Taso 4 = Varmenneteknologiaa

*.edu.hel.fi -varmenne pudotti Helsingin Wilman 13.8. – on parempikin tapa hallita wildcard SSL-varmenteita

miten_paivitys_700X400Helsingin Sanomat julkaisi 13.8. artikkelin ”Koululaisten Wilma-järjestelmän ongelmat aiheuttivat kaaosta helsinkiläiskodeissa – Joku unohti tehdä elintärkeän päivityksen

Wilma-HEL-1

Wilma-HEL-2

Kyseessä oli vanhentunut wildcard-tyyppinen SSL-varmenne *.edu.hel.fi

Kun nyt ongelman ratkaisun jälkeen katsoo sivulle päivitettyä varmennetta niin huomaa, että se on itse asiassa tehty jo 15.6.2018.

Se on ilmeisesti vain unohtunut päivittää Wilma-sivuille.

Tämä tapahtuma näyttää, kuinka haavoittuva wildcard-varmenne voi olla, jos sitä vain kopioidaan palvelimelta toiselle. Jos wildcard-varmenteita halutaan käyttää, niin  onneksi on olemassa uusikin tapa. Tällöin jokaiselle palvelimelle syntyy oma maksuton varmennekopio (duplikaatti), jolloin hallintakonsolilta myös näkyy, minne wildcard-varmenteet on asennettu ja missä ne ovat vanhenemassa.

Jatka lukemista ”*.edu.hel.fi -varmenne pudotti Helsingin Wilman 13.8. – on parempikin tapa hallita wildcard SSL-varmenteita”

Taso 4 = Varmenneteknologiaa

Scripti, joka tarkastaa, onko Multi-Domain-varmenne asennettu kaikkiin osoitteisiin joita se suojaa

hand_script_700x400

En ole scriptaaja tai koodaaja, enkä ole koskaan suuremmin edes pitänyt koodaamisesta, johtuen siitä, että en ole kovinkaan hyvä siinä. Oli kuitenkin pakko tarttua ”härkää sarvista”, kun asiakkaallamme oli pulma, josta ajattelin, että sen voisi ratkaista pienellä OpenSSL:ää hyödyntävällä scriptillä.

Asiakkaallamme on käytössä Multi-Domain-varmenne, jossa on verrattain suuri määrä SANeja. Webbisivut, joita varmenteella suojataan, ovat useammalla eri alustalla, ja aina kun varmenne uusitaan tai siihen lisätään SANeja, varmenne pitää jaella ja ottaa käyttöön kaikilla alustoilla/osoitteilla uudestaan. Heillä oli ongelmana se, ettei ollut järkevää tapaa varmistaa uuden/uusitun varmenteen asennusta tarvittaville alustoille. Jatka lukemista ”Scripti, joka tarkastaa, onko Multi-Domain-varmenne asennettu kaikkiin osoitteisiin joita se suojaa”

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #6 ”How a Reliable CA Can Help with the Certificate Lifecycle?” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan  kuudes osa on “How a Reliable CA Can Help with the Certificate Lifecycle?”. Tämä 57-minuuttinen webinaari kertoo tavoista, joilla hyvä ja luotettava varmennetoimittaja (CA) voi auttaa palvelinten tietoturvan lisäämisessä. Tämä webinaari oli ”Best Practices” -sarjan viimeinen.

Pitäjä: Mark Giannotti    Pituus: 57 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Entrust kuvaa eri SSL-varmenteiden työkalut osana Turvallisen Palvelimen Elinkaarta. Tämä antaa loogisen viitekehyksen niiden optimaaliselle käytölle. Esimerkki SHA1 –> SHA2 -muutoksen tekemisestä näillä työkaluilla on mainio.

Sisällöstä otteita:

