Taso 5 = Entrust SSL-Portaali

Entrust SSL-Portaalin versio 12.1 julkaistiin tänä aamuna

Entrust Certificate Services -Portaalin versio 12.1 julkaistiin tänä aamuna. Tämä versio sisältää lukuisia uusia toimintoja: Skannaus integroituna Portaaliin, Wildcardin maksuton duplikointi (ns. ReKey), jne.

Nykyisille käyttäjillemme muutos on iso. Siksi olemme laittaneet kaikille Portaalikäyttäjille klo 7.24 viestin, jossa on ohjeita tämän version käytöstä sekä PDF, joka näyttää omia käyttökokemuksiamme aamulta.

Ohje on saatavilla myös englannin kielisenä.

Jos et ole saanut tätä viestiä ja käytät SSL-Portaalia, niin ota yhteys: info@wesentra.com

 

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Yrityksen tärkein työntekijä?

keyhole_700x400Tämä kysymys taitaa liittyä yleensä enemmän pikkujoulujen loppuiltaan kuin arkiseen työkeskusteluun. Näin SSL-varmenteita toimittavassa yrityksessä tämä tuli kuitenkin mainiosti esille vastikään, joten tämä on hyvä jakaa.

Olemme Wesentrassa keskenämme useaan otteeseen todenneet, että palvelu on tärkein voimavaramme. Jos asiakkaat voivat ongelmatilanteessa – joka usein on kiireinen – saada meiltä apua, niin täytämme yrityksemme tehtävän. Miellämme tällöin tilanteen helposti jonkun teknisen ongelman ratkaisemiseksi. Jatka lukemista ”Yrityksen tärkein työntekijä?”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Lisäävätkö ilmaiset DV-varmenteet tietoturvaa vai kärsiikö SSL-lukko inflaation?

phishing_700x400

”LetsEncrypt oli myöntänyt 8.12.2016 mennessä 409 SSL-varmennetta domaineille, joiden nimessä oli sana ’Paypal’. Tähän aamuun mennessä tuo määrä oli 709.”

Eric Lawrence kirjoitti tämän Text/Plain -blogissaan 16.1.2017.

On selvää, että kun rikolliset tahot saavat DV-tason SSL-varmenteet ilman tietojen antamista tai luottokortin käyttöä, ovat myös kaiken maailman heppoiset kalastelusivut SSL-lukon suojaamia. Ja useat käyttäjät eivät ymmärrä eroa DV ja OV/EV -varmenteiden välillä.

Pitäisikö syyttää Let’s Encryptiä tämän mahdollisuuden luomisesta? Tuskin. Määrätietoiset rikolliset saisivat kyllä DV-varmenteensa usein muutenkin. Josh Aas (Executive Director, ISRG = LetsEcryptin taustavoima) kirjoitti 29.10.2015 hyvän näkemyksen LetsEncryptin tarkoitusperistä:

”Since we announced Let’s Encrypt we’ve often been asked how we’ll ensure that we don’t issue certificates for phishing and malware sites. The concern most commonly expressed is that having valid HTTPS certificates helps these sites look more legitimate, making people more likely to trust them.

Deciding what to do here has been tough. On the one hand, we don’t like these sites any more than anyone else does, and our mission is to help build a safer and more secure Web. On the other hand, we’re not sure that certificate issuance (at least for Domain Validation) is the right level on which to be policing phishing and malware sites in 2015. This post explains our thinking in order to encourage a conversation about the CA ecosystem’s role in fighting these malicious sites. …”

Miten loppukäyttäjä voi olla varma siitä, ettei anna tietojaan rikollisten käyttöön? Kenellä on vastuu sen tarkastamisesta, että web-sivuston tarkoitusperä on laillinen: selaimien toimittajille, sivustojen tekijöillä, varmenteiden toimittajilla, loppukäyttäjillä? Tämä keskustelu käy kuumana.

