”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?”
3.10.2019
Tietohallintopäällikkö Teppo Kartano Rauman kaupungilta lähetti 12.9.2019 viestin:
”Moro, tuli tuossa juttua sertifikaateista ja niiden hinnoista. Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä? t. tka ”
Ja näin Tepolle vastattiin:
”Huomenta,
kysymys on hyvä, kiitos. Vastaus pähkinänkuoressa:
- Let’s Encrypt antaa sivuille pelkän salauksen. Tällaisen varmenteen saa mille tahansa sivustolle, jonka domainiin on riittävä kontrolli. Kukaan ei ota yhteyttä organisaatioon ja tarkasta sitä. Siksi esim. kalastelusivut on useimmiten suojattu Let’s Encryptillä. Käyttäjä luulee olevansa oikeilla sivuilla, kun niillä on lukon kuva. Ja antaa joitain tärkeitä tietoja itsestään sivuille.
- Entrust antaa myös sähköisen identiteetin – käyttäjä pääsee katsomaan varmenteesta, mikä organisaatio tarjoaa palvelun ja voi olla varma siitä, että ulkopuolinen luotettava taho on varmistanut tämän. Kyse on käyttäjän tietoturvan suojaamisesta.
Vähän laajemmin:
- Google on vetänyt jo muutaman vuoden linjaa, että pelkkä salaus riittää. Sähköisellä identiteetillä ei ole merkitystä heidän linjassaan. Google on osin myös Let’s Encryptin takana. Ja näköjään Chromesta karsitaan pois sähköisen identiteetin tunnuksia.
- Kuitenkin suurin osa yrityksistä toteaa, että sähköinen identiteetti on salaustakin tärkeämpi. Jotta sivuilla kävijä voi jostain tarkistaa, ettei ole väärässä paikassa (esim. sivustolla, jonka nimi jäljittelee alkuperäistä nimeä).
- EU vetää vahvan sähköisen identiteetin linjaa. 15.9.2019 voimaan tuleva PSD2-määritys vaatii vahvat SSL-varmenteet pankkipalveluja käyttäville järjestelmille (tämä QWAC varmenne on EV-pohjainen)
Ja oikein laajasti:
Auttaako tämä?
t. Pertti”