Viime viikolla tuli tietoa kohua herättäneestä varmenteiden peruutuksesta. On vaikea ymmärtää, mitä tässä on oikeasti tapahtunut. Kun katson Trusticon ilmoitusta 28.2. ja sitten DigiCertin ilmoitusta varmenteiden peruuttamisesta 28.2. en voi välttää ajatusta: ”Miten ihmeessä Trusticolla oli hallussaan myöntämiensä SSL-varmenteiden privaattiavaimet?”
Jatka lukemista ”23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.”
Miten kirjoittaa tilanteesta, jossa kilpailija on ongelmissa? Myyjän perinteinen ohje on: ”Kerro omista vahvuuksista, älä kilpailijan heikkouksista”.
Kun ollaan kuitenkin tilanteessa, jossa tutkimuslaitos Gartnerkin on syyskuussa ehdottanut Symantecin SSL-varmenneasiakkaille varasuunnitelman tekemistä, lienee parasta kertoa avoimesti, miltä tilanne näyttää näin Entrust-edustajan silmin.
Alla olevan tarinan juoni pähkinänkuoressa on, että useat merkittävät koti- ja ulkomaiset organisaatiot ovat alkaneet käyttää Entrustin varmenteita Symantecin rinnalla. Kirjoituksen tarkoitus on osin kertoa, että tällainen varautuminen on Suomessakin helppoa eikä aiheuta isoja kustannuksia.
Jatka lukemista ”Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma””
Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.
Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.
Valitettavasti jokainen selaintoimittaja on halunnut esittää eri symbolein nämä eri tasot. Ja kun vielä eri selainversioissa on vaihtelevuutta, olemme todellisessa suossa. Kuten alla näkyy. Ja sivuilla kävijän pitäisi pystyä jotenkin päättelemään, onko hän sivuilla, jonka tarjoajan joku luotettava taho on käynyt varmentamassa.
Merkittävimmät varmentajat (CAt) ovat yhdessä esittäneet alla olevaa yhtenäistä esittämistapaa https-sivujen eri varmentamistasoille. Esitys on tehty syyskuussa 2017.
Tämä toisi selvyyden sivuilla kävijälle:
Esitystä kannattavat mm.
Katso tästä asiaa käsittelevä webinaari – toinen esittäjistä on varmentajien yhteisön, CA/Browser Forumin puheenjohtaja Chris Bailey.
Lisätietoja: info(at)wesentra.com tai https://www.wesentra.com
Wesentra laajentaa tuotevalikoimaansa kotimaisilla Telian SSL-varmenteilla. Niillä varmistetaan web-sivujen ja -palvelujen turvallinen käyttö. Wesentra on kotimainen SSL-varmenteiden asiantuntija sekä SSL-tietoturvatuotteiden ja -palvelujen tarjoaja. Jatka lukemista ”Telian kotimaiset SSL-varmenteet Wesentran valikoimaan”
Kun olemme seuranneet Googlen ja Symantecin välistä luottamuspulaa keväästä alkaen, lienee oikeus ja kohtuus että myös julkaisemme tässä blogissa ratkaisun, jonka Symantec on 7.10.2017 esittänyt artikkelissaan ”Information for Replacement of Symantec SSL/TLS Certificates”
Artikkeli kertoo, mitä toimenpiteitä Symantec/VeriSign/Thawte/GeoTrust -varmenteiden haltijoiden tulee tehdä, jotta välttävät Chromen puutteellisesta tietoturvasta kertovat varoitukset.
Alla on vielä linkit aiemmin julkaisemiimme blogiartikkeleihin tästä asiasta:
27.3. Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä
12.6. Google ja Symantec lähenemässä sopua luottamusongelmassa?
9.8. Symantec myy SSL-varmenteiden liiketoiminnan DigiCertille!
Lisätietoja: info(at)wesentra.com tai https://www.wesentra.com
Alla oleva artikkeli on julkaistu Turvallisuus & Riskienhallinta -lehden numerossa 9/2017. Sen tavoitteena on antaa https-sivustoa kaipaavalle organisaatiolle yleistajuisesti tietoa siitä, minkä tasoinen varmenne sivuille kannattaa hankkia: DV, OV vai EV.
Tietoturvallisten verkkosivujen kolme tasoa -artikkeli löytyy tästä
Lisää tietoa: info(at)wesentra.com tai https://www.wesentra.com
Tämän artikkelin tavoitteena on näyttää millainen joskus voi olla varmenteen tilaus- ja toimitusprosessi, kun se on hieman haastavampi ja lopputulokseen ei päästäkään normaalissa parissa päivässä. Mutta maaliin päästään sitkeydellä.
