja kuitenkaan kaikkien maailman yritysten oikeellisuudesta, joten meidän tulee noudattaa yhteisesti sovittuja sääntöjä, jotta varmenne myönnetään oikealle taholle. Verifioinnissa tarkistamme nuo yrityksen organisaatiotiedot ja varmistamme vielä verifiointipuhelulla, että nimetty henkilö on juuri se oikea henkilö, jolla on yhteys varmennetta hakevaan organisaatioon. Sen lisäksi Entrust lähettää organisaation yhteyshenkilölle linkin sopimuksen hyväksymissivulle. Entrust auditoi jokaisen Wesentran tekemän verifioinnin, joten voidaan olla varmoja, että tiedot ovat oikein. Organisaation verifioinnin jälkeen verifioidaan myös domain, jolle varmenne ollaan myöntämässä.
Innostuin katsomaan Entrust Datacardin kolmen 45-minuutin webinaarin sarjan kvanttitietokoneiden vaikutuksesta kryptografiaan. Asiahan ei ole blogissammekaan uusi: kolleegani Markku Helli kirjoitti tästä jo 2016. Raflaava otsikko perustuu ensimmäisen seminaarin antiin. Siinä asiantuntija John Gray Entrustilta kertoo törmänneensä 2016 tuohon kommenttiin netissä ja kokeneen saman hämmästyksen tunteen, kuin itse koin nyt webinaaria katsellessa.
Sitten kun katsoo omasta varmennetoimittajan hiekkalaatikosta käsin, niin ei tästä ymmärtääkseni käytäntöön vielä mitään jää. Meillä jotkin asiakkaat ovat jo tehneet ECC-avaimilla varustettuja varmennehakemuksia (CSR) ja ottaneet niillä Entrustin ECS-portaalista varmenteita erityisesti tilanteisiin, jossa kuorma on kova ja tarvitaan mahdollisimman nopeaa varmennekäsittelyä. ECS-portaalihan sallii samasta varmenteesta maksuttomasti sekä RSA että ECC -duplikaatteja (multi-domain ja wildcard -varmenteista). Kaikki julkiset SSL-varmenteet tulevat kuitenkin olemaan jatkossa enintään vuoden mittaisia ja allekirjoitusvarmenteet enintään kolmen vuoden mittaisina, joten kvanttitietokoneet eivät niitä ehdi murtamaan.
Yleisemmin PKI-maailmassa tämä voi kuitenkin tulla jo esille. Jos esimerkiksi olisin modernisoimassa yrityksen PKI:ta seuraavaksi 10-15 vuodeksi ja miettisin sen avainkäytäntöjä, niin olisi ainakin hyvä ymmärtää RSA ja ECC avainten ero kvanttilaskennan kannalta, vaikka mitään tiettyä korvaajaa ei olekaan vielä valitettavasti tiedossa.
Kasaan alle muutamia nostoja. Sarja oli mielenkiintoinen, mutta meni kieltämättä välillä rankasti yli. Tämä kirjoitus voi osin olla väärinymmärrystä. Siis: ”Let the reader be aware” 😊
Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.
Kun avaat selaimella jonkun https-muotoisen kotisivun, käy selaimesi tyypillisesti tarkastamassa, onko kyseisen sivuston SSL-varmenne sulkulistalla. Tämän se voi tehdä esimerkiksi varmennetoimittajan ylläpitämästä Online Certificate Status Protocol -palvelusta. Jos kohdesivustolla on Entrustin varmenne, tämä palvelu on osoitteessa ocsp.entrust.net. Alla on hieman lisää tästä aiheesta.
Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena ja salausavainten pituuden kasvattamisena sekä varmenteiden eliniän lyhentämisenä. Myös Code Signing varmenteiden säännöt tiukentuivat helmikuusta 2017 alkaen.
Tietoturvamediassa on ollut kuluvan syksyn mittaan paljon esillä Googlen ja Mozillan päätös ottaa Chrome- ja Firefox-selaimista pois EV-tason SSL-varmenteiden näkyvyys. Lopputulos kuitenkin on, että kaikissa selaimissa Extended Validation -varmenteen käyttö näkyy edelleen selvästi. Sivun tuottavan organisaation nimi näkyy joko suoraan osoiterivillä tai yhden klikkauksen päässä. Verkkosivustolla kävijä pääsee helposti varmistumaan siitä, että on haluamallaan sivustolla eikä kalastelun uhrina.
Paha ”saitti” ei ole vain paha uni, vaan todellisuutta.
Vuonna 2016 kirjoitin artikkelin otsikolla ”Kuka pelkää pahaa saittia?”. Tuo kyseinen artikkeli löytyy täältä ja on edelleen ajankohtainen. Ehkä ajankohtaisempikin kuin tuolloin. Artikkelissa kerrotaan kuinka selainvalmistajat suojaavat käyttäjiään ominaisuuksilla, jotka varoittavat siirtymästä turvattomiksi raportoiduille sivustoille. Tämä on hyvä asia, mutta nyt selaimet luokittelevat kaikki SSL/TLS-varmennetta käyttävät sivut turvallisiksi, ottamatta kantaa siihen, onko kyseessä rikollisten pystyttämä tietojen kalastelusivusto vai ei. Eikä siinä vielä kaikki, vaan Google ..
Teknologian huikea kehitys on luonut maailman, jossa olemme riippuvaisia tietotekniikasta. Lähes kaikki asiat hoituvat näppärästi internetin välityksellä muutamaa linkkiä klikkaamalla. Tähän teknologiaan olemme oppineet luottamaan kuin lohi kutujokensa tuoksuun. Tämä luottamus tuo mukanaan myös ongelman, jota hämäräperäiset rikolliset taitavasti hyödyntävät. Samalla teknologialla kuin mekin. Lue nämä viisi epämiellyttävää totuutta ja ole lohi, joka ui ohi salakalastajan verkon.
Tietohallintopäällikkö Teppo Kartano Rauman kaupungilta lähetti 12.9.2019 viestin: ”Moro, tuli tuossa juttua sertifikaateista ja niiden hinnoista. Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä? t. tka ”
