Taso 3 = Verifioinnista (XV-DV-OV-EV), Yleinen

Apua asiakkaille sopivan varmennustason valintaan (DV/OV/EV)

Alla oleva artikkeli on julkaistu Turvallisuus & Riskienhallinta -lehden numerossa 9/2017. Sen tavoitteena on antaa https-sivustoa kaipaavalle organisaatiolle yleistajuisesti tietoa siitä, minkä tasoinen varmenne sivuille kannattaa hankkia: DV, OV vai EV.

Tietoturvallisten verkkosivujen kolme tasoa -artikkeli löytyy tästä

K1

K3

K2

Lisää tietoa: info(at)wesentra.com    tai      https://www.wesentra.com

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Vieraskynä: Miksi halusimme EV-varmenteen?

olet_varmasti_saitilla_700x400

Tämä sami_suni_statementingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa alempaa.

Näemme lisääntyvää kiinnostusta EV-varmenteiden käyttöön. Tässä Sami Suni, Showellin perustaja ja CEO kertoo mitä hyötyä Showellille on EV-varmenteesta.

<** Samin oma teksti alkaa tämän jälkeen **>

 

Meille EV-varmenne oli tärkeä, koska halusimme, että uskottavuus niin Suomessa kuin KV-markkinassa on mahdollisimman hyvä.

EV-varmenteen avulla yrityksemme näyttää isommalta/uskottavammalta ja meille myös tietoturvanäkökulma on tosi tärkeä, eli haluamme kaikessa viestiä sitä, että olemme luotettava ja varma kumppani.

Ja näyttäähän tuo paremmalta osoiterivillä 🙂

Showell

Wesentralta saimme asiantuntevaa ja aktiivista palvelua. Asiat etenivät sovitusti ja saimme selkeää tietoa siitä mitä missäkin vaiheessa tapahtuu. Olemme tyytyväisiä.

Ystävällisesti,
Sami

Lisää tietoa: info(at)wesentra.com     tai      https://www.wesentra.com/

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Yrityksen tärkein työntekijä?

keyhole_700x400Tämä kysymys taitaa liittyä yleensä enemmän pikkujoulujen loppuiltaan kuin arkiseen työkeskusteluun. Näin SSL-varmenteita toimittavassa yrityksessä tämä tuli kuitenkin mainiosti esille vastikään, joten tämä on hyvä jakaa.

Olemme Wesentrassa keskenämme useaan otteeseen todenneet, että palvelu on tärkein voimavaramme. Jos asiakkaat voivat ongelmatilanteessa – joka usein on kiireinen – saada meiltä apua, niin täytämme yrityksemme tehtävän. Miellämme tällöin tilanteen helposti jonkun teknisen ongelman ratkaisemiseksi. Jatka lukemista ”Yrityksen tärkein työntekijä?”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Lisäävätkö ilmaiset DV-varmenteet tietoturvaa vai kärsiikö SSL-lukko inflaation?

phishing_700x400

”LetsEncrypt oli myöntänyt 8.12.2016 mennessä 409 SSL-varmennetta domaineille, joiden nimessä oli sana ’Paypal’. Tähän aamuun mennessä tuo määrä oli 709.”

Eric Lawrence kirjoitti tämän Text/Plain -blogissaan 16.1.2017.

On selvää, että kun rikolliset tahot saavat DV-tason SSL-varmenteet ilman tietojen antamista tai luottokortin käyttöä, ovat myös kaiken maailman heppoiset kalastelusivut SSL-lukon suojaamia. Ja useat käyttäjät eivät ymmärrä eroa DV ja OV/EV -varmenteiden välillä.

Pitäisikö syyttää Let’s Encryptiä tämän mahdollisuuden luomisesta? Tuskin. Määrätietoiset rikolliset saisivat kyllä DV-varmenteensa usein muutenkin. Josh Aas (Executive Director, ISRG = LetsEcryptin taustavoima) kirjoitti 29.10.2015 hyvän näkemyksen LetsEncryptin tarkoitusperistä:

”Since we announced Let’s Encrypt we’ve often been asked how we’ll ensure that we don’t issue certificates for phishing and malware sites. The concern most commonly expressed is that having valid HTTPS certificates helps these sites look more legitimate, making people more likely to trust them.

