Entrust-webinaari #5 ”Keys, Certificates and Advanced Certificates” – kannattaako katsoa?
7.12.2016Entrustin ”Best Practices Webinar” -sarjan viides osa on ”Keys, Certificates and Advanced Certificates”. Tämä 65-minuuttinen webinaari esittää tapoja varmenteisiin liittyvien avaimien hallintaan ja kertoo edistyneimmistä varmennevaihtoehdoista (Multi-domain, Wildcard, EC, Private).
Pitäjä: Mark Giannotti Pituus: 65 minuuttia Tekninen vaativuustaso 2 (5 = vaikein)
Itselleni tärkeää ja uutta esityksessä oli:
- Esim. finanssilaitosten kokemukset siitä, että heidän asiakkaansa osaavat odottaa EV-varmenteita ja jos osoitepalkki ei muutu vihreäksi (ja pankin nimi ei näy osoiterivillä), käyttäjät muuttuvat epäluuloisiksi
- EC-varmenteiden käsittely käytännössä
Sisällöstä otteita:
- Aika 0 – 14 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
- Katso selitykset Best Practise #1 -refereraatista tästä
- Aika 14 –30 minuuttia: Varmenteet ja salaiset avaimet
- Salaisten avainten suojaus – aina uusi avain varmenteen uusimiseen – poista tarpeettomat
- Avainten rajoitteet – RSA-avain vähintään 2048 bittiä – älä tee turhaan pidempiä
- Mitä domain-nimiä varmenteen pitäisi kattaa
- Salaisen avaimen kopioimisessa toiselle palvelimelle on riskinsä
- Haasteet itse allekirjoitetuissa varmenteissa (omalla PKI:lla)
- Varmenteet privaattidomaineille (non-FQDN)
- Aika 30 – 53 minuuttia: Edistykselliset varmenteet (Advanced Certificates)
- Multi-domain -varmenteet (= Unified Communication / UC-varmenteet tai SAN-varmenteet)
- Wildcard vs. Multi-domain – Wildcard on joustava mutta sen hallinta on haastavampaa
- Esimerkki: F5 front end ja useita palvelimia sen takana – mikä on hyvä varmenneratkaisu?
- EV (Extended Validation) – kriittisillä palveluilla käyttäjät odottavat vihreää osoitepalkkia
- ECC – Elliptic Curve Cryptography – esim. 256-bit ECC-avain vastaa tietoturvaltaan 2048-bit RSA-avainta ja on paljon nopeampi. Haaste on, onko ECC-root kaikilla käyttäjillä. ECC-varmenteen saa nykyisestä Portaalista tekemällä ECC-varmennehakemuksen.
- Aika 53 – 60 minuuttia: Varmenteet privaattidomaineille (Non Registered Domains)
- Miksi CA/Browser Forum pysäytti julkiset varmenteet privaattidomaineille
- Ratkaisu: Private Trust -varmenne – mahdollistaa Entrust-varmenteen privaattidomainille. Tämä vaatii Private Rootin jakamisen käyttäjille.
- Aika 60 – 65 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
Lisää tietoa: info(at)wesentra.com tai https://www.wesentra.com