23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.

kotikysymys_700x400Viime viikolla tuli tietoa kohua herättäneestä varmenteiden peruutuksesta. On vaikea ymmärtää, mitä tässä on oikeasti tapahtunut. Kun katson Trusticon ilmoitusta 28.2. ja sitten DigiCertin ilmoitusta varmenteiden peruuttamisesta 28.2. en voi välttää ajatusta: ”Miten ihmeessä Trusticolla oli hallussaan myöntämiensä SSL-varmenteiden privaattiavaimet?”

Jatka lukemista ”23.000 Trusticon toimittamaa SSL-varmennetta peruutettiin kerralla 28.2.”

CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?

aurinko_pilvet_700x400

Aiemmin tilanne oli parempi

Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.

Tästä olemme joutuneet aikamoiselle suolle

Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.

Jatka lukemista ”CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?”