Google ja Symantec lähenemässä sopua luottamusongelmassa?

key_hands_700x400

Blogiartikkelissa 27.3.2017 kerroimme, että Google harkitsee mm. EV-statuksen poistamista Symantecin varmenteilta (mukaan lukien Thawte, GeoTrust ja RapidSSL -varmenteet). Google ja Symantec ovat tavanneet ja Google on tehnyt uuden ehdotuksen, jota Symantec on kommentoinut. Jos ehdotus menee läpi, alamme nähdä käytännön toimia 8.8.2017.

Jatka lukemista ”Google ja Symantec lähenemässä sopua luottamusongelmassa?”

Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

miettinen_700x400

Tässä lyhyt tilanteen päivitys 3.4.2017:

  • Ryan Sleevi kirjoitti artikkelin 23.3.2017
  • 31.3.2017 mennessä tähän oli tullut 151 kommenttia, joista 37 on Ryanin vastauksia
  • Kaksi Blink API Owneria on kommentoinut 31.3. (Rick Byers ja Jochen Eisinger)
  • Yhtään LGTM -palautetta ei ole tullut ainakaan vielä (”Looks Good To Me”)
  • Andrew R. Whalley tarkentaa kommentissaan 31.3., että jos kolme Blink API Owneria antaa LGTM-palautteen, menee ehdotus eteenpäin. Tällöin saatetaan edelleen tarvita lisäselvityksiä ja -hyväksymisiä ennen kuin päätös tuotemuutoksesta voidaan tehdä
  • Kaikki kommentit löytyvät tästä samasta ketjusta

Jatka lukemista ”Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä”

The Best TLS Training in the World 19.4.2017, Helsinki

Kouluttaudu A+ konfiguroijaksi.

HUOM! 19.4.2017 koulutuspäivä on täynnä, joten päätimme jatkaa ilmoittaumista aina 20.3 asti ja mikäli saamme luokallisen porukkaa kasaan järjestämme toisen päivän 20.4.2017.

Ohjeet ilmoittautumiseen ovat samat kuin alla:

Koulutus on yhden päivän mittainen ja järjestetään Wistec Oy:n koulutusluokassa. Wistec Training Oy, Itämerenkatu 1, 00180 Helsinki (Ruoholahti – Dimensio-talo)

HUOM! Sisäänkäynti Mechelininkadun puolelta.

Sijainti kartalla

Kouluttajana toimii Scott Helme ja sen on suunnitellut yksi alan johtavia guruja, Ivan Ristic (Feisty Duck), joka on kirjoittanut myös kirjan Bullet Proof SSL and TLS.  Tavoitteena on käydä läpi SSL/TLS Varmenteiden käyttötapaa, niihin kohdistuvia hyökkäyksiä sekä opettaa tunnistamaan todellisia riskejä, joita palvelimiin kohdistuu. Koulutuksessa konfiguroidaan palvelimesta parhaaseen A+ luokkaan yltävä palvelu ja syvennetään ymmärrystä web aplikaatioihin kohdistuvista riskeistä.

Jatka lukemista ”The Best TLS Training in the World 19.4.2017, Helsinki”

SSL-varmenteen vanheneminen yhä useammin palveluongelman takana

ssl_unohdusVenafin 2.2.2017 julkaisemassa artikkelissa todetaan, että neljä viidestä organisaatiosta on kärsinyt 2016 SSL/TLS-varmenteen tahattoman vanhenemisen aiheuttamasta ongelmasta.

Kuulostaa aika uskomattomalta – ainakin näin kotimaisen varmennetoimittajan näkökulmasta. Joko maailmalla tilanne on todella huonompi kuin Suomessa tai korviimme vain ei kantaudu kotimaassa tapahtuvia ongelmia tai sitten Venafin kriteeri ongelmalle on matala.

