Taso 9 = Akuuttia

CAA Record ja DNS Zone file: 8.9.2017 Alkaen varmentajien (CA) on tarkastettava tämä tieto voidakseen myöntää varmenteen.

Mistä tässä oikein on kyse?

CAA Record, eli ”Certificate Authority Authorization” on DNS tietueelle lisättävä tieto joka sanelee minkä CA:n eli varmennevalmistajan, eli CA:n (Esim. Entrust Datacard) varmenteita kyseiselle domainille on sallittua myöntää.  CAA Record mahdollistaa myös raportoinnin haluttuun sähköpostiosoitteeseen, mikäli domainille on myönnetty varmenne vastoin tätä määritystä. Tämä asetus astuu voimaan 8.9.2017 ja sen voi asettaa DNS (Domain Name Services) palveluiden ylläpitäjä. Tämä asetus pakottaa varmentajat tarkistamaan CAA Record tiedon, ennen kuin he voivat myöntää varmenteen. Tämä vähentää merkittävästi mahdollisuuksia virheellisten varmenteiden myöntämiselle.

Jatka lukemista ”CAA Record ja DNS Zone file: 8.9.2017 Alkaen varmentajien (CA) on tarkastettava tämä tieto voidakseen myöntää varmenteen.”

Taso 9 = Akuuttia

Muistathan, että SHA-1 -allekirjoitetut SSL/TLS -varmenteet eivät enää toimi helmikuussa 2017 ?

lukittu_laptop_740x400”In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.”

Teimme tilannekatsauksen omien asiakkaidemme SSL/TLS -varmenteisiin ja löysimme vielä paljon SHA1-allekirjoitettuja varmenteita. Aloitamme nyt loppuvuoden talkoot ja yritämme infota kaikkia asianosaisia asiakkaitamme yksitellen. Varmenteen uusiminen SHA-2 -muotoon on maksutonta (yleensä CA-toimijoilla ja ainakin Wesentralla/Entrustilla).

Lähdetään liikkeelle näin blogin, LinkedInin ja Scoopin kautta.

Tässä vielä linkki Microsoftin huhtikuun artikkeliin ja sen oleellisin osa alla.

”Starting with the Windows 10 Anniversary Update, Microsoft Edge and Internet Explorer will no longer consider websites protected with a SHA-1 certificate as secure and will remove the address bar lock icon for these sites. These sites will continue to work, but will not be considered secure. This change will be in upcoming Windows Insider Preview builds soon, and will be deployed broadly this summer. In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.”

Mistä tietää, onko web-sitella SHA-1 vai SHA-2 (eli SHA-256) ? Lue tästä lisää …

Jatka lukemista ”Muistathan, että SHA-1 -allekirjoitetut SSL/TLS -varmenteet eivät enää toimi helmikuussa 2017 ?”

Taso 9 = Akuuttia

Seuraamiamme SSL-haavoittuvuuksia

Murrettu_lukko_1Päivitämme tähän artikkeliin tietoomme tulleita haavoittuvuuksia, joilla mielestämme voi olla vaikutusta suomalaisten organisaatioiden SSL-varmenteiden hyödyntämiseen.

Seuraavien vaikutusta on vielä vaikea arvioida asiakkaillemme:

16.8.2016 / Viestintävirasto: Haavoittuvuus WebKit-pohjaisissa sovelluksissa
(Artikkeli toteaa, että saattaa vaikuttaa esim. Operaan, Safariin ja Chromeen – toimittajat eivät kuitenkaan ole 1,5 kuukauden aikana ainakaan raportoineet päivitystarpeita)

Tiedossa ei ole, että nämä olisivat aiheuttaneet ongelmia asiakkaillemme:

2.8.2016 / NCSC-FI: Intel CrossWalk project does not validate SSL certificates after first acceptance

4.7.2016 / Security Tracker: HPE Service Manager: A remote user may be able to decrypt TLS connections in certain situations.

Jatka lukemista ”Seuraamiamme SSL-haavoittuvuuksia”