Entrust-webinaari #4 ”Domain Protection” – kannattaako katsoa?

21.6.2016

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan neljäs osa on ”Domain Protection”. Tämä 56-minuuttinen webinaari kertoo neljästä eri menetelmästä suojata oma domain siten, ettei kukaan pääse tekemään valheellista varmennetta saman nimiselle domainille ja ohjamaan liikennettä sinne.

Pitäjä: Mark Giannotti    Pituus: 56 minuuttia     Tekninen vaativuustaso 3 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Eri suojaamismenetelmät ja niiden perustoimintatavat
  • Mitä kannattaa huomioida HTTP Public Key Pinning -määritteissä

Sisällöstä otteita:

  • Aika 0 – 12 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitää kiinnittää huomiota:
  • Aika 12 – 17 minuuttia: Domainin suojaaminen
    • Miten Domain – Varmenne – Julkinen avain -yhdistelmä toimii
    • Brandin ja domainin suojaamistarve asiakkaan kannalta
  • Aika 17 – 24 minuuttia: Domainin suojaamismenetelmä 1 = Certificate Transparency (CT)
    • Julkinen loki, josta näkee laillisesti toimitetut varmenteet (“White listing”)
    • Miksi tätä tarvitaan? Mitä tapahtui Diginotar/Comodo varmenteella tehdyssä hyökkäyksessä?
    • Google kehitti – ja vaati, että 1/2015 mennessä kaikki EV-varmenteet piti kirjata CT:hen
    • Mikä on seuraava vaihe: CT Standardi/IETF
  • Aika 24 – 33 minuuttia: Domainin suojaamismenetelmä 2 = (Microsoft) Certificate Reputation
    • “Microsoftin vastaus CT:hen” – MS menetelmä kirjata varmennetiedot omaan tietokantaansa
    • On Microsoftin käytössä – ei ole julkinen
    • Microsoft voi kirjata tänne myös sellaiset varmenteet, jotka eivät ole julkisesti näkyvillä
    • Hyötyjä: MS tekee talletuksen kryptattuna, MS voi lähettää halutessaan maileja omistajalle esim. ongelmatilanteessa (sen sijaan, että omistajan pitää aktiivisesti tutkia CT lokia)
    • Haittoja: Ei julkista lokia, Ei tiedetä mitä MS tekee tällä datalla, Myös tällä menetelmällä MS ei saa kiinni välttämättä kaikkea tarvittavaa tietoa, toimii vain Windows-ympäristön varmenteille
  • Aika 33 – 42 minuuttia: Domainin suojaamismenetelmä 3 = HTTP Public Key Pinning (HPKP)
    • Määrittää, että julkiseen avaimeen liitetään joku lisätieto – esim:
      • Avaimeen liittyvä varmenne on asennettu tietylle palvelimelle
      • Avaimeen liittyvän varmenteen toimittajana on tietty CA
      • Avaimeen liittyvän varmenneketjun pitää päättyä tiettyyn root-varmenteeseen
    • Miten käyttää HPKP:ta?
      • Pitää olla tarkka: jos antaa esim. vain yhden PIN-määritteen varmenteelle ja se vanhenee tai tieto ei ole enää oikein (esim. siirretään toiselle palvelimelle ja PIN osoittaa palvelinta), eivät selaimet hyväksy enää varmennetta
      • Älä tee PIN-määritettä varmennetta vastaan (koska et voi uusia enää varmennetta)
      • Kannattaa mieluummin tehdä PIN-määrite Root-tasolla ja tehdä vara-PIN-määrite jonkun toisen CA:n rootiin. Näin voit vaihtaa toimittajaa (CA:ta)
      • Kannattaa laittaa PIN-määritteelle joku aikaraja
    • Aika 42 – 47 minuuttia: Domainin suojaamismenetelmä 2 = Certificate Authority Authorization (CAA)
      • Domainin omistaja voi määrittää, ketkä ovat domainille sallittuja varmennetoimittajia (CA)
      • Tieto menee DNS tai DNSSec -tietueisiin
      • Kun (CAA:ta tukeva CA) julkaisee varmennetta, se tarkastaa CAA-tietueen kyseiseltä domainilta – jos kyseinen CA ei ole valtuutettujen listalla, ei varmennetta anneta
      • Miksi CA:n kannattaa tukea CAA-menetelmää?
    • Aika 47 – 50 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
    • Aika 50 – 56 minuuttia: Kysymyksiä/vastauksia

Lisää tietoa: info(at)ssl-apua.fi

Lue lisää