Entrust on julkaissut ”Best Practices Webinar” -sarjan. Sen ensimmäinen osa on webinaari ”Vulnerabilities Overview”. 
Tämä 44-minuuttisen webinaari esittelee yleisellä tasolla kahdeksan tärkeintä asiaa, joihin kotisivujen ja verkon tietoturvassa kannattaa kiinnittää huomiota. Webinaarissa kerrotaan myös tarkemmin erilaisista tavoista hyökätä verkkosivuille sekä suojautumisesta.
Alla on kirjaamiani yksityiskohtia webinaarista. Toivottavasti tämän materiaalin perusteella voit päättää, onko webinaarista hyötyä sinulle.
Pitäjä: Peter Galvin, Pituus: 44 minuuttia, Tekninen vaativuus 3 (1-5 – 5 on vaikein)
Sisältö
- Aika: 0 – 18 minuuttia: Web-sivujen suurimmat tietoturvahaasteet:
- Salainen avain
- Salaisen avaimen merkitys – erityisesti, jos se päätyy vääriin käsiin
- Allekirjoitusalgoritmit (SHA1/SHA2)
- Omalla PKI:lla luoduissa varmenteissa on usein ongelmia (pitkäkestoisia, avain ei välttämättä ole turvassa)
- Skannaus on hyvä menetelmä ongelmallisten SHA1-varmenteiden löytämisessä
- Palvelimen konfigurointi
- Haavoittuvuudet voidaan havaita työkaluilla (Entrust SSL Servert Test)
- Intermediate-varmenteiden puuttuminen
- Erilaiset SSL/TLS -protokollat ja niiden haavoittuvuudet hyökkäyksille
- Sovellusten suojaaminen
- Mixed Content – sivujen ongelmallisuus (sivuilla on sekä https- että http -materiaalia)
- Server Enhanced Security;
- HTTPS Strict Transport Security (HSTS) – SSL:n pakottaminen sivuille on yksi vahvimmista suojauskeinoista ja tämä voidaan konfiguroida päälle palvelimella
- Domainin suojaaminen
- Public Key Pinning – tämän avulla löytyi DigiNotarin tietoturvaongelma
- Google on vaatinut, että kaikki EV-varmenteet kirjataan julkisiin listoihin (Certificate Transparency)
- Certification Authority Authorization – Microsoftin ratkaisu: organisaatio voi kertoa, mitkä CA:t saavat luoda varmenteita;
- Edistyneet varmenteet
- DV/OV/EV – merkittävin ero on organisaatiotiedoissa, jotka sivulle tulija voi nähdä varmenteessa (ja jotka varmentaja on näin tarkastanut). Mitä enemmän tietoa on tarkastettu, sen luotettavampi on varmenne
- ”Always-On SSL” tai ”SSL Everywhere”
- HSTS konfiguroiminen päälle jo takaa ”Always-On SSL” menetelmän käytön
- Luotettava CA
- On tärkeää, että valittu CA seuraa Best Practice -menettelyjä
- Salainen avain
- Aika 19-40 minuuttia: Sovellusten suojaaminen tarkemmin:
- Bullet-Proof SSL e-kirja on hyvä opas tarkempaan tekniseen tietoon
- Google black-listaa päivittäin yli 9000 sivua – sivujen tietoturvaongelma on iso
- Esimerkkejä erilaisista hyökkäysmenetelmistä:
- Mitä on SQL Injection: Miten esim. Password-kenttään voidaan syöttää SQL-lause, joka avaa pääsyn tietokantaan
- Mitä on Cross-Site Scripting: Kuten SQL Injection, mutta haittakoodi viedään sisään scripteinä
- Mitä on Mixed Content: Miksi tätä on käytetty (miksi osa sivusta on SSL-suojattua ja osa ei); HTTP Strict Transport Security (HSTS) estää tämän: jos SSL-sivulla tulee esim. http-kysely, pakottaa sivu sen https-muotoon; Varoitukset: “Only secure content is displayed”
- Mitä on Insecure Cookies: Voi olla, että ohjelmoijat unohtavat suojata Cookiet SSL-protokollalla ja niistä tulee turvattomia; HSTS auttaa tässäkin;
- Malware-hyökkäys:
- Sivuilla voi olla malware-koodia tai linkkejä malware-sivuille
- Syynä voi olla esim. kolmannen osapuolen sovellus tai koodin “salakuljetus” sivuille
- Esimerkki kotisivuista, joilla on malware-koodia
- Haavoittuvuusskannerit ovat erittäin tehokkaita havaitsemaan ongelmia
- AIka 40 – 44 minuuttia: Yhteenveto
- Entrust ja tietoturva:
- SiteLock malware-skanneri on integroitu Entrustin SSL-Portaaliin
- Qualys SSL Labs -haavoittuvuusskanneri on integroitu Entrustin SSL-Portaaliin
- Hyödyllisiä linkkejä
- Entrust ja tietoturva:
Lisätietoa info@ssl-apua.fi