Taso 4 = Varmenneteknologiaa

Entrust-webinaari #6 ”How a Reliable CA Can Help with the Certificate Lifecycle?” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan  kuudes osa on “How a Reliable CA Can Help with the Certificate Lifecycle?”. Tämä 57-minuuttinen webinaari kertoo tavoista, joilla hyvä ja luotettava varmennetoimittaja (CA) voi auttaa palvelinten tietoturvan lisäämisessä. Tämä webinaari oli ”Best Practices” -sarjan viimeinen.

Pitäjä: Mark Giannotti    Pituus: 57 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Entrust kuvaa eri SSL-varmenteiden työkalut osana Turvallisen Palvelimen Elinkaarta. Tämä antaa loogisen viitekehyksen niiden optimaaliselle käytölle. Esimerkki SHA1 –> SHA2 -muutoksen tekemisestä näillä työkaluilla on mainio.

Sisällöstä otteita:

  • Aika 0 – 9 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 9 –15 minuuttia: Luotettavan varmentejan (CA) valinta
    • SSL/TLS -guru Ivan Ristic: Katso varmentajan tietoturvahistoria, millaisen osuuden toiminnasta varmenteet muodostavat, millainen on sulkulistapalvelu (OCSP, CRL), tuotevalikoima, varmenteiden hallintatyökalut, tuki
  • Aika 15 – 27 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – taustaa
    • Haasteet:
      • Miten estetään palvelukatkokset SSL-varmenteiden vanhenemisesta?
      • Miten vältetään tietohyökkäyksille altiit vanhat SSL/TLS -protokollat?
      • Kehittyvä teknologia (ECC, OCSP Stapling, HTTP/2, …)
      • Yhdenmukaisuus tietoturvastandardeihin (PCI, HIPAA, …)
      • Resurssien riittävyys
    • Entrustin Turvallinen Palvelimen Elinkaari (Secure Server Lifecycle)
      • Nykyisten varmenteiden tunnistaminen/skannaus (Discovery)
      • Tehokas varmennevaraston käyttö (helppo prosessi, varmenteiden kierrätys, …)
      • Varmenteet välittömästi (etukäteisvarmennus, portaalin käyttö, reissue, rekey, …)
      • Helppo varmenteiden asennus (täydellinen toimitus, automaattiasennus, ohjeistus, …)
      • SSL-varmenteiden ja palvelimien valvonta (uhkien tunnistaminen, reagointi, …)
      • Raportointi (vanhenevat varmenteet, uhatut palvelimet, …)
  • Aika 27 – 50 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – käytäntöä
    • Työkaluja, joilla Entrust toteuttaa Turvallisen Palvelimen Elinkaaren:
      • Palvelukatkoksen välttäminen: Vanhenemisilmoitukset + Discovery-valvonta
      • Vaaralliset protokollat web-palvelimilla: SSL Server Test, valvonta/raportointi
      • Uusien uhkien välttäminen: Varmenteiden helpot muutokset tarvittaessa (ReIssue), Entrustin tarjoamat Best Practices -menetelmät ja -tuki, automaattinen (esim. viikottainen) palvelinten protokollien tarkastus ja hälytykset
      • Esimerkki: Miten Entrust-työkalut auttavat SHA1àSHA2 -muutoksessa:
        • 1) Kaikkien varmenteiden skannaaminen ja SHA1-varmenteiden löytäminen Discovery-työkalulla
        • 2) Tehokas varmennevaraston käyttö säästää rahaa kun esim. Pooling-mallissa voidaan kierrättää varmenteet
        • 3) Uudet SHA2-varmenteet saadaan välittömästi
        • 4) SHA2-varmenteiden mukana tulee koko uusi varmenneketju ja ohjeet – tai voit käyttää automaattista Turbo-asennusta IIS:lle
        • 5) Automaattinen SSL Server Test näyttää muutostyön etenemistä
  • Aika 50 – 54 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
  • Aika 54 – 57 minuuttia: Kysymyksiä ja vastauksia:
    • ”Mitä ovat DV/OV/EV -varmenteet, jotka näkyivät webinaarissa”