Deciding what to do here has been tough. On the one hand, we don’t like these sites any more than anyone else does, and our mission is to help build a safer and more secure Web. On the other hand, we’re not sure that certificate issuance (at least for Domain Validation) is the right level on which to be policing phishing and malware sites in 2015. This post explains our thinking in order to encourage a conversation about the CA ecosystem’s role in fighting these malicious sites. …”

Miten loppukäyttäjä voi olla varma siitä, ettei anna tietojaan rikollisten käyttöön? Kenellä on vastuu sen tarkastamisesta, että web-sivuston tarkoitusperä on laillinen: selaimien toimittajille, sivustojen tekijöillä, varmenteiden toimittajilla, loppukäyttäjillä? Tämä keskustelu käy kuumana.

OV/EV -varmenteiden toimittajat haluaisivat, että käyttäjä näkisi selvästi eron OV ja DV -varmenteen välillä. Tavoitteena on sen tiedon levittäminen, että DV-tason SSL-lukko ei takaa sivuston toimittajasta tai tarkoitusperistä mitään. Ja että OV-tasoisen SSL-lukon julkaisijaorganisaation on tarkistanut luotettava kolmas taho (toki tällöinkään varmentaja ei osaa sanoa, minkä laatuista palvelua organisaatio tarjoaa). EV-lukkohan on jo eri näköinen ja iso osa käyttäjistä osaa vaatia sitä esimerkiksi web-kaupoissa.

Wesentran näkökulmasta tärkeintä tässä vaiheessa on tiedon jakaminen DV/OV/EV -eroista. Ja oman työmme tekeminen niin hyvin, että kaikki varmentamamme OV/EV -sivustot todella ovat niiden organisaatioiden julkaisemia, joiden nimi lukee varmenteessa.

Lisää tietoa:   info (at) wesentra.com       tai       https://www.wesentra.com

 

 

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Vieraskynä Entrust Datacardilta: Verifiointiprosessi ulkomailla

swimming_computer

stephen_demone(Tämä artikkeli julkaistaan yhtä aikaa myös englanniksi)

Artikkelin kirjoittaja on Stephen Demone, joka työskentelee verifiointiasiantuntijana Entrust Datacardilla Ottawassa, Kanadassa. Verifiointiosaamisensa lisäksi Stephen on jo kannuksensa ansainnut kirjailija neljällä novellillaan sekä jääkiekkokirjoituksillaan foorumilla SBNation web site.

Tässä artikkelissa Stephen käsittelee verifiointiprosessia ja sen haasteita – erityisesti vieraissa kulttuureissa ja vierailla kielillä. Hän kertoo myös Entrust Datacardin ja Wesentran yhteistyöstä esimerkiksi seuraavaa:

”Paikallinen edustus kohdemaassa on tehokkain tapa palvella tiettyä kohdemarkkinaa mahdollisimman ketterästi. …  Paikallisesti alueisiinsa kytkeytyneet varmentajat ovat lisäksi paremmin selvillä tietojen saatavuudesta – …”

<** Stephenin oma teksti alkaa tämän jälkeen … Lue lisää **>

Jatka lukemista ”Vieraskynä Entrust Datacardilta: Verifiointiprosessi ulkomailla”

About SSL certificates, Taso 3 = Verifioinnista (XV-DV-OV-EV)

Quest writer from Entrust Datacard: Verification process in foreign countries

swimming_computer

stephen_demone(This article is published at the same time in Finnish also)

The writer of this post is Stephen Demone who is working as a verification specialist at Entrust Datacard in Ottawa, Canada. In addition to being an expert in verification Stephen is an established author with four novels and with major contribution to SBNation web site (ice hockey !) .