Vaikka lukema Suomessa ei olisikaan tuota tasoa, on asia ajankohtainen. HTTPS-liikenteen määrä ylitti jo HTTP-liikenteen määrän. SSL-varmenteita tarvitaan yhä kiihtyvään tahtiin. Ja kaikista näistä ei tule aikanaan vanhenemishälytyksiä niitä tarvitseville henkilöille. Tuloksena voi olla kriittisen tärkeiden palvelujen katkoksia.

Olemme nähneet asiakkailla erilaisia syitä tähän ongelmaan – esimerkiksi:

  • Varmenteen tilaaja ei ole enää talossa. Lähes kaikki varmennetoimittajat lähettävät kyllä hälytyksen riittävän aikaisin varmenteen tilanneelle henkilölle. Mutta entä jos tämä henkilö ei ole enää töissä organisaatiossa? Kukaan ei saa hälytystä.
  • Toimittaja on asentanut varmenteen osana omaa palveluaan, ja tämän vanhenemisaikaa ei ole kirjattu mihinkään hälytysjärjestelmään.
  • Wildcard-varmennetta on kopioitu useille palvelimille ja tässä yhteydessä on unohtunut kirjata kaikki palvelimet. joille kopio on asennettu
  • On tehty palvelinvarmenne omalla PKI:lla ja joko hälytystä ei ole asetettu tai se ei saavuta sopivaa henkilöä

Omat asiakkaamme ovat käyttäneet pääasiassa kahden tyyppistä ratkaisua:

  • Kaikkien varmenteiden kirjaaminen Entrustin SSL-Portaaliin (myös muilta ostettujen ja itse tehtyjen) – ja vanhenemishälytysten suuntaaminen sopivalle mail-ryhmälle (esim. helpdesk) yksittäisten henkilöiden sijaan
  • Automaattinen varmenneympäristön säännöllinen skannaaminen ja muutoksista sekä vanhenevista varmenteista hälyyttäminen (ns. Discovery-ratkaisu).

Tärkeää on, että varmenteiden hallintaan muodostetaan prosessi joka ei ole henkilöriippuvainen.

Artikkeli visioi myös aikaa, jolloin kaupallisten varmenteiden uusimiseenkin saataisiin lisää automaattisia prosesseja. Tämä helpottaisi merkittävästi varmenteiden hallintaa. Näemme jo liikettä tähän suuntaan, kun ACME -protokollan ( Automated Certificate Management Environment ) mukaista automaattista varmenteiden asentamista ja uusimista ollaan ottamassa yhä laajemmin käyttöön.

Lisätietoja: info (at) wesentra.com    tai     https://www.wesentra.com

SSL/TLS – mitä tapahtui 2016 ?

2016_2017_signEntrustin Bruce Morton on tehnyt 17.1. hyvän yhteenvedon 2016 tapahtumista SSL/TLS -rintamalla. Tässä muutama otos

  • https-liikenteen määrä on nyt suurempi, kuin http-liikenteen määrä
  • SHA1-allekirjoitus ei ole enää hyväksytty
  • Julkisia varmenteita ei saa enää olla privaattiosoitteilla
  • StartComin SSL-varmenteet eivät ole enää luotettuja (näitä on Suomessakin – Google, Mozilla ja Apple poistivat luottamuksen väärinkäytösten vuoksi)
  • Chrome tulee tammikuussa 2017 julkaistavasta versiosta 56 alkaen ilmoittamaan ”Not secure” sellaisesta sivusta, jolla kysellään salasanaa/luottokorttitietoja ja jolla ei ole hyväksyttyä SSL-varmennetta
  • Google ilmoitti, että lokakuusta 2017 alkaen myös uusien OV-varmenteiden tulee olla kirjattuna CT-lokeihin, jotta Chrome hyväksyy sivun luotetuksi. CT on osoittanut voimansa väärinkäytösten havaitsemisessa.

Ja lisätietoahan saa taas meiltä: info (at) wesentra.com   sekä   https://www.wesentra.com

IOT ja SSL/TLS

internet_of_things_700x400Kiinnostaako Internet of Things? Meitä kiinnostaa!

