Oman organisaatiosi sähköinen allekirjoitus

Sähköisten allekirjoitusten tarve on kasvanut rajusti tänä eristäytymisen ja etätyön aikana. Organisaatioiden ja henkilöiden pitää pystyä osoittamaan sähköinen identiteettinsä luotettavasti ja turvallisesti.

Suurin osa organisaatioista tuottaa sähköisesti allekirjoitetut dokumentit käyttämällä jotain allekirjoituspalvelua. Menetelmä lienee useimmille tuttu: dokumentti talletetaan palveluun esim. PDF-muodossa ja asianosaiset kirjautuvat järjestelmään (yleensä vahvasti pankkitunnuksilla) ja antavat allekirjoitussuostumuksen. Tämän jälkeen dokumentin saa haluttaessa ulos järjestelmästä siten, että PDF-tiedostossa näkyy allekirjoittajien nimet sekä järjestelmän tuottama sähköinen allekirjoitus (ns. eSeal), joka myös lukitsee tiedoston. Jos tiedoston sisältöä muuttaa, allekirjoitus murtuu.

Esimerkki PDF-dokumentin sähköisestä allekirjoituksesta nähtynä Google Chromella

Lähtökohtaisesti tulostetut dokumentit on allekirjoitettu palvelun tuottajan varmenteella. Alla on tästä esimerkki.

Adobe Reader näyttää myös organisaation, joka on kirjattu allekirjoitusvarmenteeseen

Sähköinen allekirjoitus organisaation omalla nimellä

Yhä useampi organisaatio haluaa kuitenkin allekirjoituksen tapahtuvan omissa nimissään. Tällöin myös organisaation sähköinen identiteetti näkyy vahvasti ja dokumentti on kiistämättömästi alkuperäisessä muodossa.

Organisaation oma sähköinen identiteetti voi näkyä myös allekirjoituksessa

Kuluneen vuoden aikana olemme toimittaneet yhä useammalle organisaatiolle oman allekirjoitusvarmenteen. Moni asiakas on vaihtanut aiemman allekirjoitusvarmenteensa Entrustin varmenteeseen, koska se on globaalisti luotettu ja se on sekä AATL (Adobe Approved Trusted List) että Adobe CDS (Certified Document Services) luottamusluettelon mukainen. Lisäksi Entrustin varmenteella allekirjoitetut dokumentit ovat luotettuja jopa 10 vuotta varmenteen aikaleimausominaisuuden vuoksi (Time Stamping).

Wesentra on Suomen asiantuntevin toimittaja varmennepalveluissa. Olemme globaalisti Entrustin suurin varmennejakelija ja Entrust on kouluttanut ja sertifioinut meidät tekemään organisaatioiden verifioinnin paikallisesti. Kotimaasta tulevat yhteydenotot säästävät asiakkaidemme ja kumppaneidemme aikaa ja vaivaa.

Jos sähköiset allekirjoitukset ovat organisaatiollesi ajankohtaisia, ota yhteyttä. Käydään läpi tarve ja katsotaan yhdessä miten voimme auttaa: myynti(at)wesentra.com tai 010 338 2170. Entrustilla on käynnissä erityisesti julkisille organisaatioille kampanjahinnoittelu, jonka avulla kustannussäästöjä on saatu aikaan.

Vieraskynä: Miksi joku päätyy kaupalliseen sertifikaattiin ja toinen Let’s Encryptiin? – Hackrfi Oy

”Yrityksen ja it:n näkökulmasta vaarana on kuitenkin se, että kun vasara on kerran otettu käteen, liiketoiminta ja infra näyttää pelkiltä nauloilta.”

Let’s Encryptin DV-varmenteet herättävät edelleen keskustelua. Lokakuussa vastasimme asiakkaalle kysymykseen ”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?” ja saimme luvan julkaista keskustelun. Tällä kertaa asiaa tarkastelee tekniseltä kannalta yksi tietoturvan huippuammattilaisista. Thomas Malmberg esittäytyy alla Hackrfi Oy:n puitteissa, mutta itse olen tavannut hänet ensi kerran muistaakseni 2012, jolloin hän toimi Aktian IT Security Managerina. Yhteytemme säilyi ja minulla on ilo vaihtaa hänen kanssaan näkemyksiä tietoturvan ja erityisesti finanssimaailman tietoturvan tilanteesta vuosittaisen lounastapaamisemme puitteissa. Thomasin asema Mintsecurityn ja Hackrfin toimitusjohtajana antaa hänelle erityisen näköalapaikan. Tässä Thomas, olkaa hyvä!