OV/EV -varmenteiden toimittajat haluaisivat, että käyttäjä näkisi selvästi eron OV ja DV -varmenteen välillä. Tavoitteena on sen tiedon levittäminen, että DV-tason SSL-lukko ei takaa sivuston toimittajasta tai tarkoitusperistä mitään. Ja että OV-tasoisen SSL-lukon julkaisijaorganisaation on tarkistanut luotettava kolmas taho (toki tällöinkään varmentaja ei osaa sanoa, minkä laatuista palvelua organisaatio tarjoaa). EV-lukkohan on jo eri näköinen ja iso osa käyttäjistä osaa vaatia sitä esimerkiksi web-kaupoissa.

Wesentran näkökulmasta tärkeintä tässä vaiheessa on tiedon jakaminen DV/OV/EV -eroista. Ja oman työmme tekeminen niin hyvin, että kaikki varmentamamme OV/EV -sivustot todella ovat niiden organisaatioiden julkaisemia, joiden nimi lukee varmenteessa.

Lisää tietoa:   info (at) wesentra.com       tai       https://www.wesentra.com

 

 

Taso 2 = Yleistä varmenteista

SSL-varmenteen vanheneminen yhä useammin palveluongelman takana

ssl_unohdusVenafin 2.2.2017 julkaisemassa artikkelissa todetaan, että neljä viidestä organisaatiosta on kärsinyt 2016 SSL/TLS-varmenteen tahattoman vanhenemisen aiheuttamasta ongelmasta.

Kuulostaa aika uskomattomalta – ainakin näin kotimaisen varmennetoimittajan näkökulmasta. Joko maailmalla tilanne on todella huonompi kuin Suomessa tai korviimme vain ei kantaudu kotimaassa tapahtuvia ongelmia tai sitten Venafin kriteeri ongelmalle on matala.

Vaikka lukema Suomessa ei olisikaan tuota tasoa, on asia ajankohtainen. HTTPS-liikenteen määrä ylitti jo HTTP-liikenteen määrän. SSL-varmenteita tarvitaan yhä kiihtyvään tahtiin. Ja kaikista näistä ei tule aikanaan vanhenemishälytyksiä niitä tarvitseville henkilöille. Tuloksena voi olla kriittisen tärkeiden palvelujen katkoksia.

Olemme nähneet asiakkailla erilaisia syitä tähän ongelmaan – esimerkiksi:

  • Varmenteen tilaaja ei ole enää talossa. Lähes kaikki varmennetoimittajat lähettävät kyllä hälytyksen riittävän aikaisin varmenteen tilanneelle henkilölle. Mutta entä jos tämä henkilö ei ole enää töissä organisaatiossa? Kukaan ei saa hälytystä.
  • Toimittaja on asentanut varmenteen osana omaa palveluaan, ja tämän vanhenemisaikaa ei ole kirjattu mihinkään hälytysjärjestelmään.
  • Wildcard-varmennetta on kopioitu useille palvelimille ja tässä yhteydessä on unohtunut kirjata kaikki palvelimet. joille kopio on asennettu
  • On tehty palvelinvarmenne omalla PKI:lla ja joko hälytystä ei ole asetettu tai se ei saavuta sopivaa henkilöä

Omat asiakkaamme ovat käyttäneet pääasiassa kahden tyyppistä ratkaisua:

  • Kaikkien varmenteiden kirjaaminen Entrustin SSL-Portaaliin (myös muilta ostettujen ja itse tehtyjen) – ja vanhenemishälytysten suuntaaminen sopivalle mail-ryhmälle (esim. helpdesk) yksittäisten henkilöiden sijaan
  • Automaattinen varmenneympäristön säännöllinen skannaaminen ja muutoksista sekä vanhenevista varmenteista hälyyttäminen (ns. Discovery-ratkaisu).

Tärkeää on, että varmenteiden hallintaan muodostetaan prosessi joka ei ole henkilöriippuvainen.

Artikkeli visioi myös aikaa, jolloin kaupallisten varmenteiden uusimiseenkin saataisiin lisää automaattisia prosesseja. Tämä helpottaisi merkittävästi varmenteiden hallintaa. Näemme jo liikettä tähän suuntaan, kun ACME -protokollan ( Automated Certificate Management Environment ) mukaista automaattista varmenteiden asentamista ja uusimista ollaan ottamassa yhä laajemmin käyttöön.

Lisätietoja: info (at) wesentra.com    tai     https://www.wesentra.com

Taso 2 = Yleistä varmenteista

SSL/TLS – mitä tapahtui 2016 ?

