Taso 1 = Yleistä tietoturvasta

Webin tietoturvan tilanne tilastojen valossa – SSL/TLS-koulutuksen herättämiä ajatuksia

lukko_tietokoneet_700x400Aloitin työt Wesentrassa huhtikuun puolen välin jälkeen ja heti toisena työpäivänä sain osallistua Wesentran ja Mint Securityn järjestämään The best TSL training in the world! -koulutukseen. Koulutus pidettiin Helsingin Ruoholahdessa sijaitsevassa IT-koulutuspalveluja tuottavan Wistec Oy:n tiloissa. Wistecläiset ovatkin vanhoja tuttujamme, joten pystyimme luottamaan, että puitteet ja järjestelyt ovat kunnossa – niin kuin ne olivatkin 🙂

The best TLS training in the world!

Päivän mittaan koulutuksessa tungettiin kädet suhteellisen syvälle tekniseen santaan, Jatka lukemista ”Webin tietoturvan tilanne tilastojen valossa – SSL/TLS-koulutuksen herättämiä ajatuksia”

Taso 0 = Aivan yleistä

Mukavia HR-uutisia … – osa 2

Harri_2
Harri vasemmalla

Sattuma on mielenkiintoinen asia. Taisimme ensimmäisen kerran mainita pitkäaikaisen työkaverimme Harri Tuuvan nimen jo 2016 kun puhuimme mahdollisista lisärekrytoinneista. Keskustelu loppui lyhyeen: ”Harri kokkaa nykyään – ei hän varmaankaan halua takaisin IT-alalle”. Joten kun puhelin soi maaliskuussa ja soittaja oli Harri, niin hämmästys oli melkoinen.

Harri on tehnyt töitä Entrustin ratkaisujen kanssa jo 2008 alkaen. Olimme yhdessä Tanskassa seminaarissa 2011, kun Entrust ensimmäisen kerran esitteli SSL-varmenteitaan jälleenmyyjille. Siitä tämä kyyti alkoi. Jatka lukemista ”Mukavia HR-uutisia … – osa 2”

Taso 2 = Yleistä varmenteista

Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

miettinen_700x400

Tässä lyhyt tilanteen päivitys 3.4.2017:

  • Ryan Sleevi kirjoitti artikkelin 23.3.2017
  • 31.3.2017 mennessä tähän oli tullut 151 kommenttia, joista 37 on Ryanin vastauksia
  • Kaksi Blink API Owneria on kommentoinut 31.3. (Rick Byers ja Jochen Eisinger)
  • Yhtään LGTM -palautetta ei ole tullut ainakaan vielä (”Looks Good To Me”)
  • Andrew R. Whalley tarkentaa kommentissaan 31.3., että jos kolme Blink API Owneria antaa LGTM-palautteen, menee ehdotus eteenpäin. Tällöin saatetaan edelleen tarvita lisäselvityksiä ja -hyväksymisiä ennen kuin päätös tuotemuutoksesta voidaan tehdä
  • Kaikki kommentit löytyvät tästä samasta ketjusta

Jatka lukemista ”Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä”

Taso 5 = Entrust SSL-Portaali

Entrust SSL-Portaalin versio 12.1 julkaistiin tänä aamuna

Entrust Certificate Services -Portaalin versio 12.1 julkaistiin tänä aamuna. Tämä versio sisältää lukuisia uusia toimintoja: Skannaus integroituna Portaaliin, Wildcardin maksuton duplikointi (ns. ReKey), jne.

Nykyisille käyttäjillemme muutos on iso. Siksi olemme laittaneet kaikille Portaalikäyttäjille klo 7.24 viestin, jossa on ohjeita tämän version käytöstä sekä PDF, joka näyttää omia käyttökokemuksiamme aamulta.

Ohje on saatavilla myös englannin kielisenä.

Jos et ole saanut tätä viestiä ja käytät SSL-Portaalia, niin ota yhteys: info@wesentra.com

 

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Yrityksen tärkein työntekijä?

keyhole_700x400Tämä kysymys taitaa liittyä yleensä enemmän pikkujoulujen loppuiltaan kuin arkiseen työkeskusteluun. Näin SSL-varmenteita toimittavassa yrityksessä tämä tuli kuitenkin mainiosti esille vastikään, joten tämä on hyvä jakaa.

Olemme Wesentrassa keskenämme useaan otteeseen todenneet, että palvelu on tärkein voimavaramme. Jos asiakkaat voivat ongelmatilanteessa – joka usein on kiireinen – saada meiltä apua, niin täytämme yrityksemme tehtävän. Miellämme tällöin tilanteen helposti jonkun teknisen ongelman ratkaisemiseksi. Jatka lukemista ”Yrityksen tärkein työntekijä?”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Lisäävätkö ilmaiset DV-varmenteet tietoturvaa vai kärsiikö SSL-lukko inflaation?

phishing_700x400

”LetsEncrypt oli myöntänyt 8.12.2016 mennessä 409 SSL-varmennetta domaineille, joiden nimessä oli sana ’Paypal’. Tähän aamuun mennessä tuo määrä oli 709.”

Eric Lawrence kirjoitti tämän Text/Plain -blogissaan 16.1.2017.

On selvää, että kun rikolliset tahot saavat DV-tason SSL-varmenteet ilman tietojen antamista tai luottokortin käyttöä, ovat myös kaiken maailman heppoiset kalastelusivut SSL-lukon suojaamia. Ja useat käyttäjät eivät ymmärrä eroa DV ja OV/EV -varmenteiden välillä.

