Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan”

18266850_m

Paha ”saitti” ei ole vain paha uni, vaan todellisuutta.

Vuonna 2016 kirjoitin artikkelin otsikolla ”Kuka pelkää pahaa saittia?”. Tuo kyseinen artikkeli löytyy täältä ja on edelleen ajankohtainen. Ehkä ajankohtaisempikin kuin tuolloin. Artikkelissa kerrotaan kuinka selainvalmistajat suojaavat käyttäjiään ominaisuuksilla, jotka varoittavat siirtymästä turvattomiksi raportoiduille sivustoille. Tämä on hyvä asia, mutta nyt selaimet luokittelevat kaikki SSL/TLS-varmennetta käyttävät sivut turvallisiksi, ottamatta kantaa siihen, onko kyseessä rikollisten pystyttämä tietojen kalastelusivusto vai ei. Eikä siinä vielä kaikki, vaan Google ..

Jatka lukemista ”Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan””

Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma”

game_plan_700x400

Miten kirjoittaa tilanteesta, jossa kilpailija on ongelmissa? Myyjän perinteinen ohje on: ”Kerro omista vahvuuksista, älä kilpailijan heikkouksista”.

Kun ollaan kuitenkin tilanteessa, jossa tutkimuslaitos Gartnerkin on syyskuussa ehdottanut Symantecin SSL-varmenneasiakkaille varasuunnitelman tekemistä, lienee parasta kertoa avoimesti, miltä tilanne näyttää näin Entrust-edustajan silmin.

Alla olevan tarinan juoni pähkinänkuoressa on, että useat merkittävät koti- ja ulkomaiset organisaatiot ovat alkaneet käyttää Entrustin varmenteita Symantecin rinnalla. Kirjoituksen tarkoitus on osin kertoa, että tällainen varautuminen on Suomessakin helppoa eikä aiheuta isoja kustannuksia.

Jatka lukemista ”Gartner: ”Symantecin SSL-varmenteita käyttävä asiakas: tee pelisuunnitelma””

CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?

aurinko_pilvet_700x400

Aiemmin tilanne oli parempi

Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.

Tästä olemme joutuneet aikamoiselle suolle

Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.

Jatka lukemista ”CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?”

Tarvittavat toimet Symantec / VeriSign / Thawte / GeoTrust -varmenteille

muurahaiset_700x400Kun olemme seuranneet Googlen ja Symantecin välistä luottamuspulaa keväästä alkaen, lienee oikeus ja kohtuus että myös julkaisemme tässä blogissa ratkaisun, jonka Symantec on 7.10.2017 esittänyt artikkelissaan ”Information for Replacement of Symantec SSL/TLS Certificates”

Artikkeli kertoo, mitä toimenpiteitä Symantec/VeriSign/Thawte/GeoTrust -varmenteiden haltijoiden tulee tehdä, jotta välttävät Chromen puutteellisesta tietoturvasta kertovat varoitukset.

Alla on vielä linkit aiemmin julkaisemiimme blogiartikkeleihin tästä asiasta:

27.3. Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

12.6. Google ja Symantec lähenemässä sopua luottamusongelmassa?

9.8. Symantec myy SSL-varmenteiden liiketoiminnan DigiCertille!

Lisätietoja:  info(at)wesentra.com     tai      https://www.wesentra.com

Case Kielikoulu Nuevo Mundo – sitkeys palkitaan (yhden EV-varmenteen saaminen kaikille kohteilleen voi näköjään joskus kestää viisi kuukautta)

do_you_speak_700x400Tämän artikkelin tavoitteena on näyttää millainen joskus voi olla varmenteen tilaus- ja toimitusprosessi, kun se on hieman haastavampi ja lopputulokseen ei päästäkään normaalissa parissa päivässä. Mutta maaliin päästään sitkeydellä.

Jatka lukemista ”Case Kielikoulu Nuevo Mundo – sitkeys palkitaan (yhden EV-varmenteen saaminen kaikille kohteilleen voi näköjään joskus kestää viisi kuukautta)”

Google ja Symantec lähenemässä sopua luottamusongelmassa?

key_hands_700x400

Blogiartikkelissa 27.3.2017 kerroimme, että Google harkitsee mm. EV-statuksen poistamista Symantecin varmenteilta (mukaan lukien Thawte, GeoTrust ja RapidSSL -varmenteet). Google ja Symantec ovat tavanneet ja Google on tehnyt uuden ehdotuksen, jota Symantec on kommentoinut. Jos ehdotus menee läpi, alamme nähdä käytännön toimia 8.8.2017.

Jatka lukemista ”Google ja Symantec lähenemässä sopua luottamusongelmassa?”

Webin tietoturvan tilanne tilastojen valossa – SSL/TLS-koulutuksen herättämiä ajatuksia

lukko_tietokoneet_700x400Aloitin työt Wesentrassa huhtikuun puolen välin jälkeen ja heti toisena työpäivänä sain osallistua Wesentran ja Mint Securityn järjestämään The best TSL training in the world! -koulutukseen. Koulutus pidettiin Helsingin Ruoholahdessa sijaitsevassa IT-koulutuspalveluja tuottavan Wistec Oy:n tiloissa. Wistecläiset ovatkin vanhoja tuttujamme, joten pystyimme luottamaan, että puitteet ja järjestelyt ovat kunnossa – niin kuin ne olivatkin 🙂

The best TLS training in the world!

Päivän mittaan koulutuksessa tungettiin kädet suhteellisen syvälle tekniseen santaan, Jatka lukemista ”Webin tietoturvan tilanne tilastojen valossa – SSL/TLS-koulutuksen herättämiä ajatuksia”

Mukavia HR-uutisia … – osa 2

Harri_2
Harri vasemmalla

Sattuma on mielenkiintoinen asia. Taisimme ensimmäisen kerran mainita pitkäaikaisen työkaverimme Harri Tuuvan nimen jo 2016 kun puhuimme mahdollisista lisärekrytoinneista. Keskustelu loppui lyhyeen: ”Harri kokkaa nykyään – ei hän varmaankaan halua takaisin IT-alalle”. Joten kun puhelin soi maaliskuussa ja soittaja oli Harri, niin hämmästys oli melkoinen.

Harri on tehnyt töitä Entrustin ratkaisujen kanssa jo 2008 alkaen. Olimme yhdessä Tanskassa seminaarissa 2011, kun Entrust ensimmäisen kerran esitteli SSL-varmenteitaan jälleenmyyjille. Siitä tämä kyyti alkoi. Jatka lukemista ”Mukavia HR-uutisia … – osa 2”