SSL – Web Security Blog -SSL/TLS Certificates and more

Seminaari 6.2.2019

3.1.201922.3.2019 Leena Kuuri

Järjestämme keskiviikkona 6.2.2019 klo 11:30 – 16:00 seminaarin Helsingin Jätkäsaaressa. Voit seurata seminaarin kolmea sessiota myös netissä.

Aiheita ovat:

Electronic signing, digital signing, eIDAS, PadES
PKI Management and Managed PKI
SSL/TLS certificates – what lies ahead?

Olemme kutsuneet mukaan hyvin kokeneen esiintyjä- ja fasilitaattoriryhmän:

Chris Bailey, VP Strategy and Business Development, Entrust Datacard
- Chris on SSL-varmenteiden käytäntöjä säätelevän CA/Browser Forumin perustajajäsen)
Robert Hann, Sales Director, Entrust Datacard
- Robertilla on pitkä kokemus sähköisen allekirjoituksen ja PKI -ratkaisujen toimittamisesta eurooppalaisille organisaatioille
Antti Larvala, Director for Development, eSign for Visma Solutions
- Antti on ollut perustamassa yhtä Suomen ensimmäisistä ja suurimmista palveluista sähköisten allekirjoitusten hallintaan
Thomas Malmberg, CEO, Mintsecurity
- Thomasilla on pitkä kokemus suomalaisen yritysmaailman ja erityisesti finanssialan tietoturvasta ja hän toimii Tietoturva ry:n hallituksessa
David Terry, Business Development Director, Entrust Datacard
- Davidilla on erittäin hyvä ymmärrys sähköisten allekirjoitusten ja PKI -ratkaisujen markkinatilanteesta)

Lisätietoja ja tarkempi ohjelma aikatauluineen webissä: https://www.wesentra.com/seminars.html.

Ilmoittaudu osoitteeseen info@wesentra.com. Seminaari/webinaari on maksuton.

Tervetuloa seminaariin!

Taso 2 = Yleistä varmenteista

Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea

17.9.201824.9.2018 Markku Helli

Varmenteiden turvallisuuden kolme tasoa

Olemme kirjoittaneet aiheesta kohta jo romaanin verran, mutta ehkäpä on jälleen aika palata aiheeseen. En lähde syvällisesti kuvaamaan varmenteiden kolmea turvallisuuden tasoa (Domain Validation = DV, Organization Validation = OV ja Extended Validation = EV), näistä voitte lukea aiemmista blogeistamme. Sen sijaan otan kantaa siihen miksi organisaatioiden, jotka haluavat näyttää asiakkailleen välittävänsä tietoturvasta, tulisi käyttää vähintään OV tasoisia varmenteita. Referoin tässä hiljattain The Register julkaisun artikkelia, jossa kerrotaan saksalaisten tutkijoiden löytäneen keinon kuinka huijata joitakin varmennuspalveluita (Certificate Authority eli CA) myöntämään varmenteita palveluun hyökkääjälle.
Jatka lukemista ”Miksi ilmainen tai halpa DV varmenne ei välttämättä ole hyvä idea” →

Taso 4 = Varmenneteknologiaa

*.edu.hel.fi -varmenne pudotti Helsingin Wilman 13.8. – on parempikin tapa hallita wildcard SSL-varmenteita

16.8.201816.8.2018 Pertti Eskelinen

miten_paivitys_700X400 Helsingin Sanomat julkaisi 13.8. artikkelin ”Koululaisten Wilma-järjestelmän ongelmat aiheuttivat kaaosta helsinkiläiskodeissa – Joku unohti tehdä elintärkeän päivityksen”

Wilma-HEL-1

Wilma-HEL-2

Kyseessä oli vanhentunut wildcard-tyyppinen SSL-varmenne *.edu.hel.fi

Kun nyt ongelman ratkaisun jälkeen katsoo sivulle päivitettyä varmennetta niin huomaa, että se on itse asiassa tehty jo 15.6.2018.

Se on ilmeisesti vain unohtunut päivittää Wilma-sivuille.

Tämä tapahtuma näyttää, kuinka haavoittuva wildcard-varmenne voi olla, jos sitä vain kopioidaan palvelimelta toiselle. Jos wildcard-varmenteita halutaan käyttää, niin onneksi on olemassa uusikin tapa. Tällöin jokaiselle palvelimelle syntyy oma maksuton varmennekopio (duplikaatti), jolloin hallintakonsolilta myös näkyy, minne wildcard-varmenteet on asennettu ja missä ne ovat vanhenemassa.

Jatka lukemista ”*.edu.hel.fi -varmenne pudotti Helsingin Wilman 13.8. – on parempikin tapa hallita wildcard SSL-varmenteita” →

Taso 2 = Yleistä varmenteista

Onko sivustosi ”Not secure” heinäkuussa?

20.6.201820.6.2018 Pertti Eskelinen

Heinäkuussa julkaistavasta versiosta 68 alkaen Google Chrome -selain alkaa varoittaa sivustoista, joilla ei ole SSL-varmennetta.

Chrome v68 Not Secure 700x400 v3

Autamme mielellämme korjaamaan asian: myynti@wesentra.com / 010 338 2170

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Muutoksia Domainien verifioinnissa

8.5.201811.6.2018 Harri Tuuva

verifiointi_adjust_700x400

Olemme tiedottaneet alkukevään aikana asiakkaitamme muutoksesta verifioinnissa. Tässä myös aiheeseen liittyvä kooste blogikirjoituksen muodossa.

