Vieraskynä: Miksi joku päätyy kaupalliseen sertifikaattiin ja toinen Let’s Encryptiin? – Hackrfi Oy

”Yrityksen ja it:n näkökulmasta vaarana on kuitenkin se, että kun vasara on kerran otettu käteen, liiketoiminta ja infra näyttää pelkiltä nauloilta.”

Let’s Encryptin DV-varmenteet herättävät edelleen keskustelua. Lokakuussa vastasimme asiakkaalle kysymykseen ”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?” ja saimme luvan julkaista keskustelun. Tällä kertaa asiaa tarkastelee tekniseltä kannalta yksi tietoturvan huippuammattilaisista. Thomas Malmberg esittäytyy alla Hackrfi Oy:n puitteissa, mutta itse olen tavannut hänet ensi kerran muistaakseni 2012, jolloin hän toimi Aktian IT Security Managerina. Yhteytemme säilyi ja minulla on ilo vaihtaa hänen kanssaan näkemyksiä tietoturvan ja erityisesti finanssimaailman tietoturvan tilanteesta vuosittaisen lounastapaamisemme puitteissa. Thomasin asema Mintsecurityn ja Hackrfin toimitusjohtajana antaa hänelle erityisen näköalapaikan. Tässä Thomas, olkaa hyvä!

Thomas Malmberg, Hackrfi Oy, Mintsecurity Oy

<** Thomasin oma teksti alkaa tämän jälkeen **>

Jatka lukemista ”Vieraskynä: Miksi joku päätyy kaupalliseen sertifikaattiin ja toinen Let’s Encryptiin? – Hackrfi Oy”

Riski kasvaa, että vanheneva SSL-varmenne pudottaa kriittisen verkkopalvelun pois käytöstä.

SSL-varmenteiden maksimi-iän pudotessa yhteen vuoteen pitää varmenteet uusia useammin kuin ennen ja tämä lisää unohtamisriskiä. Varoittavia esimerkkejä vahingossa vanhenevan SSL-varmenteen pahoistakin vaikutuksista on nähty ulkomaiden lisäksi myös Suomessa.

Autamme välttämään tämän tilanteen. Sen lisäksi, että voit luoda Entrust Datacardin SSL-varmenteet itse, valvotaan samoilla työkaluilla koko varmenteen elinkaari. Valvontaan saat myös muilta toimittajilta hankitut tai omalla PKI:lla tehdyt varmenteet. Jo neljäsosa Suomessa käytössä olevista vahvoista varmenteista (*) on tällaisen valvonnan piirissä. Entrust tarjoaa ratkaisut myös erilaisten PKI/CA -alustojen keskitettyyn hallintaan.

(*) OV/EV -varmenteet, jotka sisältävät myös sähköisen identiteetin organisaation verifioinnin myötä

Ota yhteyttä: myynti(at)wesentra.com / 010 338 2170 / https://www.wesentra.com

https://www.theverge.com/2020/2/3/21120248/microsoft-teams-down-outage-certificate-issue-status
https://www.hs.fi/kaupunki/art-2000005789362.html

”Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?

Innostuin katsomaan Entrust Datacardin kolmen 45-minuutin webinaarin sarjan kvanttitietokoneiden vaikutuksesta kryptografiaan. Asiahan ei ole blogissammekaan uusi: kolleegani Markku Helli kirjoitti tästä jo 2016. Raflaava otsikko perustuu ensimmäisen seminaarin antiin. Siinä asiantuntija John Gray Entrustilta kertoo törmänneensä 2016 tuohon kommenttiin netissä ja kokeneen saman hämmästyksen tunteen, kuin itse koin nyt webinaaria katsellessa.