Pitäisikö syyttää Let’s Encryptiä tämän mahdollisuuden luomisesta? Tuskin. Määrätietoiset rikolliset saisivat kyllä DV-varmenteensa usein muutenkin. Josh Aas (Executive Director, ISRG = LetsEcryptin taustavoima) kirjoitti 29.10.2015 hyvän näkemyksen LetsEncryptin tarkoitusperistä:

”Since we announced Let’s Encrypt we’ve often been asked how we’ll ensure that we don’t issue certificates for phishing and malware sites. The concern most commonly expressed is that having valid HTTPS certificates helps these sites look more legitimate, making people more likely to trust them.

Deciding what to do here has been tough. On the one hand, we don’t like these sites any more than anyone else does, and our mission is to help build a safer and more secure Web. On the other hand, we’re not sure that certificate issuance (at least for Domain Validation) is the right level on which to be policing phishing and malware sites in 2015. This post explains our thinking in order to encourage a conversation about the CA ecosystem’s role in fighting these malicious sites. …”

Miten loppukäyttäjä voi olla varma siitä, ettei anna tietojaan rikollisten käyttöön? Kenellä on vastuu sen tarkastamisesta, että web-sivuston tarkoitusperä on laillinen: selaimien toimittajille, sivustojen tekijöillä, varmenteiden toimittajilla, loppukäyttäjillä? Tämä keskustelu käy kuumana.

OV/EV -varmenteiden toimittajat haluaisivat, että käyttäjä näkisi selvästi eron OV ja DV -varmenteen välillä. Tavoitteena on sen tiedon levittäminen, että DV-tason SSL-lukko ei takaa sivuston toimittajasta tai tarkoitusperistä mitään. Ja että OV-tasoisen SSL-lukon julkaisijaorganisaation on tarkistanut luotettava kolmas taho (toki tällöinkään varmentaja ei osaa sanoa, minkä laatuista palvelua organisaatio tarjoaa). EV-lukkohan on jo eri näköinen ja iso osa käyttäjistä osaa vaatia sitä esimerkiksi web-kaupoissa.

Wesentran näkökulmasta tärkeintä tässä vaiheessa on tiedon jakaminen DV/OV/EV -eroista. Ja oman työmme tekeminen niin hyvin, että kaikki varmentamamme OV/EV -sivustot todella ovat niiden organisaatioiden julkaisemia, joiden nimi lukee varmenteessa.

Lisää tietoa:   info (at) wesentra.com       tai       https://www.wesentra.com

 

 

Taso 2 = Yleistä varmenteista

SSL-varmenteen vanheneminen yhä useammin palveluongelman takana

ssl_unohdusVenafin 2.2.2017 julkaisemassa artikkelissa todetaan, että neljä viidestä organisaatiosta on kärsinyt 2016 SSL/TLS-varmenteen tahattoman vanhenemisen aiheuttamasta ongelmasta.

Kuulostaa aika uskomattomalta – ainakin näin kotimaisen varmennetoimittajan näkökulmasta. Joko maailmalla tilanne on todella huonompi kuin Suomessa tai korviimme vain ei kantaudu kotimaassa tapahtuvia ongelmia tai sitten Venafin kriteeri ongelmalle on matala.

Vaikka lukema Suomessa ei olisikaan tuota tasoa, on asia ajankohtainen. HTTPS-liikenteen määrä ylitti jo HTTP-liikenteen määrän. SSL-varmenteita tarvitaan yhä kiihtyvään tahtiin. Ja kaikista näistä ei tule aikanaan vanhenemishälytyksiä niitä tarvitseville henkilöille. Tuloksena voi olla kriittisen tärkeiden palvelujen katkoksia.

Olemme nähneet asiakkailla erilaisia syitä tähän ongelmaan – esimerkiksi:

  • Varmenteen tilaaja ei ole enää talossa. Lähes kaikki varmennetoimittajat lähettävät kyllä hälytyksen riittävän aikaisin varmenteen tilanneelle henkilölle. Mutta entä jos tämä henkilö ei ole enää töissä organisaatiossa? Kukaan ei saa hälytystä.
  • Toimittaja on asentanut varmenteen osana omaa palveluaan, ja tämän vanhenemisaikaa ei ole kirjattu mihinkään hälytysjärjestelmään.
  • Wildcard-varmennetta on kopioitu useille palvelimille ja tässä yhteydessä on unohtunut kirjata kaikki palvelimet. joille kopio on asennettu
  • On tehty palvelinvarmenne omalla PKI:lla ja joko hälytystä ei ole asetettu tai se ei saavuta sopivaa henkilöä

Omat asiakkaamme ovat käyttäneet pääasiassa kahden tyyppistä ratkaisua:

  • Kaikkien varmenteiden kirjaaminen Entrustin SSL-Portaaliin (myös muilta ostettujen ja itse tehtyjen) – ja vanhenemishälytysten suuntaaminen sopivalle mail-ryhmälle (esim. helpdesk) yksittäisten henkilöiden sijaan
  • Automaattinen varmenneympäristön säännöllinen skannaaminen ja muutoksista sekä vanhenevista varmenteista hälyyttäminen (ns. Discovery-ratkaisu).

Tärkeää on, että varmenteiden hallintaan muodostetaan prosessi joka ei ole henkilöriippuvainen.

Artikkeli visioi myös aikaa, jolloin kaupallisten varmenteiden uusimiseenkin saataisiin lisää automaattisia prosesseja. Tämä helpottaisi merkittävästi varmenteiden hallintaa. Näemme jo liikettä tähän suuntaan, kun ACME -protokollan ( Automated Certificate Management Environment ) mukaista automaattista varmenteiden asentamista ja uusimista ollaan ottamassa yhä laajemmin käyttöön.

Lisätietoja: info (at) wesentra.com    tai     https://www.wesentra.com