Tausta – CA/Browser Forumin päätös

Kaikkia varmentajia säätelevä CA/Browser Forum on päättänyt, että 1.8.2018 alkaen kaikkien Certificate Authority (CA) -toimijoiden tulee verifioida domainit muuten, kuin WHOIS-tietoihin kirjatun omistajatiedon perusteella. Tämä muutos koskee kaikkia varmentajia.

Jatka lukemista ”Muutoksia Domainien verifioinnissa” →

Taso 2 = Yleistä varmenteista

23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.

9.3.2018 Pertti Eskelinen

kotikysymys_700x400 Viime viikolla tuli tietoa kohua herättäneestä varmenteiden peruutuksesta. On vaikea ymmärtää, mitä tässä on oikeasti tapahtunut. Kun katson Trusticon ilmoitusta 28.2. ja sitten DigiCertin ilmoitusta varmenteiden peruuttamisesta 28.2. en voi välttää ajatusta: ”Miten ihmeessä Trusticolla oli hallussaan myöntämiensä SSL-varmenteiden privaattiavaimet?”

Jatka lukemista ”23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.” →

Taso 2 = Yleistä varmenteista

Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma”

7.12.20177.12.2017 Pertti Eskelinen

game_plan_700x400

Miten kirjoittaa tilanteesta, jossa kilpailija on ongelmissa? Myyjän perinteinen ohje on: ”Kerro omista vahvuuksista, älä kilpailijan heikkouksista”.

Kun ollaan kuitenkin tilanteessa, jossa tutkimuslaitos Gartnerkin on syyskuussa ehdottanut Symantecin SSL-varmenneasiakkaille varasuunnitelman tekemistä, lienee parasta kertoa avoimesti, miltä tilanne näyttää näin Entrust-edustajan silmin.

Alla olevan tarinan juoni pähkinänkuoressa on, että useat merkittävät koti- ja ulkomaiset organisaatiot ovat alkaneet käyttää Entrustin varmenteita Symantecin rinnalla. Kirjoituksen tarkoitus on osin kertoa, että tällainen varautuminen on Suomessakin helppoa eikä aiheuta isoja kustannuksia.

Jatka lukemista ”Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma”” →

Taso 2 = Yleistä varmenteista

CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?

13.11.2017 Pertti Eskelinen

aurinko_pilvet_700x400

Aiemmin tilanne oli parempi

Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.

Tästä olemme joutuneet aikamoiselle suolle

Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.

Valitettavasti jokainen selaintoimittaja on halunnut esittää eri symbolein nämä eri tasot. Ja kun vielä eri selainversioissa on vaihtelevuutta, olemme todellisessa suossa. Kuten alla näkyy. Ja sivuilla kävijän pitäisi pystyä jotenkin päättelemään, onko hän sivuilla, jonka tarjoajan joku luotettava taho on käynyt varmentamassa.

01_WhatAMess

Uusi esitys tuo valoa tunneliin

Merkittävimmät varmentajat (CAt) ovat yhdessä esittäneet alla olevaa yhtenäistä esittämistapaa https-sivujen eri varmentamistasoille. Esitys on tehty syyskuussa 2017.

Universal_UI_pic1

Tämä toisi selvyyden sivuilla kävijälle:

ei varmennetta –> ”Not Secure”
DV-tason varmenne –> Ei lukkoa
OV-tason varmenne –> Väritön lukko
EV-tason varmenne –> Vihreä lukko

Esitystä kannattavat mm.

Universal_UI_pic2

Haluatko lisätietoa 50 minuutin webinaarin muodossa?

Katso tästä asiaa käsittelevä webinaari – toinen esittäjistä on varmentajien yhteisön, CA/Browser Forumin puheenjohtaja Chris Bailey.

Lisätietoja: info(at)wesentra.com tai https://www.wesentra.com

Taso 2 = Yleistä varmenteista

Telian kotimaiset SSL-varmenteet Wesentran valikoimaan

20.10.2017 Pertti Eskelinen

yhdessa_telia_V2_700x400 Wesentra laajentaa tuotevalikoimaansa kotimaisilla Telian SSL-varmenteilla. Niillä varmistetaan web-sivujen ja -palvelujen turvallinen käyttö. Wesentra on kotimainen SSL-varmenteiden asiantuntija sekä SSL-tietoturvatuotteiden ja -palvelujen tarjoaja. Jatka lukemista ”Telian kotimaiset SSL-varmenteet Wesentran valikoimaan” →

Taso 2 = Yleistä varmenteista

Tarvittavat toimet Symantec / VeriSign / Thawte / GeoTrust -varmenteille

17.10.201716.8.2018 Pertti Eskelinen

muurahaiset_700x400 Kun olemme seuranneet Googlen ja Symantecin välistä luottamuspulaa keväästä alkaen, lienee oikeus ja kohtuus että myös julkaisemme tässä blogissa ratkaisun, jonka Symantec on 7.10.2017 esittänyt artikkelissaan ”Information for Replacement of Symantec SSL/TLS Certificates”

Artikkeli kertoo, mitä toimenpiteitä Symantec/VeriSign/Thawte/GeoTrust -varmenteiden haltijoiden tulee tehdä, jotta välttävät Chromen puutteellisesta tietoturvasta kertovat varoitukset.

Alla on vielä linkit aiemmin julkaisemiimme blogiartikkeleihin tästä asiasta:

27.3. Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

12.6. Google ja Symantec lähenemässä sopua luottamusongelmassa?

9.8. Symantec myy SSL-varmenteiden liiketoiminnan DigiCertille!

Lisätietoja: info(at)wesentra.com tai https://www.wesentra.com