Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti kolmannen osan antia.
Jatka lukemista ”Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?””
Järjestämme keskiviikkona 6.2.2019 klo 11:30 – 16:00 seminaarin Helsingin Jätkäsaaressa. Voit seurata seminaarin kolmea sessiota myös netissä.
Jatka lukemista ”Seminaari 6.2.2019”
Varmenteiden turvallisuuden kolme tasoa
Olemme kirjoittaneet aiheesta kohta jo romaanin verran, mutta ehkäpä on jälleen aika palata aiheeseen. En lähde syvällisesti kuvaamaan varmenteiden kolmea turvallisuuden tasoa (Domain Validation = DV, Organization Validation = OV ja Extended Validation = EV), näistä voitte lukea aiemmista blogeistamme. Sen sijaan otan kantaa siihen miksi organisaatioiden, jotka haluavat näyttää asiakkailleen välittävänsä tietoturvasta, tulisi käyttää vähintään OV tasoisia varmenteita. Referoin tässä hiljattain The Register julkaisun artikkelia, jossa kerrotaan saksalaisten tutkijoiden löytäneen keinon kuinka huijata joitakin varmennuspalveluita (Certificate Authority eli CA) myöntämään varmenteita palveluun hyökkääjälle.
Jatka lukemista ”Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea”
Helsingin Sanomat julkaisi 13.8. artikkelin ”Koululaisten Wilma-järjestelmän ongelmat aiheuttivat kaaosta helsinkiläiskodeissa – Joku unohti tehdä elintärkeän päivityksen”
Kyseessä oli vanhentunut wildcard-tyyppinen SSL-varmenne *.edu.hel.fi
Kun nyt ongelman ratkaisun jälkeen katsoo sivulle päivitettyä varmennetta niin huomaa, että se on itse asiassa tehty jo 15.6.2018.
Se on ilmeisesti vain unohtunut päivittää Wilma-sivuille.
Tämä tapahtuma näyttää, kuinka haavoittuva wildcard-varmenne voi olla, jos sitä vain kopioidaan palvelimelta toiselle. Jos wildcard-varmenteita halutaan käyttää, niin onneksi on olemassa uusikin tapa. Tällöin jokaiselle palvelimelle syntyy oma maksuton varmennekopio (duplikaatti), jolloin hallintakonsolilta myös näkyy, minne wildcard-varmenteet on asennettu ja missä ne ovat vanhenemassa.
Heinäkuussa julkaistavasta versiosta 68 alkaen Google Chrome -selain alkaa varoittaa sivustoista, joilla ei ole SSL-varmennetta.
Autamme mielellämme korjaamaan asian: myynti@wesentra.com / 010 338 2170
Olemme tiedottaneet alkukevään aikana asiakkaitamme muutoksesta verifioinnissa. Tässä myös aiheeseen liittyvä kooste blogikirjoituksen muodossa.
Kaikkia varmentajia säätelevä CA/Browser Forum on päättänyt, että 1.8.2018 alkaen kaikkien Certificate Authority (CA) -toimijoiden tulee verifioida domainit muuten, kuin WHOIS-tietoihin kirjatun omistajatiedon perusteella. Tämä muutos koskee kaikkia varmentajia.
Viime viikolla tuli tietoa kohua herättäneestä varmenteiden peruutuksesta. On vaikea ymmärtää, mitä tässä on oikeasti tapahtunut. Kun katson Trusticon ilmoitusta 28.2. ja sitten DigiCertin ilmoitusta varmenteiden peruuttamisesta 28.2. en voi välttää ajatusta: ”Miten ihmeessä Trusticolla oli hallussaan myöntämiensä SSL-varmenteiden privaattiavaimet?”
Jatka lukemista ”23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.”
Miten kirjoittaa tilanteesta, jossa kilpailija on ongelmissa? Myyjän perinteinen ohje on: ”Kerro omista vahvuuksista, älä kilpailijan heikkouksista”.
Kun ollaan kuitenkin tilanteessa, jossa tutkimuslaitos Gartnerkin on syyskuussa ehdottanut Symantecin SSL-varmenneasiakkaille varasuunnitelman tekemistä, lienee parasta kertoa avoimesti, miltä tilanne näyttää näin Entrust-edustajan silmin.
Alla olevan tarinan juoni pähkinänkuoressa on, että useat merkittävät koti- ja ulkomaiset organisaatiot ovat alkaneet käyttää Entrustin varmenteita Symantecin rinnalla. Kirjoituksen tarkoitus on osin kertoa, että tällainen varautuminen on Suomessakin helppoa eikä aiheuta isoja kustannuksia.
Jatka lukemista ”Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma””
Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.
Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.
Wesentra laajentaa tuotevalikoimaansa kotimaisilla Telian SSL-varmenteilla. Niillä varmistetaan web-sivujen ja -palvelujen turvallinen käyttö. Wesentra on kotimainen SSL-varmenteiden asiantuntija sekä SSL-tietoturvatuotteiden ja -palvelujen tarjoaja.
Jatka lukemista ”Telian kotimaiset SSL-varmenteet Wesentran valikoimaan”
