Uudet domainien verifiointitavat käyttöön

Vuonna 2018 poistettiin käytöstä Suomessa yleisesti käytetty verifiointimetodi, joka perustui whois-tietoihin kirjattuun domainin omistajaan. Samaan aikaan GDPR aiheutti sen, että whois-tietoihin kirjatut yhteystiedot eivät ole enää oletuksena julkista tietoa. Näin menetettiin kaksi yleisesti käytettyä verifiointimetodia. CA Browser Forum on nyt tehnyt päätöksen lisätä kaksi uutta metodia verifiointiin, Email to DNS TXT Contact ja
Email to DNS CAA Contact .

Jatka lukemista ”Uudet domainien verifiointitavat käyttöön”

Muutoksia Domainien verifioinnissa

verifiointi_adjust_700x400

Olemme tiedottaneet alkukevään aikana asiakkaitamme muutoksesta verifioinnissa. Tässä myös aiheeseen liittyvä kooste blogikirjoituksen muodossa.

Tausta – CA/Browser Forumin päätös

Kaikkia varmentajia säätelevä CA/Browser Forum on päättänyt, että 1.8.2018 alkaen kaikkien Certificate Authority (CA) -toimijoiden tulee verifioida domainit muuten, kuin WHOIS-tietoihin kirjatun omistajatiedon perusteella. Tämä muutos koskee kaikkia varmentajia.

Jatka lukemista ”Muutoksia Domainien verifioinnissa”

CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?

aurinko_pilvet_700x400

Aiemmin tilanne oli parempi

Kun SSL-varmenteet aikanaan otettiin käyttöön, sopivat selaintoimittajat yhteisestä merkintätavasta: Jos otsikkorivillä on lukon kuva, on liikenne salattua. Tilanne oli käyttäjän kannalta hyvä.

Tästä olemme joutuneet aikamoiselle suolle

Tämän jälkeen tilanne on muuttunut haastavammaksi. On DV-tasoista verifiointia, joka antaa vain salauksen ja jonka saa sivuilleen kuka tahansa sopivan sähköpostiosoitteen omistaja. OV-tasoisesssa verifioinnissa luotettava varmentaja on tarkastanut, että kyseinen organisaatio on olemassa ja on halunnut varmenteen. Ja EV-tasoisessa verifioinnissa tämä asia on tarkastettu johtoryhmätasolta.

Jatka lukemista ”CA:t ehdottavat uutta yhtenäistä merkintätapaa SSL-varmenteille – tuoko tämä ratkaisun nykyiseen merkintöjen sekasortoon?”

Tarvittavat toimet Symantec / VeriSign / Thawte / GeoTrust -varmenteille

muurahaiset_700x400Kun olemme seuranneet Googlen ja Symantecin välistä luottamuspulaa keväästä alkaen, lienee oikeus ja kohtuus että myös julkaisemme tässä blogissa ratkaisun, jonka Symantec on 7.10.2017 esittänyt artikkelissaan ”Information for Replacement of Symantec SSL/TLS Certificates”

Artikkeli kertoo, mitä toimenpiteitä Symantec/VeriSign/Thawte/GeoTrust -varmenteiden haltijoiden tulee tehdä, jotta välttävät Chromen puutteellisesta tietoturvasta kertovat varoitukset.

Alla on vielä linkit aiemmin julkaisemiimme blogiartikkeleihin tästä asiasta:

27.3. Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

12.6. Google ja Symantec lähenemässä sopua luottamusongelmassa?

9.8. Symantec myy SSL-varmenteiden liiketoiminnan DigiCertille!

Lisätietoja:  info(at)wesentra.com     tai      https://www.wesentra.com

Apua asiakkaille sopivan varmennustason valintaan (DV/OV/EV)

Alla oleva artikkeli on julkaistu Turvallisuus & Riskienhallinta -lehden numerossa 9/2017. Sen tavoitteena on antaa https-sivustoa kaipaavalle organisaatiolle yleistajuisesti tietoa siitä, minkä tasoinen varmenne sivuille kannattaa hankkia: DV, OV vai EV.

Tietoturvallisten verkkosivujen kolme tasoa -artikkeli löytyy tästä

K1

K3

K2

Lisää tietoa: info(at)wesentra.com    tai      https://www.wesentra.com

Case Kielikoulu Nuevo Mundo – sitkeys palkitaan (yhden EV-varmenteen saaminen kaikille kohteilleen voi näköjään joskus kestää viisi kuukautta)

do_you_speak_700x400Tämän artikkelin tavoitteena on näyttää millainen joskus voi olla varmenteen tilaus- ja toimitusprosessi, kun se on hieman haastavampi ja lopputulokseen ei päästäkään normaalissa parissa päivässä. Mutta maaliin päästään sitkeydellä.

