Taso 3 = Verifioinnista (XV-DV-OV-EV)

Vieraskynä: Miksi halusimme EV-varmenteen?

olet_varmasti_saitilla_700x400

Tämä sami_suni_statementingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa alempaa.

Näemme lisääntyvää kiinnostusta EV-varmenteiden käyttöön. Tässä Sami Suni, Showellin perustaja ja CEO kertoo mitä hyötyä Showellille on EV-varmenteesta.

<** Samin oma teksti alkaa tämän jälkeen **>

 

Meille EV-varmenne oli tärkeä, koska halusimme, että uskottavuus niin Suomessa kuin KV-markkinassa on mahdollisimman hyvä.

EV-varmenteen avulla yrityksemme näyttää isommalta/uskottavammalta ja meille myös tietoturvanäkökulma on tosi tärkeä, eli haluamme kaikessa viestiä sitä, että olemme luotettava ja varma kumppani.

Ja näyttäähän tuo paremmalta osoiterivillä 🙂

Showell

Wesentralta saimme asiantuntevaa ja aktiivista palvelua. Asiat etenivät sovitusti ja saimme selkeää tietoa siitä mitä missäkin vaiheessa tapahtuu. Olemme tyytyväisiä.

Ystävällisesti,
Sami

Lisää tietoa: info(at)wesentra.com     tai      https://www.wesentra.com/

Taso 2 = Yleistä varmenteista

Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

miettinen_700x400

Tässä lyhyt tilanteen päivitys 3.4.2017:

  • Ryan Sleevi kirjoitti artikkelin 23.3.2017
  • 31.3.2017 mennessä tähän oli tullut 151 kommenttia, joista 37 on Ryanin vastauksia
  • Kaksi Blink API Owneria on kommentoinut 31.3. (Rick Byers ja Jochen Eisinger)
  • Yhtään LGTM -palautetta ei ole tullut ainakaan vielä (”Looks Good To Me”)
  • Andrew R. Whalley tarkentaa kommentissaan 31.3., että jos kolme Blink API Owneria antaa LGTM-palautteen, menee ehdotus eteenpäin. Tällöin saatetaan edelleen tarvita lisäselvityksiä ja -hyväksymisiä ennen kuin päätös tuotemuutoksesta voidaan tehdä
  • Kaikki kommentit löytyvät tästä samasta ketjusta

Jatka lukemista ”Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Yrityksen tärkein työntekijä?

keyhole_700x400Tämä kysymys taitaa liittyä yleensä enemmän pikkujoulujen loppuiltaan kuin arkiseen työkeskusteluun. Näin SSL-varmenteita toimittavassa yrityksessä tämä tuli kuitenkin mainiosti esille vastikään, joten tämä on hyvä jakaa.

Olemme Wesentrassa keskenämme useaan otteeseen todenneet, että palvelu on tärkein voimavaramme. Jos asiakkaat voivat ongelmatilanteessa – joka usein on kiireinen – saada meiltä apua, niin täytämme yrityksemme tehtävän. Miellämme tällöin tilanteen helposti jonkun teknisen ongelman ratkaisemiseksi. Jatka lukemista ”Yrityksen tärkein työntekijä?”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Lisäävätkö ilmaiset DV-varmenteet tietoturvaa vai kärsiikö SSL-lukko inflaation?

phishing_700x400

”LetsEncrypt oli myöntänyt 8.12.2016 mennessä 409 SSL-varmennetta domaineille, joiden nimessä oli sana ’Paypal’. Tähän aamuun mennessä tuo määrä oli 709.”

Eric Lawrence kirjoitti tämän Text/Plain -blogissaan 16.1.2017.

On selvää, että kun rikolliset tahot saavat DV-tason SSL-varmenteet ilman tietojen antamista tai luottokortin käyttöä, ovat myös kaiken maailman heppoiset kalastelusivut SSL-lukon suojaamia. Ja useat käyttäjät eivät ymmärrä eroa DV ja OV/EV -varmenteiden välillä.

Pitäisikö syyttää Let’s Encryptiä tämän mahdollisuuden luomisesta? Tuskin. Määrätietoiset rikolliset saisivat kyllä DV-varmenteensa usein muutenkin. Josh Aas (Executive Director, ISRG = LetsEcryptin taustavoima) kirjoitti 29.10.2015 hyvän näkemyksen LetsEncryptin tarkoitusperistä:

”Since we announced Let’s Encrypt we’ve often been asked how we’ll ensure that we don’t issue certificates for phishing and malware sites. The concern most commonly expressed is that having valid HTTPS certificates helps these sites look more legitimate, making people more likely to trust them.