Oheinen, tähän mennessä kolmen artikkelin IOT-sarja on aloitettu lokakuussa 2016. Se on erittäin tekninen, mutta selailtunakin mielenkiintoinen (= vie takaisin mukaviin elektroniikan opiskelun aikoihin … 🙂 )

http://blog.elevenpaths.com/2016/10/cryptographic-security-in-iot-i.html

Mietin näin julkisten varmenteiden toimittajana sitä, tuleeko aika, jolloin Lahtisen kotiturvajärjestelmän pitää todistaa ulkomaailmalle, että se todellakin on Lahtisen järjestelmä (eikä Virtasen). Kuka tämän rekisteröi ja varmentaa siten, etteivät rikolliset hakkeroi Lahtisen ovia auki?

Tulemmeko tarvitsemaan julkisia varmenteita IOT:ssa? Sellaisia, joissa joku luotettava riippumaton taho on tarkastanut laitteen ja sen omistuksen, ennen kuin varmenne on myönnetty.

Tässä vaiheessa kysymyksiä on paljon enemmän kuin vastauksia.

Otamme mielellämme vastaan näkemyksiä:
info (at) wesentra.com  tai kommenttina tähän artikkeliin

Lisätietoa varmenteista yleensä:  https://www.wesentra.com

Vieraskynä: Wesentran asiakkaaksi varmennuksen vuoksi

m_sydanmetsa_700x400

Tämä ingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa ”Lue lisää” -viivan alta.

prt_mikko_sydanmetsaArtikkelin kirjoittaja on PRT-Forest Oy:stä IT-järjestelmäpäällikkö Mikko Sydänmetsä. PRT-Forest -konserni jalostaa suomalaista puuta rakentamisen ja viihtyisän asumisen tarpeisiin. PRT-Forest kattaa rakentamisen koko kaaren sahatavaran valmistuksesta muuttovalmiisiin omakotitaloihin, julkisten ja
erilaisten liike- ja toimitilojen suunnittelusta, niiden toteutukseen. Konsernin toimintaa ohjaavat asiakaslähtöisyys ja tinkimätön laatuajattelu. Konsernin juuret ovat 1960-luvulta ja nykyään se on yksi Suomen johtavista puurakentamisen toimijoista. www.prt-forest.fi

Kirjoituksessaan Sydänmetsä toteaa hyötyvänsä mm. siitä, ettei varmennusta tarvitse enää tehdä jokaiselle varmennepyynnölle. Wesentra tekee OV-tasoisen domainin varmennuksen kerralla, minkä jälkeen asiakas voi itse tehdä haluamansa varmenteet. Lisäksi PRT-Forest hyötyy myös mahdollisuudesta tallettaa omien varmenteiden vanhenemispäivät Entrust SSL-Portaaliin. Jatka lukemista ”Vieraskynä: Wesentran asiakkaaksi varmennuksen vuoksi”

Vieraskynä: Kokemuksia Wildcard-varmenteen hankkimisesta

MPL_Marko_Kuva1

Tämä ingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa kahden kappaleen päästä.

MPL_Marko_Kuva2Artikkelin kirjoittaja Marko Alamäki MLP Modular Learning Processes Oy:sta on kasvatustieteilijä, joka työssään törmää usein IT-alan kysymyksiin. Ja nyt hän törmäsi tarpeeseen hankkia SSL-varmenne uuteen verkkokauppasivustoon. Tämä on hänen tarinansa 🙂

Se sisältää mm. kohdan ”… Analysoin mielenkiinnosta verkkokauppamme sivuston sertifikaatin mukana tulleilla työkaluilla. Tulosten perusteella pystyimme ehdottamaan palvelimen ylläpitäjälle tiettyjen protokollien poistamista palvelun konfiguraatiosta ja palvelusta tuli entistäkin turvallisempi. …”

Jatka lukemista ”Vieraskynä: Kokemuksia Wildcard-varmenteen hankkimisesta”