2016_2017_signEntrustin Bruce Morton on tehnyt 17.1. hyvän yhteenvedon 2016 tapahtumista SSL/TLS -rintamalla. Tässä muutama otos

  • https-liikenteen määrä on nyt suurempi, kuin http-liikenteen määrä
  • SHA1-allekirjoitus ei ole enää hyväksytty
  • Julkisia varmenteita ei saa enää olla privaattiosoitteilla
  • StartComin SSL-varmenteet eivät ole enää luotettuja (näitä on Suomessakin – Google, Mozilla ja Apple poistivat luottamuksen väärinkäytösten vuoksi)
  • Chrome tulee tammikuussa 2017 julkaistavasta versiosta 56 alkaen ilmoittamaan ”Not secure” sellaisesta sivusta, jolla kysellään salasanaa/luottokorttitietoja ja jolla ei ole hyväksyttyä SSL-varmennetta
  • Google ilmoitti, että lokakuusta 2017 alkaen myös uusien OV-varmenteiden tulee olla kirjattuna CT-lokeihin, jotta Chrome hyväksyy sivun luotetuksi. CT on osoittanut voimansa väärinkäytösten havaitsemisessa.

Ja lisätietoahan saa taas meiltä: info (at) wesentra.com   sekä   https://www.wesentra.com

Taso 2 = Yleistä varmenteista

IOT ja SSL/TLS

internet_of_things_700x400Kiinnostaako Internet of Things? Meitä kiinnostaa!

Oheinen, tähän mennessä kolmen artikkelin IOT-sarja on aloitettu lokakuussa 2016. Se on erittäin tekninen, mutta selailtunakin mielenkiintoinen (= vie takaisin mukaviin elektroniikan opiskelun aikoihin … 🙂 )

http://blog.elevenpaths.com/2016/10/cryptographic-security-in-iot-i.html

Mietin näin julkisten varmenteiden toimittajana sitä, tuleeko aika, jolloin Lahtisen kotiturvajärjestelmän pitää todistaa ulkomaailmalle, että se todellakin on Lahtisen järjestelmä (eikä Virtasen). Kuka tämän rekisteröi ja varmentaa siten, etteivät rikolliset hakkeroi Lahtisen ovia auki?

Tulemmeko tarvitsemaan julkisia varmenteita IOT:ssa? Sellaisia, joissa joku luotettava riippumaton taho on tarkastanut laitteen ja sen omistuksen, ennen kuin varmenne on myönnetty.

Tässä vaiheessa kysymyksiä on paljon enemmän kuin vastauksia.

Otamme mielellämme vastaan näkemyksiä:
info (at) wesentra.com  tai kommenttina tähän artikkeliin

Lisätietoa varmenteista yleensä:  https://www.wesentra.com

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #6 ”How a Reliable CA Can Help with the Certificate Lifecycle?” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan  kuudes osa on “How a Reliable CA Can Help with the Certificate Lifecycle?”. Tämä 57-minuuttinen webinaari kertoo tavoista, joilla hyvä ja luotettava varmennetoimittaja (CA) voi auttaa palvelinten tietoturvan lisäämisessä. Tämä webinaari oli ”Best Practices” -sarjan viimeinen.

Pitäjä: Mark Giannotti    Pituus: 57 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Entrust kuvaa eri SSL-varmenteiden työkalut osana Turvallisen Palvelimen Elinkaarta. Tämä antaa loogisen viitekehyksen niiden optimaaliselle käytölle. Esimerkki SHA1 –> SHA2 -muutoksen tekemisestä näillä työkaluilla on mainio.