Thomas Malmberg, Hackrfi Oy, Mintsecurity Oy

<** Thomasin oma teksti alkaa tämän jälkeen **>

Jatka lukemista ”Vieraskynä: Miksi joku päätyy kaupalliseen sertifikaattiin ja toinen Let’s Encryptiin? – Hackrfi Oy”

Riski kasvaa, että vanheneva SSL-varmenne pudottaa kriittisen verkkopalvelun pois käytöstä.

SSL-varmenteiden maksimi-iän pudotessa yhteen vuoteen pitää varmenteet uusia useammin kuin ennen ja tämä lisää unohtamisriskiä. Varoittavia esimerkkejä vahingossa vanhenevan SSL-varmenteen pahoistakin vaikutuksista on nähty ulkomaiden lisäksi myös Suomessa.

Autamme välttämään tämän tilanteen. Sen lisäksi, että voit luoda Entrust Datacardin SSL-varmenteet itse, valvotaan samoilla työkaluilla koko varmenteen elinkaari. Valvontaan saat myös muilta toimittajilta hankitut tai omalla PKI:lla tehdyt varmenteet. Jo neljäsosa Suomessa käytössä olevista vahvoista varmenteista (*) on tällaisen valvonnan piirissä. Entrust tarjoaa ratkaisut myös erilaisten PKI/CA -alustojen keskitettyyn hallintaan.

(*) OV/EV -varmenteet, jotka sisältävät myös sähköisen identiteetin organisaation verifioinnin myötä

Ota yhteyttä: myynti(at)wesentra.com / 010 338 2170 / https://www.wesentra.com

https://www.theverge.com/2020/2/3/21120248/microsoft-teams-down-outage-certificate-issue-status
https://www.hs.fi/kaupunki/art-2000005789362.html

Mitä verifiointiasiantuntija tekee työkseen?

Aika usein ihmiset keskustelevat työelämästään ja työtilanteestaan. Näinä päivinä keskusteluun on varmasti tullut mukaan myös etätyökuvioista päivittely.

Toimin kolmatta vuotta Wesentralla verifiointiasiantuntijan tehtävissä ja olenkin usein kertonut työstäni lähipiirille ja siitä kiinnostuneille. Riippuen seurasta, olen saattanut todeta vain, että toimin it-alalla. Jos kerron, että olen verifiointiasiantuntija it-alalla, kertoo se joillekin alalla toimiville jo jotain, mutta suurimmalle osalle ei mitään. Jokainen tietää suunnilleen, mitä lääkäri tai putkimies tekee, mutta mitä verifiointiasiantuntija tekee työkseen?

Kun olen kansantajuisesti kertonut kanssaihmisille, mitä SSL/TLS-sertifikaatti tai varmenne tarkoittaa, on osa kuuntelijoista jo liuennut paikalta. Ne, ketkä ovat kiinnostuneita tietämään, miten minä kuulun jännittävään sertifikaatin hankintaprosessiin, jatkavat keskustelua kanssani työtehtävästäni.

Verifiointiasiantuntijan tulee ensimmäiseksi suorittaa Certificate Authorityn määrittelemä testi, jotta hän saa tehdä verifiointeja. Tämä testi uusitaan vuosittain. Verifiointiprosessissa noudatetaan CA/Browser Forumin ohjeita, jotta varmenne myönnetään tietoturvallisesti oikealle organisaatiolle. Tuossa taikasanat: oikealle organisaatiolle. Suomessa yrityksen perustaminen ja siitä ilmoittaminen on systemaattinen prosessi ja suomalaisten yritysten ja organisaatioiden tiedot pystytään helposti tarkistamaan Yritys- ja yhteisötietojärjestelmästä (www.ytj.fi). Suomessa pystymme luottamaan myös siihen, että tiedot virallisissa rekistereissä ovat oikein.