  • Aika 0 – 9 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 9 –15 minuuttia: Luotettavan varmentejan (CA) valinta
    • SSL/TLS -guru Ivan Ristic: Katso varmentajan tietoturvahistoria, millaisen osuuden toiminnasta varmenteet muodostavat, millainen on sulkulistapalvelu (OCSP, CRL), tuotevalikoima, varmenteiden hallintatyökalut, tuki
  • Aika 15 – 27 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – taustaa
    • Haasteet:
      • Miten estetään palvelukatkokset SSL-varmenteiden vanhenemisesta?
      • Miten vältetään tietohyökkäyksille altiit vanhat SSL/TLS -protokollat?
      • Kehittyvä teknologia (ECC, OCSP Stapling, HTTP/2, …)
      • Yhdenmukaisuus tietoturvastandardeihin (PCI, HIPAA, …)
      • Resurssien riittävyys
    • Entrustin Turvallinen Palvelimen Elinkaari (Secure Server Lifecycle)
      • Nykyisten varmenteiden tunnistaminen/skannaus (Discovery)
      • Tehokas varmennevaraston käyttö (helppo prosessi, varmenteiden kierrätys, …)
      • Varmenteet välittömästi (etukäteisvarmennus, portaalin käyttö, reissue, rekey, …)
      • Helppo varmenteiden asennus (täydellinen toimitus, automaattiasennus, ohjeistus, …)
      • SSL-varmenteiden ja palvelimien valvonta (uhkien tunnistaminen, reagointi, …)
      • Raportointi (vanhenevat varmenteet, uhatut palvelimet, …)
  • Aika 27 – 50 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – käytäntöä
    • Työkaluja, joilla Entrust toteuttaa Turvallisen Palvelimen Elinkaaren:
      • Palvelukatkoksen välttäminen: Vanhenemisilmoitukset + Discovery-valvonta
      • Vaaralliset protokollat web-palvelimilla: SSL Server Test, valvonta/raportointi
      • Uusien uhkien välttäminen: Varmenteiden helpot muutokset tarvittaessa (ReIssue), Entrustin tarjoamat Best Practices -menetelmät ja -tuki, automaattinen (esim. viikottainen) palvelinten protokollien tarkastus ja hälytykset
      • Esimerkki: Miten Entrust-työkalut auttavat SHA1àSHA2 -muutoksessa:
        • 1) Kaikkien varmenteiden skannaaminen ja SHA1-varmenteiden löytäminen Discovery-työkalulla
        • 2) Tehokas varmennevaraston käyttö säästää rahaa kun esim. Pooling-mallissa voidaan kierrättää varmenteet
        • 3) Uudet SHA2-varmenteet saadaan välittömästi
        • 4) SHA2-varmenteiden mukana tulee koko uusi varmenneketju ja ohjeet – tai voit käyttää automaattista Turbo-asennusta IIS:lle
        • 5) Automaattinen SSL Server Test näyttää muutostyön etenemistä
  • Aika 50 – 54 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
  • Aika 54 – 57 minuuttia: Kysymyksiä ja vastauksia:
    • ”Mitä ovat DV/OV/EV -varmenteet, jotka näkyivät webinaarissa”

Lisää tietoa: info (at) wesentra.com           tai        https://www.wesentra.com

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #5 ”Keys, Certificates and Advanced Certificates” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan viides osa on ”Keys, Certificates and Advanced Certificates”. Tämä 65-minuuttinen webinaari esittää tapoja varmenteisiin liittyvien avaimien hallintaan ja kertoo edistyneimmistä varmennevaihtoehdoista (Multi-domain, Wildcard, EC, Private).

Pitäjä: Mark Giannotti    Pituus: 65 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Esim. finanssilaitosten kokemukset siitä, että heidän asiakkaansa osaavat odottaa EV-varmenteita ja jos osoitepalkki ei muutu vihreäksi (ja pankin nimi ei näy osoiterivillä), käyttäjät muuttuvat epäluuloisiksi
  • EC-varmenteiden käsittely käytännössä

Sisällöstä otteita:

  • Aika 0 – 14 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 14 –30 minuuttia: Varmenteet ja salaiset avaimet
    • Salaisten avainten suojaus – aina uusi avain varmenteen uusimiseen – poista tarpeettomat
    • Avainten rajoitteet – RSA-avain vähintään 2048 bittiä – älä tee turhaan pidempiä
    • Mitä domain-nimiä varmenteen pitäisi kattaa
    • Salaisen avaimen kopioimisessa toiselle palvelimelle on riskinsä
    • Haasteet itse allekirjoitetuissa varmenteissa (omalla PKI:lla)
    • Varmenteet privaattidomaineille (non-FQDN)
  • Aika 30 – 53 minuuttia: Edistykselliset varmenteet (Advanced Certificates)
    • Multi-domain -varmenteet (= Unified Communication / UC-varmenteet tai SAN-varmenteet)
    • Wildcard vs. Multi-domain – Wildcard on joustava mutta sen hallinta on haastavampaa
    • Esimerkki: F5 front end ja useita palvelimia sen takana – mikä on hyvä varmenneratkaisu?
    • EV (Extended Validation) – kriittisillä palveluilla käyttäjät odottavat vihreää osoitepalkkia
    • ECC – Elliptic Curve Cryptography – esim. 256-bit ECC-avain vastaa tietoturvaltaan 2048-bit RSA-avainta ja on paljon nopeampi. Haaste on, onko ECC-root kaikilla käyttäjillä. ECC-varmenteen saa nykyisestä Portaalista tekemällä ECC-varmennehakemuksen.
  • Aika 53 – 60 minuuttia: Varmenteet privaattidomaineille (Non Registered Domains)
    • Miksi CA/Browser Forum pysäytti julkiset varmenteet privaattidomaineille
    • Ratkaisu: Private Trust -varmenne – mahdollistaa Entrust-varmenteen privaattidomainille. Tämä vaatii Private Rootin jakamisen käyttäjille.
  • Aika 60 – 65 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon

Lisää tietoa: info(at)wesentra.com       tai   https://www.wesentra.com

Taso 4 = Varmenneteknologiaa, Taso 5 = Entrust SSL-Portaali

SSL/TLS -tietoa myös lukupaketteina

kasi_ja_pallo

Oletko visuaalinen vai auditiivinen? Eli omaksutko uutta tietoa mieluummin lukemalla vai kuuntelemalla? Ja kuinka tiivistä infoa kaipaat?