Jatka lukemista ”Case Kielikoulu Nuevo Mundo – sitkeys palkitaan (yhden EV-varmenteen saaminen kaikille kohteilleen voi näköjään joskus kestää viisi kuukautta)”

Google ja Symantec lähenemässä sopua luottamusongelmassa?

key_hands_700x400

Blogiartikkelissa 27.3.2017 kerroimme, että Google harkitsee mm. EV-statuksen poistamista Symantecin varmenteilta (mukaan lukien Thawte, GeoTrust ja RapidSSL -varmenteet). Google ja Symantec ovat tavanneet ja Google on tehnyt uuden ehdotuksen, jota Symantec on kommentoinut. Jos ehdotus menee läpi, alamme nähdä käytännön toimia 8.8.2017.

Jatka lukemista ”Google ja Symantec lähenemässä sopua luottamusongelmassa?”

Lisäävätkö ilmaiset DV-varmenteet tietoturvaa vai kärsiikö SSL-lukko inflaation?

phishing_700x400

”LetsEncrypt oli myöntänyt 8.12.2016 mennessä 409 SSL-varmennetta domaineille, joiden nimessä oli sana ’Paypal’. Tähän aamuun mennessä tuo määrä oli 709.”

Eric Lawrence kirjoitti tämän Text/Plain -blogissaan 16.1.2017.

On selvää, että kun rikolliset tahot saavat DV-tason SSL-varmenteet ilman tietojen antamista tai luottokortin käyttöä, ovat myös kaiken maailman heppoiset kalastelusivut SSL-lukon suojaamia. Ja useat käyttäjät eivät ymmärrä eroa DV ja OV/EV -varmenteiden välillä.

Pitäisikö syyttää Let’s Encryptiä tämän mahdollisuuden luomisesta? Tuskin. Määrätietoiset rikolliset saisivat kyllä DV-varmenteensa usein muutenkin. Josh Aas (Executive Director, ISRG = LetsEcryptin taustavoima) kirjoitti 29.10.2015 hyvän näkemyksen LetsEncryptin tarkoitusperistä:

”Since we announced Let’s Encrypt we’ve often been asked how we’ll ensure that we don’t issue certificates for phishing and malware sites. The concern most commonly expressed is that having valid HTTPS certificates helps these sites look more legitimate, making people more likely to trust them.

Deciding what to do here has been tough. On the one hand, we don’t like these sites any more than anyone else does, and our mission is to help build a safer and more secure Web. On the other hand, we’re not sure that certificate issuance (at least for Domain Validation) is the right level on which to be policing phishing and malware sites in 2015. This post explains our thinking in order to encourage a conversation about the CA ecosystem’s role in fighting these malicious sites. …”

Miten loppukäyttäjä voi olla varma siitä, ettei anna tietojaan rikollisten käyttöön? Kenellä on vastuu sen tarkastamisesta, että web-sivuston tarkoitusperä on laillinen: selaimien toimittajille, sivustojen tekijöillä, varmenteiden toimittajilla, loppukäyttäjillä? Tämä keskustelu käy kuumana.

OV/EV -varmenteiden toimittajat haluaisivat, että käyttäjä näkisi selvästi eron OV ja DV -varmenteen välillä. Tavoitteena on sen tiedon levittäminen, että DV-tason SSL-lukko ei takaa sivuston toimittajasta tai tarkoitusperistä mitään. Ja että OV-tasoisen SSL-lukon julkaisijaorganisaation on tarkistanut luotettava kolmas taho (toki tällöinkään varmentaja ei osaa sanoa, minkä laatuista palvelua organisaatio tarjoaa). EV-lukkohan on jo eri näköinen ja iso osa käyttäjistä osaa vaatia sitä esimerkiksi web-kaupoissa.

Wesentran näkökulmasta tärkeintä tässä vaiheessa on tiedon jakaminen DV/OV/EV -eroista. Ja oman työmme tekeminen niin hyvin, että kaikki varmentamamme OV/EV -sivustot todella ovat niiden organisaatioiden julkaisemia, joiden nimi lukee varmenteessa.

Lisää tietoa:   info (at) wesentra.com       tai       https://www.wesentra.com

 

 

Vieraskynä Entrust Datacardilta: Verifiointiprosessi ulkomailla

swimming_computer

stephen_demone(Tämä artikkeli julkaistaan yhtä aikaa myös englanniksi)

Artikkelin kirjoittaja on Stephen Demone, joka työskentelee verifiointiasiantuntijana Entrust Datacardilla Ottawassa, Kanadassa. Verifiointiosaamisensa lisäksi Stephen on jo kannuksensa ansainnut kirjailija neljällä novellillaan sekä jääkiekkokirjoituksillaan foorumilla SBNation web site.

Tässä artikkelissa Stephen käsittelee verifiointiprosessia ja sen haasteita – erityisesti vieraissa kulttuureissa ja vierailla kielillä. Hän kertoo myös Entrust Datacardin ja Wesentran yhteistyöstä esimerkiksi seuraavaa:

”Paikallinen edustus kohdemaassa on tehokkain tapa palvella tiettyä kohdemarkkinaa mahdollisimman ketterästi. …  Paikallisesti alueisiinsa kytkeytyneet varmentajat ovat lisäksi paremmin selvillä tietojen saatavuudesta – …”

<** Stephenin oma teksti alkaa tämän jälkeen … Lue lisää **>

Jatka lukemista ”Vieraskynä Entrust Datacardilta: Verifiointiprosessi ulkomailla”