Lisää tietoa: info (at) wesentra.com           tai        https://www.wesentra.com

Taso 1 = Yleistä tietoturvasta

Vieraskynä: Entrust Datacardin ja Trend Micron yhteistyö

yhteistyo_740x400Tämä ingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa ”Lue lisää” -viivan alta.

kimmoArtikkelin kirjoittaja on Trend Micron Suomen ja Baltian maajohtaja Kimmo Vesajoki, jonka kanssa minulla on ollut ilo työskennellä useita vuosia – ja joka itse asiassa on aikanaan myynyt ja toimittanut ensimmäiset Entrustin SSL-varmenteet Suomeen 🙂 Hänellä on näin erinomainen näkemys kertoa Trendin ja Entrustin yhteistyön tiivistymisestä.

Näiden Vieraskynä-artikkeleiden vaihdon tarkoituksena on antaa Entrustin suomalaisille asiakkaille näkymä Trend Micron tarjontaan ja toisaalta Trend Micron asiakkaille näkymä Entrustin + Wesentran palveluihin Suomessa.

<** Kimmon oma teksti alkaa tämän jälkeen … Lue lisää **>

Jatka lukemista ”Vieraskynä: Entrust Datacardin ja Trend Micron yhteistyö”

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #5 ”Keys, Certificates and Advanced Certificates” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan viides osa on ”Keys, Certificates and Advanced Certificates”. Tämä 65-minuuttinen webinaari esittää tapoja varmenteisiin liittyvien avaimien hallintaan ja kertoo edistyneimmistä varmennevaihtoehdoista (Multi-domain, Wildcard, EC, Private).

Pitäjä: Mark Giannotti    Pituus: 65 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Esim. finanssilaitosten kokemukset siitä, että heidän asiakkaansa osaavat odottaa EV-varmenteita ja jos osoitepalkki ei muutu vihreäksi (ja pankin nimi ei näy osoiterivillä), käyttäjät muuttuvat epäluuloisiksi
  • EC-varmenteiden käsittely käytännössä

Sisällöstä otteita:

  • Aika 0 – 14 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 14 –30 minuuttia: Varmenteet ja salaiset avaimet
    • Salaisten avainten suojaus – aina uusi avain varmenteen uusimiseen – poista tarpeettomat
    • Avainten rajoitteet – RSA-avain vähintään 2048 bittiä – älä tee turhaan pidempiä
    • Mitä domain-nimiä varmenteen pitäisi kattaa
    • Salaisen avaimen kopioimisessa toiselle palvelimelle on riskinsä
    • Haasteet itse allekirjoitetuissa varmenteissa (omalla PKI:lla)
    • Varmenteet privaattidomaineille (non-FQDN)
  • Aika 30 – 53 minuuttia: Edistykselliset varmenteet (Advanced Certificates)
    • Multi-domain -varmenteet (= Unified Communication / UC-varmenteet tai SAN-varmenteet)
    • Wildcard vs. Multi-domain – Wildcard on joustava mutta sen hallinta on haastavampaa
    • Esimerkki: F5 front end ja useita palvelimia sen takana – mikä on hyvä varmenneratkaisu?
    • EV (Extended Validation) – kriittisillä palveluilla käyttäjät odottavat vihreää osoitepalkkia
    • ECC – Elliptic Curve Cryptography – esim. 256-bit ECC-avain vastaa tietoturvaltaan 2048-bit RSA-avainta ja on paljon nopeampi. Haaste on, onko ECC-root kaikilla käyttäjillä. ECC-varmenteen saa nykyisestä Portaalista tekemällä ECC-varmennehakemuksen.
  • Aika 53 – 60 minuuttia: Varmenteet privaattidomaineille (Non Registered Domains)
    • Miksi CA/Browser Forum pysäytti julkiset varmenteet privaattidomaineille
    • Ratkaisu: Private Trust -varmenne – mahdollistaa Entrust-varmenteen privaattidomainille. Tämä vaatii Private Rootin jakamisen käyttäjille.
  • Aika 60 – 65 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon

Lisää tietoa: info(at)wesentra.com       tai   https://www.wesentra.com