”Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?

Innostuin katsomaan Entrust Datacardin kolmen 45-minuutin webinaarin sarjan kvanttitietokoneiden vaikutuksesta kryptografiaan. Asiahan ei ole blogissammekaan uusi: kolleegani Markku Helli kirjoitti tästä jo 2016. Raflaava otsikko perustuu ensimmäisen seminaarin antiin. Siinä asiantuntija John Gray Entrustilta kertoo törmänneensä 2016 tuohon kommenttiin netissä ja kokeneen saman hämmästyksen tunteen, kuin itse koin nyt webinaaria katsellessa.

Sitten kun katsoo omasta varmennetoimittajan hiekkalaatikosta käsin, niin ei tästä ymmärtääkseni käytäntöön vielä mitään jää. Meillä jotkin asiakkaat ovat jo tehneet ECC-avaimilla varustettuja varmennehakemuksia (CSR) ja ottaneet niillä Entrustin ECS-portaalista varmenteita erityisesti tilanteisiin, jossa kuorma on kova ja tarvitaan mahdollisimman nopeaa varmennekäsittelyä. ECS-portaalihan sallii samasta varmenteesta maksuttomasti sekä RSA että ECC -duplikaatteja (multi-domain ja wildcard -varmenteista). Kaikki julkiset SSL-varmenteet tulevat kuitenkin olemaan jatkossa enintään vuoden mittaisia ja allekirjoitusvarmenteet enintään kolmen vuoden mittaisina, joten kvanttitietokoneet eivät niitä ehdi murtamaan.

Yleisemmin PKI-maailmassa tämä voi kuitenkin tulla jo esille. Jos esimerkiksi olisin modernisoimassa yrityksen PKI:ta seuraavaksi 10-15 vuodeksi ja miettisin sen avainkäytäntöjä, niin olisi ainakin hyvä ymmärtää RSA ja ECC avainten ero kvanttilaskennan kannalta, vaikka mitään tiettyä korvaajaa ei olekaan vielä valitettavasti tiedossa.

Kasaan alle muutamia nostoja. Sarja oli mielenkiintoinen, mutta meni kieltämättä välillä rankasti yli. Tämä kirjoitus voi osin olla väärinymmärrystä. Siis: ”Let the reader be aware” 😊

Jatka lukemista ””Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?”

Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.

Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.

Jatka lukemista ”Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.”

Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?

Kun avaat selaimella jonkun https-muotoisen kotisivun, käy selaimesi tyypillisesti tarkastamassa, onko kyseisen sivuston SSL-varmenne sulkulistalla. Tämän se voi tehdä esimerkiksi varmennetoimittajan ylläpitämästä Online Certificate Status Protocol -palvelusta. Jos kohdesivustolla on Entrustin varmenne, tämä palvelu on osoitteessa ocsp.entrust.net. Alla on hieman lisää tästä aiheesta.

Jatka lukemista ”Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?”

Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista

Erilaisten tietoturvauhkien ja -hyökkäysten takia tietoturvan sääntöjä ja käytäntöjä on tiukennettu eri IT:n osa-alueilla viime vuosina. SSL/TLS varmenteiden osalta tämä on näkynyt mm. hash-algoritmien tiukentamisena ja salausavainten pituuden kasvattamisena sekä varmenteiden eliniän lyhentämisenä. Myös Code Signing varmenteiden säännöt tiukentuivat helmikuusta 2017 alkaen.

Jatka lukemista ”Code Signingin tiukentuneet vaatimukset ja keskitetty allekirjoittaminen Azure Key Vaultista”

Ei EV-varmenteen näkyvyys kadonnutkaan!

Tietoturvamediassa on ollut kuluvan syksyn mittaan paljon esillä Googlen ja Mozillan päätös ottaa Chrome- ja Firefox-selaimista pois EV-tason SSL-varmenteiden näkyvyys. Lopputulos kuitenkin on, että kaikissa selaimissa Extended Validation -varmenteen käyttö näkyy edelleen selvästi. Sivun tuottavan organisaation nimi näkyy joko suoraan osoiterivillä tai yhden klikkauksen päässä. Verkkosivustolla kävijä pääsee helposti varmistumaan siitä, että on haluamallaan sivustolla eikä kalastelun uhrina.

Jatka lukemista ”Ei EV-varmenteen näkyvyys kadonnutkaan!”

Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan”

18266850_m

Paha ”saitti” ei ole vain paha uni, vaan todellisuutta.

Vuonna 2016 kirjoitin artikkelin otsikolla ”Kuka pelkää pahaa saittia?”. Tuo kyseinen artikkeli löytyy täältä ja on edelleen ajankohtainen. Ehkä ajankohtaisempikin kuin tuolloin. Artikkelissa kerrotaan kuinka selainvalmistajat suojaavat käyttäjiään ominaisuuksilla, jotka varoittavat siirtymästä turvattomiksi raportoiduille sivustoille. Tämä on hyvä asia, mutta nyt selaimet luokittelevat kaikki SSL/TLS-varmennetta käyttävät sivut turvallisiksi, ottamatta kantaa siihen, onko kyseessä rikollisten pystyttämä tietojen kalastelusivusto vai ei. Eikä siinä vielä kaikki, vaan Google ..

Jatka lukemista ”Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan””

Phishing – 5 ikävää totuutta, joita et haluaisi tietää

phisher_man

Teknologian huikea kehitys on luonut maailman, jossa olemme riippuvaisia tietotekniikasta. Lähes kaikki asiat hoituvat näppärästi internetin välityksellä muutamaa linkkiä klikkaamalla. Tähän teknologiaan olemme oppineet luottamaan kuin lohi kutujokensa tuoksuun. Tämä luottamus tuo mukanaan myös ongelman, jota hämäräperäiset rikolliset taitavasti hyödyntävät. Samalla teknologialla kuin mekin. Lue nämä viisi epämiellyttävää totuutta ja ole lohi, joka ui ohi salakalastajan verkon.

Jatka lukemista ”Phishing – 5 ikävää totuutta, joita et haluaisi tietää”

”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?”

Tietohallintopäällikkö Teppo Kartano Rauman kaupungilta lähetti 12.9.2019 viestin:
”Moro, tuli tuossa juttua sertifikaateista ja niiden hinnoista. Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä? t. tka ”

Jatka lukemista ””Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?””

Wesentra ja Cofense yhteistyöhön taistelussa kalasteluviestien aiheuttamia uhkia vastaan

Jyväskylä – 12.9.2019: Wesentra, verkkoliikennettä turvaava suomalainen palveluyritys, laajentaa tarjontaansa ja on aloittanut yhteistyön Cofensen (aiemmin PhishMe® ) kanssa. Cofense tarjoaa ratkaisut kalasteluviestien estoon ja käyttäjien kouluttamiseen.  

Jatka lukemista ”Wesentra ja Cofense yhteistyöhön taistelussa kalasteluviestien aiheuttamia uhkia vastaan”

Uudet domainien verifiointitavat käyttöön

Vuonna 2018 poistettiin käytöstä Suomessa yleisesti käytetty verifiointimetodi, joka perustui whois-tietoihin kirjattuun domainin omistajaan. Samaan aikaan GDPR aiheutti sen, että whois-tietoihin kirjatut yhteystiedot eivät ole enää oletuksena julkista tietoa. Näin menetettiin kaksi yleisesti käytettyä verifiointimetodia. CA Browser Forum on nyt tehnyt päätöksen lisätä kaksi uutta metodia verifiointiin, Email to DNS TXT Contact ja
Email to DNS CAA Contact .

Jatka lukemista ”Uudet domainien verifiointitavat käyttöön”