In this article Stephen addresses the process and challenges of verification – especially in foreign cultures and with foreign languages as well as the cooperation between Entrust Datacard and Wesentra. He states for example:

”Having a local presence in a country is the most effective method of being able to serve a specific market in the most agile fashion. … CAs who are locally plugged into their regions can also gain a better sense of the availability of information – …”

<** Stephen’s article starts after this … Read more … **>

Jatka lukemista ”Quest writer from Entrust Datacard: Verification process in foreign countries”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

OV/EV/DV – mitä loppukäyttäjä oikein näkee?

OV – Organizational Validation

Tältä näyttää OV-tason SSL-varmenne. Organisaation nimi ei näy osoiterivillä, mutta se löytyy katsottaessa varmenteen tietoja.

ov_varmennus

Organisaation validointi tarkoittaa lyhyesti sitä, että varmenteesta löytyvä organisaation nimi on varmistettu kuuluvaksi sitä käyttävälle palvelulle. Tämä validointi ei luota pelkästään sähköpostiin tai muuhun teknisesti tuotettuun tietoon, vaan sisältää varmentajan henkilökohtaisesti tekemän tarkistuksen tilaajan aitouden todentamiseksi. Tämä organisaation validointi on tapahtuma joka tehdään ensimmäisellä kerralla, kun tilauksia tehdään, ja tarkistetaan (yleensä) kolmen vuoden välein.

EV – Extended Validation

Tältä näyttää EV-tason SSL-varmenne. Organisaation nimi näkyy heti osoiterivillä sekä varmenteen tarkemmissa tiedoissa. Palkki/nimi on vihreä, mikä kertoo käyttäjälle, että kyseessä on korkeimman tietoturvatason varmenteella suojattu sivusto.

ev_varmennusKyseessä on vastaava prosessi kuin organisaation validointi, mutta entistäkin syvemmälle uppoava. Tätä käytetään korkeaa tietoturvaa vaativilla sivuilla kuten verkkokaupoissa, verkkopankeissa ja sivuilla, jonne käyttäjän pitää antaa esim. luottokorttitietoja tai henkilökohtaisia tietojaan. Kun selaimessa näkyy vihreä palkki, tiedät että sen saamiseksi on tarvittu suuri määrä salapoliisityötä ja tarkistuksia.

DV – Domain Validation

Tältä näyttää DV-tason SSL-varmenne. Organisaation nimeä ei näy missään, koska kukaan ei ole varmentanut, mikä organisaatio domainin on pystyttänyt tai kuka sen on valtuuttanut.

(Kuten näet, käyttää blogialustamme toimittaja Let’s Encrypt -menetelmän tarjoamia ilmaisia DV-varmenteita. Blogisivulle DV voi olla järkevä ratkaisu, koska kävijän ei yleensä tarvitse antaa blogisivuille mitään tietoja. Tämä kannattaa miettiä. Olemme jo nähneet asiakkaiden siirtyvän Let’s Encryptistä pois. Yhdessä tapauksessa kyse oli siitä, että Let’s Encryptiä ei saatu toimimaan riittävän luotettavasti. Kuitenkin useammassa tapauksessa kyse on ollut siitä, että asiakas haluaa sivun käyttäjille turvaa OV- tai EV-varmenteella. Toki toivomme, että blogialustatoimittajammekin siirtyy vähitellen OV- tai EV-varmenteeseen, jolloin blogin tarjoava organisaatiokin on varmistettu 🙂 ).

dv_varmennusDomain Validation on palvelun domainiin (esim. http://www.domain.fi) perustuva tarkistus. Tämä on validoinnin heikoin lenkki. Omistajuuden tarkistus perustuu pääsääntöisesti automatiikkaan ja tiettyihin domainin sähköpostiosoitteisiin. Prosessi on edullinen, mutta onko se luotettava? Ei välttämättä. Jokaisen organisaation, joka haluaa taata varmenteidensa oikeellisuuden ja minimoida riskit väärinkäytöksistä, pitää käyttää OV/EV-varmenteita.

 

Ja lisätietojakin saa: https://www.wesentra.com tai info@wesentra.com