Emme voi olla täysin varmoja kuitenkaan kaikkien maailman yritysten oikeellisuudesta, joten meidän tulee noudattaa yhteisesti sovittuja sääntöjä, jotta varmenne myönnetään oikealle taholle. Verifioinnissa tarkistamme nuo yrityksen organisaatiotiedot ja varmistamme vielä verifiointipuhelulla, että nimetty henkilö on juuri se oikea henkilö, jolla on yhteys varmennetta hakevaan organisaatioon. Sen lisäksi Entrust lähettää organisaation yhteyshenkilölle linkin sopimuksen hyväksymissivulle. Entrust auditoi jokaisen Wesentran tekemän verifioinnin, joten voidaan olla varmoja, että tiedot ovat oikein. Organisaation verifioinnin jälkeen verifioidaan myös domain, jolle varmenne ollaan myöntämässä.

Verifiointiaiheesta on kirjoitettu blogissamme myös aiemmin, jossa on osuvasti kysytty, että kuka on yrityksen tärkein työntekijä?

”Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?

Innostuin katsomaan Entrust Datacardin kolmen 45-minuutin webinaarin sarjan kvanttitietokoneiden vaikutuksesta kryptografiaan. Asiahan ei ole blogissammekaan uusi: kolleegani Markku Helli kirjoitti tästä jo 2016. Raflaava otsikko perustuu ensimmäisen seminaarin antiin. Siinä asiantuntija John Gray Entrustilta kertoo törmänneensä 2016 tuohon kommenttiin netissä ja kokeneen saman hämmästyksen tunteen, kuin itse koin nyt webinaaria katsellessa.

Sitten kun katsoo omasta varmennetoimittajan hiekkalaatikosta käsin, niin ei tästä ymmärtääkseni käytäntöön vielä mitään jää. Meillä jotkin asiakkaat ovat jo tehneet ECC-avaimilla varustettuja varmennehakemuksia (CSR) ja ottaneet niillä Entrustin ECS-portaalista varmenteita erityisesti tilanteisiin, jossa kuorma on kova ja tarvitaan mahdollisimman nopeaa varmennekäsittelyä. ECS-portaalihan sallii samasta varmenteesta maksuttomasti sekä RSA että ECC -duplikaatteja (multi-domain ja wildcard -varmenteista). Kaikki julkiset SSL-varmenteet tulevat kuitenkin olemaan jatkossa enintään vuoden mittaisia ja allekirjoitusvarmenteet enintään kolmen vuoden mittaisina, joten kvanttitietokoneet eivät niitä ehdi murtamaan.

Yleisemmin PKI-maailmassa tämä voi kuitenkin tulla jo esille. Jos esimerkiksi olisin modernisoimassa yrityksen PKI:ta seuraavaksi 10-15 vuodeksi ja miettisin sen avainkäytäntöjä, niin olisi ainakin hyvä ymmärtää RSA ja ECC avainten ero kvanttilaskennan kannalta, vaikka mitään tiettyä korvaajaa ei olekaan vielä valitettavasti tiedossa.

Kasaan alle muutamia nostoja. Sarja oli mielenkiintoinen, mutta meni kieltämättä välillä rankasti yli. Tämä kirjoitus voi osin olla väärinymmärrystä. Siis: ”Let the reader be aware” 😊

Jatka lukemista ””Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?”

Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.

Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.

Jatka lukemista ”Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.”

Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?

Kun avaat selaimella jonkun https-muotoisen kotisivun, käy selaimesi tyypillisesti tarkastamassa, onko kyseisen sivuston SSL-varmenne sulkulistalla. Tämän se voi tehdä esimerkiksi varmennetoimittajan ylläpitämästä Online Certificate Status Protocol -palvelusta. Jos kohdesivustolla on Entrustin varmenne, tämä palvelu on osoitteessa ocsp.entrust.net. Alla on hieman lisää tästä aiheesta.

Jatka lukemista ”Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?”

Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista

Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena ja salausavainten pituuden kasvattamisena sekä varmenteiden eliniän lyhentämisenä. Myös Code Signing varmenteiden säännöt tiukentuivat helmikuusta 2017 alkaen.

Jatka lukemista ”Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista”