Entrustin ”Best Practices Webinar” -sarjan neljäs osa on ”Domain Protection”. Tämä 56-minuuttinen webinaari kertoo neljästä eri menetelmästä suojata oma domain siten, ettei kukaan pääse tekemään valheellista varmennetta saman nimiselle domainille ja ohjamaan liikennettä sinne.
Pitäjä: Mark Giannotti Pituus: 56 minuuttia Tekninen vaativuustaso 3 (5 = vaikein)
Itselleni tärkeää ja uutta esityksessä oli:
- Eri suojaamismenetelmät ja niiden perustoimintatavat
- Mitä kannattaa huomioida HTTP Public Key Pinning -määritteissä
Sisällöstä otteita:
- Aika 0 – 12 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitää kiinnittää huomiota:
- Katso selitykset Best Practise #1 -refereraatista tästä
- Aika 12 – 17 minuuttia: Domainin suojaaminen
- Miten Domain – Varmenne – Julkinen avain -yhdistelmä toimii
- Brandin ja domainin suojaamistarve asiakkaan kannalta
- Aika 17 – 24 minuuttia: Domainin suojaamismenetelmä 1 = Certificate Transparency (CT)
- Julkinen loki, josta näkee laillisesti toimitetut varmenteet (“White listing”)
- Miksi tätä tarvitaan? Mitä tapahtui Diginotar/Comodo varmenteella tehdyssä hyökkäyksessä?
- Google kehitti – ja vaati, että 1/2015 mennessä kaikki EV-varmenteet piti kirjata CT:hen
- Mikä on seuraava vaihe: CT Standardi/IETF
- Aika 24 – 33 minuuttia: Domainin suojaamismenetelmä 2 = (Microsoft) Certificate Reputation
- “Microsoftin vastaus CT:hen” – MS menetelmä kirjata varmennetiedot omaan tietokantaansa
- On Microsoftin käytössä – ei ole julkinen
- Microsoft voi kirjata tänne myös sellaiset varmenteet, jotka eivät ole julkisesti näkyvillä
- Hyötyjä: MS tekee talletuksen kryptattuna, MS voi lähettää halutessaan maileja omistajalle esim. ongelmatilanteessa (sen sijaan, että omistajan pitää aktiivisesti tutkia CT lokia)
- Haittoja: Ei julkista lokia, Ei tiedetä mitä MS tekee tällä datalla, Myös tällä menetelmällä MS ei saa kiinni välttämättä kaikkea tarvittavaa tietoa, toimii vain Windows-ympäristön varmenteille
- Aika 33 – 42 minuuttia: Domainin suojaamismenetelmä 3 = HTTP Public Key Pinning (HPKP)
- Määrittää, että julkiseen avaimeen liitetään joku lisätieto – esim:
- Avaimeen liittyvä varmenne on asennettu tietylle palvelimelle
- Avaimeen liittyvän varmenteen toimittajana on tietty CA
- Avaimeen liittyvän varmenneketjun pitää päättyä tiettyyn root-varmenteeseen
- Miten käyttää HPKP:ta?
- Pitää olla tarkka: jos antaa esim. vain yhden PIN-määritteen varmenteelle ja se vanhenee tai tieto ei ole enää oikein (esim. siirretään toiselle palvelimelle ja PIN osoittaa palvelinta), eivät selaimet hyväksy enää varmennetta
- Älä tee PIN-määritettä varmennetta vastaan (koska et voi uusia enää varmennetta)
- Kannattaa mieluummin tehdä PIN-määrite Root-tasolla ja tehdä vara-PIN-määrite jonkun toisen CA:n rootiin. Näin voit vaihtaa toimittajaa (CA:ta)
- Kannattaa laittaa PIN-määritteelle joku aikaraja
- Aika 42 – 47 minuuttia: Domainin suojaamismenetelmä 2 = Certificate Authority Authorization (CAA)
- Domainin omistaja voi määrittää, ketkä ovat domainille sallittuja varmennetoimittajia (CA)
- Tieto menee DNS tai DNSSec -tietueisiin
- Kun (CAA:ta tukeva CA) julkaisee varmennetta, se tarkastaa CAA-tietueen kyseiseltä domainilta – jos kyseinen CA ei ole valtuutettujen listalla, ei varmennetta anneta
- Miksi CA:n kannattaa tukea CAA-menetelmää?
- Aika 47 – 50 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
- Aika 50 – 56 minuuttia: Kysymyksiä/vastauksia
- Määrittää, että julkiseen avaimeen liitetään joku lisätieto – esim:
Lisää tietoa: info(at)ssl-apua.fi