Sitten kun katsoo omasta varmennetoimittajan hiekkalaatikosta käsin, niin ei tästä ymmärtääkseni käytäntöön vielä mitään jää. Meillä jotkin asiakkaat ovat jo tehneet ECC-avaimilla varustettuja varmennehakemuksia (CSR) ja ottaneet niillä Entrustin ECS-portaalista varmenteita erityisesti tilanteisiin, jossa kuorma on kova ja tarvitaan mahdollisimman nopeaa varmennekäsittelyä. ECS-portaalihan sallii samasta varmenteesta maksuttomasti sekä RSA että ECC -duplikaatteja (multi-domain ja wildcard -varmenteista). Kaikki julkiset SSL-varmenteet tulevat kuitenkin olemaan jatkossa enintään vuoden mittaisia ja allekirjoitusvarmenteet enintään kolmen vuoden mittaisina, joten kvanttitietokoneet eivät niitä ehdi murtamaan.

Yleisemmin PKI-maailmassa tämä voi kuitenkin tulla jo esille. Jos esimerkiksi olisin modernisoimassa yrityksen PKI:ta seuraavaksi 10-15 vuodeksi ja miettisin sen avainkäytäntöjä, niin olisi ainakin hyvä ymmärtää RSA ja ECC avainten ero kvanttilaskennan kannalta, vaikka mitään tiettyä korvaajaa ei olekaan vielä valitettavasti tiedossa.

Kasaan alle muutamia nostoja. Sarja oli mielenkiintoinen, mutta meni kieltämättä välillä rankasti yli. Tämä kirjoitus voi osin olla väärinymmärrystä. Siis: ”Let the reader be aware” 😊

Jatka lukemista ””Jos ette ole vielä siirtyneet ECC-avainten käyttöön, niin ehkä kannattaa pysyä RSA-avaimissa ja valmistautua Post Quantum aikaan.” MITÄ IHMETTÄ?”

Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.

Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.

Jatka lukemista ”Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.”

Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?

Kun avaat selaimella jonkun https-muotoisen kotisivun, käy selaimesi tyypillisesti tarkastamassa, onko kyseisen sivuston SSL-varmenne sulkulistalla. Tämän se voi tehdä esimerkiksi varmennetoimittajan ylläpitämästä Online Certificate Status Protocol -palvelusta. Jos kohdesivustolla on Entrustin varmenne, tämä palvelu on osoitteessa ocsp.entrust.net. Alla on hieman lisää tästä aiheesta.

Jatka lukemista ”Miksi selain käy https-sivua avattaessa ocsp.entrust.net -palvelussa?”

Ei EV-varmenteen näkyvyys kadonnutkaan!

Tietoturvamediassa on ollut kuluvan syksyn mittaan paljon esillä Googlen ja Mozillan päätös ottaa Chrome- ja Firefox-selaimista pois EV-tason SSL-varmenteiden näkyvyys. Lopputulos kuitenkin on, että kaikissa selaimissa Extended Validation -varmenteen käyttö näkyy edelleen selvästi. Sivun tuottavan organisaation nimi näkyy joko suoraan osoiterivillä tai yhden klikkauksen päässä. Verkkosivustolla kävijä pääsee helposti varmistumaan siitä, että on haluamallaan sivustolla eikä kalastelun uhrina.

Jatka lukemista ”Ei EV-varmenteen näkyvyys kadonnutkaan!”

”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?”

Tietohallintopäällikkö Teppo Kartano Rauman kaupungilta lähetti 12.9.2019 viestin:
”Moro, tuli tuossa juttua sertifikaateista ja niiden hinnoista. Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä? t. tka ”

Jatka lukemista ””Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?””

Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?”

Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti kolmannen osan antia.

Jatka lukemista ”Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?””

Videot seminaaristamme 6.2. ja nostoja osuudesta ”PKI Management and Managed PKI”

Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti toisen osan antia.

Jatka lukemista ”Videot seminaaristamme 6.2. ja nostoja osuudesta ”PKI Management and Managed PKI””

Videot seminaaristamme 6.2. – ja nostoja osuudesta ”Electronic signing, digital signing, eIDAS, PadES”

Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti ensimmäisen osan antia.

Jatka lukemista ”Videot seminaaristamme 6.2. – ja nostoja osuudesta ”Electronic signing, digital signing, eIDAS, PadES””