”Vieraskynä 2-min videona”: Valmet Automotive ja SSL-varmenteet

Valmet Automotive Timo 700x400Wesentralla oli mahdollisuus olla mukana mielenkiintoisessa projektissa: Kokemuksia.fi otti meihin yhteyttä ja ehdotti riippumattoman asiakaslausunnon toteuttamista videona. Valmet Automotive oli halukas yhteistyöhön. Oli todella ilo nähdä lopputuloksena tämä kahden minuutin video Valmet Automotiven kokemuksista SSL-varmenteiden hallinnasta sekä videoon liittyyvä alempana oleva teksti.

Kiitos Valmet Automotivelle ja ennen kaikkea Timo S. Tuomiselle.

Jatka lukemista ””Vieraskynä 2-min videona”: Valmet Automotive ja SSL-varmenteet”

Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea

Varmenteiden turvallisuuden kolme tasoa

Olemme kirjoittaneet aiheesta kohta jo romaanin verran, mutta ehkäpä on jälleen aika palata aiheeseen. En lähde syvällisesti kuvaamaan varmenteiden kolmea turvallisuuden tasoa (Domain Validation = DV, Organization Validation = OV ja Extended Validation = EV), näistä voitte lukea aiemmista blogeistamme. Sen sijaan otan kantaa siihen miksi organisaatioiden, jotka haluavat näyttää asiakkailleen välittävänsä tietoturvasta, tulisi käyttää vähintään OV tasoisia varmenteita. Referoin tässä hiljattain The Register julkaisun artikkelia, jossa kerrotaan saksalaisten tutkijoiden löytäneen keinon kuinka huijata joitakin varmennuspalveluita (Certificate Authority eli CA) myöntämään varmenteita palveluun hyökkääjälle.

Jatka lukemista ”Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea”

23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.

kotikysymys_700x400Viime viikolla tuli tietoa kohua herättäneestä varmenteiden peruutuksesta. On vaikea ymmärtää, mitä tässä on oikeasti tapahtunut. Kun katson Trusticon ilmoitusta 28.2. ja sitten DigiCertin ilmoitusta varmenteiden peruuttamisesta 28.2. en voi välttää ajatusta: ”Miten ihmeessä Trusticolla oli hallussaan myöntämiensä SSL-varmenteiden privaattiavaimet?”

Jatka lukemista ”23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.”

The Best TLS Training in the World

The Best TLS Training in the World – koulutus on tulossa taas 22-23 Maaliskuuta 2018!

Kouluttajana toimii Scott Helme ja sen on suunnitellut yksi alan johtavia guruja, Ivan Ristic (Feisty Duck), joka on kirjoittanut myös kirjan Bullet Proof SSL and TLS. Tavoitteena on käydä läpi SSL/TLS-varmenteiden käyttötapaa, niihin kohdistuvia hyökkäyksiä sekä opettaa tunnistamaan todellisia riskejä, joita palvelimiin kohdistuu. Koulutuksessa konfiguroidaan web-palvelin parhaaseen A+ luokkaan ja syvennetään ymmärrystä web aplikaatioihin ja tietoliikenteeseen kohdistuvista riskeistä.

Jatka lukemista ”The Best TLS Training in the World”

Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma”

game_plan_700x400

Miten kirjoittaa tilanteesta, jossa kilpailija on ongelmissa? Myyjän perinteinen ohje on: ”Kerro omista vahvuuksista, älä kilpailijan heikkouksista”.

Kun ollaan kuitenkin tilanteessa, jossa tutkimuslaitos Gartnerkin on syyskuussa ehdottanut Symantecin SSL-varmenneasiakkaille varasuunnitelman tekemistä, lienee parasta kertoa avoimesti, miltä tilanne näyttää näin Entrust-edustajan silmin.

Alla olevan tarinan juoni pähkinänkuoressa on, että useat merkittävät koti- ja ulkomaiset organisaatiot ovat alkaneet käyttää Entrustin varmenteita Symantecin rinnalla. Kirjoituksen tarkoitus on osin kertoa, että tällainen varautuminen on Suomessakin helppoa eikä aiheuta isoja kustannuksia.

Jatka lukemista ”Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma””

CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?

aurinko_pilvet_700x400

Aiemmin tilanne oli parempi

Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.

Tästä olemme joutuneet aikamoiselle suolle

Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.

Jatka lukemista ”CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?”

Tarvittavat toimet Symantec / VeriSign / Thawte / GeoTrust -varmenteille

muurahaiset_700x400Kun olemme seuranneet Googlen ja Symantecin välistä luottamuspulaa keväästä alkaen, lienee oikeus ja kohtuus että myös julkaisemme tässä blogissa ratkaisun, jonka Symantec on 7.10.2017 esittänyt artikkelissaan ”Information for Replacement of Symantec SSL/TLS Certificates”

Artikkeli kertoo, mitä toimenpiteitä Symantec/VeriSign/Thawte/GeoTrust -varmenteiden haltijoiden tulee tehdä, jotta välttävät Chromen puutteellisesta tietoturvasta kertovat varoitukset.

Alla on vielä linkit aiemmin julkaisemiimme blogiartikkeleihin tästä asiasta:

27.3. Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

12.6. Google ja Symantec lähenemässä sopua luottamusongelmassa?

9.8. Symantec myy SSL-varmenteiden liiketoiminnan DigiCertille!

Lisätietoja:  info(at)wesentra.com     tai      https://www.wesentra.com

Case Kielikoulu Nuevo Mundo – sitkeys palkitaan (yhden EV-varmenteen saaminen kaikille kohteilleen voi näköjään joskus kestää viisi kuukautta)

do_you_speak_700x400Tämän artikkelin tavoitteena on näyttää millainen joskus voi olla varmenteen tilaus- ja toimitusprosessi, kun se on hieman haastavampi ja lopputulokseen ei päästäkään normaalissa parissa päivässä. Mutta maaliin päästään sitkeydellä.

Jatka lukemista ”Case Kielikoulu Nuevo Mundo – sitkeys palkitaan (yhden EV-varmenteen saaminen kaikille kohteilleen voi näköjään joskus kestää viisi kuukautta)”