Yksi Wesentran ja tämän blogin tavoitteista on antaa lukijoille vinkkejä siitä, mistä SSL/TLS -varmenteisiin ja -teknologiaan liittyvää tietoa saa mahdollisimman helposti. Siksi olen kirjoittanut lyhennelmiä Entrustin SSL Best Practices -webinaareista. Tavoitteena on auttaa lukijaa löytämään kustakin (noin tunnin) webinaarista parhaat palat.

Samaa tietoa on saatavissa myös tehokkaina lukupaketteina. Joista itse tutustuin kahteen.

Vertasin Entrust Datacardin Bruce Mortonin SSL Best Practices -dokumenttia (36 varsinaista sivua tekstiä) ja SSL Labsin Ivan Ristićin kesäkuussa päivittämää HTML-sivua SSL and TLS Deployment Best Practices -sivustoa (n. 5000 sanaa).

Morton kirjoittaa hyvin ja taustoittaa asian mainiosti. Toisaalta Ristićille täytyy hattua nostaa siitä, kuinka hän on saanut ilmaistua niin paljon oleellista tietoa noin lyhyessä tekstissä.

Varmaan näillä kaikilla on paikkansa – ehkä vaikka näin:

  • webinaarit niille, jotka mieluummin kuuntelevat asiaa ja katsovat PPT-kalvoja + demoja ja kaipaavat laaja-alaista asian käsittelyä (webinaareihin löydät linkit tämän blogin lyhennelmä-artikkeleista)
  • Mortonin dokumentti niille, jotka haluavat luettua tekstiä ja enemmän taustainfoa
  • Ristićin sivusto niille, jotka kaipaavat erittäin tiivistä tietoa palvelinten konfigurointia varten

Vielä vinkki Entrustin SSL-Portaalia käyttäville asiakkaillemme: Muistattehan, että Portaaliin on linkitetty Ristićin loistava ekirja ”Bulletproof SSL and TLS”, joka päivittyy online. Portaalin eri toiminnot viittaavat mainiosti sopiviin kohtiin ko. kirjasta.

Kaipaatko lisää infoa – tai vain juttuseuraa SSL/TLS -asian tiimoilta? Meiltä tuota löytyy. Laita viestiä: info@wesentra.com

 

 

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #4 ”Domain Protection” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan neljäs osa on ”Domain Protection”. Tämä 56-minuuttinen webinaari kertoo neljästä eri menetelmästä suojata oma domain siten, ettei kukaan pääse tekemään valheellista varmennetta saman nimiselle domainille ja ohjamaan liikennettä sinne.

Pitäjä: Mark Giannotti    Pituus: 56 minuuttia     Tekninen vaativuustaso 3 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Eri suojaamismenetelmät ja niiden perustoimintatavat
  • Mitä kannattaa huomioida HTTP Public Key Pinning -määritteissä

Jatka lukemista ”Entrust-webinaari #4 ”Domain Protection” – kannattaako katsoa?”

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #3 ”Server Configuration” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan kolmas osa on ”Server Configuration”

Artikkeli_X_Server_Test_A

Tämä 60-minuuttinen webinaari antaa hyviä ja konkreettisia ohjeita siihen, miten saat webbipalvelimestasi turvallisen.

Jos palvelimellasi on jäänyt päälle turvattomia protokollia, voi tilanne olla aika synkeä käyttäjiesi kannalta – ulkopuoliset voivat saada käsiinsä käyttäjien sivuillesi antamansa tiedot:

Artikkeli_X_Server_Test_Fail

Pitäjä: Mark Giannotti          Pituus: 60 minuuttia         Tekninen vaativuustaso 4 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Hyvin selväpiirteiset käytännön ohjeet, mitä kannattaa tehdä palvelimen SSL/TLS -konfiguroinnissa ja missä järjestyksessä
  • OCSP Stapling -menetelmän idea
  • Se, että 4096 -pituinen RSA -avain voi hidastaa palvelimen toimintaa

Jatka lukemista ”Entrust-webinaari #3 ”Server Configuration” – kannattaako katsoa?”