Sisällöstä otteita:

  • Aika 0 – 9 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 9 –15 minuuttia: Luotettavan varmentejan (CA) valinta
    • SSL/TLS -guru Ivan Ristic: Katso varmentajan tietoturvahistoria, millaisen osuuden toiminnasta varmenteet muodostavat, millainen on sulkulistapalvelu (OCSP, CRL), tuotevalikoima, varmenteiden hallintatyökalut, tuki
  • Aika 15 – 27 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – taustaa
    • Haasteet:
      • Miten estetään palvelukatkokset SSL-varmenteiden vanhenemisesta?
      • Miten vältetään tietohyökkäyksille altiit vanhat SSL/TLS -protokollat?
      • Kehittyvä teknologia (ECC, OCSP Stapling, HTTP/2, …)
      • Yhdenmukaisuus tietoturvastandardeihin (PCI, HIPAA, …)
      • Resurssien riittävyys
    • Entrustin Turvallinen Palvelimen Elinkaari (Secure Server Lifecycle)
      • Nykyisten varmenteiden tunnistaminen/skannaus (Discovery)
      • Tehokas varmennevaraston käyttö (helppo prosessi, varmenteiden kierrätys, …)
      • Varmenteet välittömästi (etukäteisvarmennus, portaalin käyttö, reissue, rekey, …)
      • Helppo varmenteiden asennus (täydellinen toimitus, automaattiasennus, ohjeistus, …)
      • SSL-varmenteiden ja palvelimien valvonta (uhkien tunnistaminen, reagointi, …)
      • Raportointi (vanhenevat varmenteet, uhatut palvelimet, …)
  • Aika 27 – 50 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – käytäntöä
    • Työkaluja, joilla Entrust toteuttaa Turvallisen Palvelimen Elinkaaren:
      • Palvelukatkoksen välttäminen: Vanhenemisilmoitukset + Discovery-valvonta
      • Vaaralliset protokollat web-palvelimilla: SSL Server Test, valvonta/raportointi
      • Uusien uhkien välttäminen: Varmenteiden helpot muutokset tarvittaessa (ReIssue), Entrustin tarjoamat Best Practices -menetelmät ja -tuki, automaattinen (esim. viikottainen) palvelinten protokollien tarkastus ja hälytykset
      • Esimerkki: Miten Entrust-työkalut auttavat SHA1àSHA2 -muutoksessa:
        • 1) Kaikkien varmenteiden skannaaminen ja SHA1-varmenteiden löytäminen Discovery-työkalulla
        • 2) Tehokas varmennevaraston käyttö säästää rahaa kun esim. Pooling-mallissa voidaan kierrättää varmenteet
        • 3) Uudet SHA2-varmenteet saadaan välittömästi
        • 4) SHA2-varmenteiden mukana tulee koko uusi varmenneketju ja ohjeet – tai voit käyttää automaattista Turbo-asennusta IIS:lle
        • 5) Automaattinen SSL Server Test näyttää muutostyön etenemistä
  • Aika 50 – 54 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
  • Aika 54 – 57 minuuttia: Kysymyksiä ja vastauksia:
    • ”Mitä ovat DV/OV/EV -varmenteet, jotka näkyivät webinaarissa”

Lisää tietoa: info (at) wesentra.com           tai        https://www.wesentra.com

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #5 ”Keys, Certificates and Advanced Certificates” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan viides osa on ”Keys, Certificates and Advanced Certificates”. Tämä 65-minuuttinen webinaari esittää tapoja varmenteisiin liittyvien avaimien hallintaan ja kertoo edistyneimmistä varmennevaihtoehdoista (Multi-domain, Wildcard, EC, Private).

Pitäjä: Mark Giannotti    Pituus: 65 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Esim. finanssilaitosten kokemukset siitä, että heidän asiakkaansa osaavat odottaa EV-varmenteita ja jos osoitepalkki ei muutu vihreäksi (ja pankin nimi ei näy osoiterivillä), käyttäjät muuttuvat epäluuloisiksi
  • EC-varmenteiden käsittely käytännössä

Sisällöstä otteita:

  • Aika 0 – 14 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 14 –30 minuuttia: Varmenteet ja salaiset avaimet
    • Salaisten avainten suojaus – aina uusi avain varmenteen uusimiseen – poista tarpeettomat
    • Avainten rajoitteet – RSA-avain vähintään 2048 bittiä – älä tee turhaan pidempiä
    • Mitä domain-nimiä varmenteen pitäisi kattaa
    • Salaisen avaimen kopioimisessa toiselle palvelimelle on riskinsä
    • Haasteet itse allekirjoitetuissa varmenteissa (omalla PKI:lla)
    • Varmenteet privaattidomaineille (non-FQDN)
  • Aika 30 – 53 minuuttia: Edistykselliset varmenteet (Advanced Certificates)
    • Multi-domain -varmenteet (= Unified Communication / UC-varmenteet tai SAN-varmenteet)
    • Wildcard vs. Multi-domain – Wildcard on joustava mutta sen hallinta on haastavampaa
    • Esimerkki: F5 front end ja useita palvelimia sen takana – mikä on hyvä varmenneratkaisu?
    • EV (Extended Validation) – kriittisillä palveluilla käyttäjät odottavat vihreää osoitepalkkia
    • ECC – Elliptic Curve Cryptography – esim. 256-bit ECC-avain vastaa tietoturvaltaan 2048-bit RSA-avainta ja on paljon nopeampi. Haaste on, onko ECC-root kaikilla käyttäjillä. ECC-varmenteen saa nykyisestä Portaalista tekemällä ECC-varmennehakemuksen.
  • Aika 53 – 60 minuuttia: Varmenteet privaattidomaineille (Non Registered Domains)
    • Miksi CA/Browser Forum pysäytti julkiset varmenteet privaattidomaineille
    • Ratkaisu: Private Trust -varmenne – mahdollistaa Entrust-varmenteen privaattidomainille. Tämä vaatii Private Rootin jakamisen käyttäjille.
  • Aika 60 – 65 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon

Lisää tietoa: info(at)wesentra.com       tai   https://www.wesentra.com

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Vieraskynä Entrust Datacardilta: Verifiointiprosessi ulkomailla

swimming_computer

stephen_demone(Tämä artikkeli julkaistaan yhtä aikaa myös englanniksi)

Artikkelin kirjoittaja on Stephen Demone, joka työskentelee verifiointiasiantuntijana Entrust Datacardilla Ottawassa, Kanadassa. Verifiointiosaamisensa lisäksi Stephen on jo kannuksensa ansainnut kirjailija neljällä novellillaan sekä jääkiekkokirjoituksillaan foorumilla SBNation web site.

Tässä artikkelissa Stephen käsittelee verifiointiprosessia ja sen haasteita – erityisesti vieraissa kulttuureissa ja vierailla kielillä. Hän kertoo myös Entrust Datacardin ja Wesentran yhteistyöstä esimerkiksi seuraavaa:

”Paikallinen edustus kohdemaassa on tehokkain tapa palvella tiettyä kohdemarkkinaa mahdollisimman ketterästi. …  Paikallisesti alueisiinsa kytkeytyneet varmentajat ovat lisäksi paremmin selvillä tietojen saatavuudesta – …”

<** Stephenin oma teksti alkaa tämän jälkeen … Lue lisää **>

Jatka lukemista ”Vieraskynä Entrust Datacardilta: Verifiointiprosessi ulkomailla”

Taso 9 = Akuuttia

Muistathan, että SHA-1 -allekirjoitetut SSL/TLS -varmenteet eivät enää toimi helmikuussa 2017 ?

lukittu_laptop_740x400”In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.”

Teimme tilannekatsauksen omien asiakkaidemme SSL/TLS -varmenteisiin ja löysimme vielä paljon SHA1-allekirjoitettuja varmenteita. Aloitamme nyt loppuvuoden talkoot ja yritämme infota kaikkia asianosaisia asiakkaitamme yksitellen. Varmenteen uusiminen SHA-2 -muotoon on maksutonta (yleensä CA-toimijoilla ja ainakin Wesentralla/Entrustilla).

Lähdetään liikkeelle näin blogin, LinkedInin ja Scoopin kautta.

Tässä vielä linkki Microsoftin huhtikuun artikkeliin ja sen oleellisin osa alla.

”Starting with the Windows 10 Anniversary Update, Microsoft Edge and Internet Explorer will no longer consider websites protected with a SHA-1 certificate as secure and will remove the address bar lock icon for these sites. These sites will continue to work, but will not be considered secure. This change will be in upcoming Windows Insider Preview builds soon, and will be deployed broadly this summer. In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.”

Mistä tietää, onko web-sitella SHA-1 vai SHA-2 (eli SHA-256) ? Lue tästä lisää …

Jatka lukemista ”Muistathan, että SHA-1 -allekirjoitetut SSL/TLS -varmenteet eivät enää toimi helmikuussa 2017 ?”