Deciding what to do here has been tough. On the one hand, we don’t like these sites any more than anyone else does, and our mission is to help build a safer and more secure Web. On the other hand, we’re not sure that certificate issuance (at least for Domain Validation) is the right level on which to be policing phishing and malware sites in 2015. This post explains our thinking in order to encourage a conversation about the CA ecosystem’s role in fighting these malicious sites. …”

Miten loppukäyttäjä voi olla varma siitä, ettei anna tietojaan rikollisten käyttöön? Kenellä on vastuu sen tarkastamisesta, että web-sivuston tarkoitusperä on laillinen: selaimien toimittajille, sivustojen tekijöillä, varmenteiden toimittajilla, loppukäyttäjillä? Tämä keskustelu käy kuumana.

OV/EV -varmenteiden toimittajat haluaisivat, että käyttäjä näkisi selvästi eron OV ja DV -varmenteen välillä. Tavoitteena on sen tiedon levittäminen, että DV-tason SSL-lukko ei takaa sivuston toimittajasta tai tarkoitusperistä mitään. Ja että OV-tasoisen SSL-lukon julkaisijaorganisaation on tarkistanut luotettava kolmas taho (toki tällöinkään varmentaja ei osaa sanoa, minkä laatuista palvelua organisaatio tarjoaa). EV-lukkohan on jo eri näköinen ja iso osa käyttäjistä osaa vaatia sitä esimerkiksi web-kaupoissa.

Wesentran näkökulmasta tärkeintä tässä vaiheessa on tiedon jakaminen DV/OV/EV -eroista. Ja oman työmme tekeminen niin hyvin, että kaikki varmentamamme OV/EV -sivustot todella ovat niiden organisaatioiden julkaisemia, joiden nimi lukee varmenteessa.

Lisää tietoa:   info (at) wesentra.com       tai       https://www.wesentra.com

 

 

Taso 0 = Aivan yleistä

Mukavia HR-uutisia …

marjoMarjo Janhonen on aloittanut Wesentran verifiointiasiantuntijana Jyväskylän konttorissamme 23.1.2017. Meitä on nyt yhteensä neljä. Marjo itse kertoo:

Olen todella innoissani uusista työkuvioista Wesentralla. Minulla on lähemmäs kymmenen vuoden työkokemus eri alan yrityksistä, niin julkiselta kuin yksityiseltäkin puolelta – isoista ja pienistä organisaatioista.

Tunsin oloni heti tervetulleeksi, kun aloitin työt tammikuussa. Työympäristö (ml. työkaverit) on rento ja työtavat joustavat, vaikka itse työ on tarkkaavaisuutta ja organisointikykyä vaativaa.

Työpäivän jälkeen kotona alkaa perhe-elämä. Asun omakotitalossa Jyväskylän Jyskässä kahden lapsen (tyttö, kohta 5-vuotias ja poika, toukokuussa 3-vuotias) ja mieheni kanssa. Harrastan liikuntaa paikallisessa ryhmäliikuntakeskuksessa, mm. kahvakuulailua. Vapaa-aika meneekin omien ja lasten harrastusten parissa. Nautin myös matkustelusta ja ystävien tapaamisesta.

Ensimmäisten verifiointien jälkeen olen ollut innoissani nähdessäni uusien domainien tulevan käyttöön mm. mainonnan myötä. Olen saanut olla osana tätä prosessia ja varmistaa näin domainien ja varmenteiden luotettavuutta.

Ja miksi tällaisista henkilöstöasioista on niin mukava kertoa? Jo Wesentraa perustettaessa totesimme, että yrityksen tarkoitus on tuottaa hyvinvointia. Omalle henkilöstölle, asiakkaille, päämiehille, kumppaneille, omistajille ja sidosryhmille. Jos meillä on hyvä olla, voimme parhaimmillaan tuoda iloa muidenkin elämään. Ja kun voi antaa työtä kotimaassa, tulee siitä hyvä olo 🙂

Lisätietoa: info (at) wesentra.com     tai      https://www.wesentra.com

 

Taso 2 = Yleistä varmenteista

Vieraskynä: Wesentran asiakkaaksi varmennuksen vuoksi

m_sydanmetsa_700x400

Tämä ingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa ”Lue lisää” -viivan alta.

prt_mikko_sydanmetsaArtikkelin kirjoittaja on PRT-Forest Oy:stä IT-järjestelmäpäällikkö Mikko Sydänmetsä. PRT-Forest -konserni jalostaa suomalaista puuta rakentamisen ja viihtyisän asumisen tarpeisiin. PRT-Forest kattaa rakentamisen koko kaaren sahatavaran valmistuksesta muuttovalmiisiin omakotitaloihin, julkisten ja
erilaisten liike- ja toimitilojen suunnittelusta, niiden toteutukseen. Konsernin toimintaa ohjaavat asiakaslähtöisyys ja tinkimätön laatuajattelu. Konsernin juuret ovat 1960-luvulta ja nykyään se on yksi Suomen johtavista puurakentamisen toimijoista. www.prt-forest.fi

