Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista

Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena ja salausavainten pituuden kasvattamisena sekä varmenteiden eliniän lyhentämisenä. Myös Code Signing varmenteiden säännöt tiukentuivat helmikuusta 2017 alkaen.

Jatka lukemista ”Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista”

Ei EV-varmenteen näkyvyys kadonnutkaan!

Tietoturvamediassa on ollut kuluvan syksyn mittaan paljon esillä Googlen ja Mozillan päätös ottaa Chrome- ja Firefox-selaimista pois EV-tason SSL-varmenteiden näkyvyys. Lopputulos kuitenkin on, että kaikissa selaimissa Extended Validation -varmenteen käyttö näkyy edelleen selvästi. Sivun tuottavan organisaation nimi näkyy joko suoraan osoiterivillä tai yhden klikkauksen päässä. Verkkosivustolla kävijä pääsee helposti varmistumaan siitä, että on haluamallaan sivustolla eikä kalastelun uhrina.

Jatka lukemista ”Ei EV-varmenteen näkyvyys kadonnutkaan!”

Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan”

18266850_m

Paha ”saitti” ei ole vain paha uni, vaan todellisuutta.

Vuonna 2016 kirjoitin artikkelin otsikolla ”Kuka pelkää pahaa saittia?”. Tuo kyseinen artikkeli löytyy täältä ja on edelleen ajankohtainen. Ehkä ajankohtaisempikin kuin tuolloin. Artikkelissa kerrotaan kuinka selainvalmistajat suojaavat käyttäjiään ominaisuuksilla, jotka varoittavat siirtymästä turvattomiksi raportoiduille sivustoille. Tämä on hyvä asia, mutta nyt selaimet luokittelevat kaikki SSL/TLS-varmennetta käyttävät sivut turvallisiksi, ottamatta kantaa siihen, onko kyseessä rikollisten pystyttämä tietojen kalastelusivusto vai ei. Eikä siinä vielä kaikki, vaan Google ..

Jatka lukemista ”Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan””

Phishing – 5 ikävää totuutta, joita et haluaisi tietää

phisher_man

Teknologian huikea kehitys on luonut maailman, jossa olemme riippuvaisia tietotekniikasta. Lähes kaikki asiat hoituvat näppärästi internetin välityksellä muutamaa linkkiä klikkaamalla. Tähän teknologiaan olemme oppineet luottamaan kuin lohi kutujokensa tuoksuun. Tämä luottamus tuo mukanaan myös ongelman, jota hämäräperäiset rikolliset taitavasti hyödyntävät. Samalla teknologialla kuin mekin. Lue nämä viisi epämiellyttävää totuutta ja ole lohi, joka ui ohi salakalastajan verkon.

Jatka lukemista ”Phishing – 5 ikävää totuutta, joita et haluaisi tietää”

”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?”

Tietohallintopäällikkö Teppo Kartano Rauman kaupungilta lähetti 12.9.2019 viestin:
”Moro, tuli tuossa juttua sertifikaateista ja niiden hinnoista. Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä? t. tka ”

Jatka lukemista ””Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?””

Wesentra ja Cofense yhteistyöhön taistelussa kalasteluviestien aiheuttamia uhkia vastaan

Jyväskylä – 12.9.2019: Wesentra, verkkoliikennettä turvaava suomalainen palveluyritys, laajentaa tarjontaansa ja on aloittanut yhteistyön Cofensen (aiemmin PhishMe® ) kanssa. Cofense tarjoaa ratkaisut kalasteluviestien estoon ja käyttäjien kouluttamiseen.  

Jatka lukemista ”Wesentra ja Cofense yhteistyöhön taistelussa kalasteluviestien aiheuttamia uhkia vastaan”

Uudet domainien verifiointitavat käyttöön

Vuonna 2018 poistettiin käytöstä Suomessa yleisesti käytetty verifiointimetodi, joka perustui whois-tietoihin kirjattuun domainin omistajaan. Samaan aikaan GDPR aiheutti sen, että whois-tietoihin kirjatut yhteystiedot eivät ole enää oletuksena julkista tietoa. Näin menetettiin kaksi yleisesti käytettyä verifiointimetodia. CA Browser Forum on nyt tehnyt päätöksen lisätä kaksi uutta metodia verifiointiin, Email to DNS TXT Contact ja
Email to DNS CAA Contact .

Jatka lukemista ”Uudet domainien verifiointitavat käyttöön”

Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?”

Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti kolmannen osan antia.

Jatka lukemista ”Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?””

Videot seminaaristamme 6.2. ja nostoja osuudesta ”PKI Management and Managed PKI”

Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti toisen osan antia.

Jatka lukemista ”Videot seminaaristamme 6.2. ja nostoja osuudesta ”PKI Management and Managed PKI””

Videot seminaaristamme 6.2. – ja nostoja osuudesta ”Electronic signing, digital signing, eIDAS, PadES”

Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti ensimmäisen osan antia.

Jatka lukemista ”Videot seminaaristamme 6.2. – ja nostoja osuudesta ”Electronic signing, digital signing, eIDAS, PadES””