Kirjoituksessaan Sydänmetsä toteaa hyötyvänsä mm. siitä, ettei varmennusta tarvitse enää tehdä jokaiselle varmennepyynnölle. Wesentra tekee OV-tasoisen domainin varmennuksen kerralla, minkä jälkeen asiakas voi itse tehdä haluamansa varmenteet. Lisäksi PRT-Forest hyötyy myös mahdollisuudesta tallettaa omien varmenteiden vanhenemispäivät Entrust SSL-Portaaliin. Jatka lukemista ”Vieraskynä: Wesentran asiakkaaksi varmennuksen vuoksi”

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Kotimainen varmennuspalvelu sai Avainlippu-tunnuksen – mitä se tarkoittaa?

Suomalaisen Työn Liitto myönsi kesäkuussa Wesentra Oy:lle Avainlippu-tunnuksen SuomalPalvelua_Sin_rgbosoituksena Suomessa tuotetulle ja Suomessa työllistävälle palvelulle. Avainlipun ensisijaisena myöntämiskriteerinä on aina se, että tuotteen on oltava valmistettu tai palvelun tuotettu Suomessa. Lisäksi lasketaan kotimaisuusaste, jonka on oltava vähintään 50 prosenttia omakustannusarvosta. Omakustannusarvossa otetaan huomioon palveluun liittyvät kustannukset, kuten henkilöstökustannukset, alihankinnat ja materiaalihankinnat. Palvelu-Avainlippua hakevalla yrityksellä on myös oltava merkittävä kotimainen omistusosuus, Suomessa toimiva johto ja yrityksen pääkonttorin tulee sijaita Suomessa.

Aloitimme kotimaisen ja suomen kielisen SSL-varmenteiden verifioinnin, asiakkaan varmennetta varten ilmoittamien tietojen varmistamisen, kesäkuussa. Itse en ole ollut varmenteiden ja verifioinnin kanssa missään tekemisissä ennen tätä ja kaikki aiheeseen liittyvä onkin ollut uuden opettelua. Jo käsitteiden suomentaminen on ollut oma hommansa, materiaalit ovat englanniksi ja niitä olemme nyt kääntäneet suomen kielelle. Olen monesti joutunut miettimään pitääkö tämä käsite suomentaa vai onko kyseessä suomenkieleen vakiintunut englanninkielinen käsite. Puhelimitse verifiointisoittoja tehdessä on välillä meinannut mennä sormi suuhun, kun olen miettinyt miten asia tulisi suomeksi esittää.

Ilokseni olen huomannut, että asiakkaamme ovat avuliaita meidän suuntaan, he ymmärtävät nämä alkuvaiheen haasteet ja yhdessä olemmekin saaneet verifioinnit vietyä onnistuneesti läpi. Kehitämme kotimaista verifiointipalvelua jatkuvasti Entrustin kanssa yhteistyössä ja opimme verifioinnista koko ajan lisää. Verifiointiprosessi on hetkittäin haastava, koska meidän tulee seurata CA/Browser Forumin asettamia tarkkoja ehtoja eikä siinä auta lähteä sooloilemaan. Suomessa yritystiedot ja domainien WHOIS-tiedot ovat pääsääntöisesti kunnossa ja mielestäni tähän liittyen on erittäin hyvä, että meillä on olemassa järjestelmät ja lainsäädäntö, jotka määrittävät mitä tietoja yrityksistä on oltava julkisesti saatavilla. Pyrimme Entrustin kanssa huomioimaan tämän suomalaisen lainsäädännön ja käytänteet myös verifioinnin osalta, tietyt asiat hoidetaan Suomessa eri tavalla kuin Kanadassa ja tämän ymmärtämisessä on välillä haastetta. Meille suomalaisille selvät asiat, kuten esimerkiksi Y-tunnuksen merkitys, ovatkin Kanadassa ihan tuntemattomia.

Kotimaisuus on myös IT-bisneksessä tärkeää, asiakkaamme arvostavat sitä, että varmenteiden verifiointiin liittyvät viestit ja puhelut tulevat Suomesta ja suomen kielellä. Ja suomalaisen aikataulun mukaisesti, monikaan ei halua vastata työpuheluihin työajan ulkopuolella. Avainlippu-tunnus kertoo sen, että vaikka itse varmenteet tulevat ulkomailta Entrustilta, niin niiden myöntämisen perusteena oleva varmennustyö tehdään suomalaisin voimin kotimaassa.