Asiakkaamme kysyi vastikään ”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?” ja tämä on hyvä lähtökohta tarinaamme.
Koko varmenneliiketoimintamme perustuu palveluun
Oli kevät 2011 kun yksi päämiehemme, Entrust, esitteli kasvavaa SSL-varmenteiden myyntiänsä seminaarissa Kööpenhaminassa. Tämä ei kuulostanut järkevältä liiketoiminnalta, kun varmenteet maksoivat vain muutaman satasen ja niitä ilmeisesti ostettiin harvoin. Kun kuitenkin tiedustelimme luottoasiakkailta tarvetta varmennepalveluun, oli vastaus monilla sama: ”Jos kotimaasta saa tarvittaessa osaavaa palvelua ja jos varmenteiden ostamisessa ei tarvitse käyttää luottokorttia, niin olisimme kiinnostuneita.”
Tästä saadaan ensimmäinen ”miksi”: Osaavan palvelun vuoksi. Useat asiakkaamme joutuvat ottamaan käyttöön varmenteita harvoin. Rutiinia ei ole ja tällöin paneutuminen asiaan voi viedä aikaa. On paljon helpompaa soittaa meille ja katsoa asia yhdessä nopean webinaarin puitteissa sellaisen osaajan kanssa, joka keskittyy näihin asioihin päivittäin. Asiakkaille tämä on vaivatonta, kun palvelu kuuluu varmenteiden hintaan. Wesentralle tyytyväiset asiakkaat merkitsevät tyypillisesti lisäostoksia jatkossakin sekä parhaassa tapauksessa uusiakin asiakkaitakin viidakkorummun välityksellä:
”Yhteistyö sujui mainiosti. Kiitos paljon ystävällisestä ja ammattitaitoisesta palvelusta! Ilman teitä varmenteen asentaminen olisi kestänyt paljon enemmän ja olisi tullut melko lailla kalliimmaksi.”
”Kiiretapauksia ei ole usein, mutta kun sellainen osuu kohdalle, tällainen toiminta on upeaa. Siitä kiitokset”
Joskus palvelu ei liity Entrustin varmenteisiin, vaan toimitamme laskutettavaa konsultointia. Esimerkiksi lokakuussa 2014 meihin otti yhteyttä iso asiakkaamme, jolla oli kiireellinen ongelma. Englantilaisen palvelutoimittajan ohjelmistoa oltiin ottamassa käyttöön. Aivan kalkkiviivoilla tuli esille tarve saada itse tehty varmenne asennettua siten, että avain talletettiin Java Keytool keystoreen. Ja tähän ei ollut osaamista asiakkaamme projektihenkilöillä eikä palvelutoimittajalla. Kyse ei ollut Entrustin varmenteesta, mutta meillä oli onneksi riittävästi kokemusta, jotta saimme nopeasti ratkaistua asian.
” Moi, laittakaa vaan lasku tulemaan. Kaikki on ok ja kiitos itsellenne tärkeästä avusta.”
Asiakkaamme hallitsevat itse varmenteensa ECS-portaalilla
Aluksi varmennetoimitukset olivat pääsääntöisesti yksittäisiä varmenteita, joita tuotimme asiakkaille omalla Entrustin varmenneportaalillamme. Mutta jo syksyllä 2011 Lahden kaupunki lähti kokeilemaan SSL-varmenteiden tuotantoa ja hallintaa omalla Entrustin ECS-portaalillaan (Entrust Certificate Cervices). Palaute oli hyvää. Asiakas sai varmenteet saman tien ja pystyi muokkaamaan niitä tarvittaessa. Lisäksi portaaliin sai koottua näkymän kaikkiin varmenteisiin, myös itse tehtyihin sekä muilta toimittajilta ostettuihin. Ja näistä tuli keskitetyt vanhenemishälytykset.
Tästä siis toinen ”miksi”: Erinomaisen hallintatyökalun vuoksi. ECS-portaali varmenteiden hallintaan on helppokäyttöinen, mutta tehokas. Sen käyttöoikeus kuuluu varmenteiden hintaan. Yleensä tunnin tai puolentoista tunnin etäopastus riittää, sekin kuuluu varmenteiden hintaan. Portaalilla voi tehdä SSL-, Code Signing, Document Signing, sähköposti- ja laitevarmenteet ja siihen sisältyy paljon hyödyllisiä työkaluja esimerkiksi varmenteiden löytämiseen ja valvontaan. Tyypillisesti asiakkaallamme on 2-3 henkilöä, joilla on käyttöoikeus ECS-portaaliin, mutta esimerkiksi yhdellä asiakkaallamme on yli 40 adminia, jotka voivat luoda varmenteita ECS-portaalilla aina tarvitessaan. Itse tietysti pidämme portaalista, mutta emme ole ainoita. Marraskuussa 2019 tuli palaute asiakkaan erittäin kokeneelta asiantuntijalta, joka on käyttänyt erilaisten Entrustin PKI-tuotteiden lisäksi sekä myös kovimman kilpailijamme, Digicertin työkaluja SSL-varmenteiden hallintaan: ”Entrustin SSL-portaali on ollut toimivin Entrustin liittymä, mitä olen tavannut. Päihittää Digicertin vastaavat.”
Pooling-lisensointi mahdollistaa varmenteiden kierrättämisen
Useat kilpailijammekin tarjoavat asiakkailleen käyttöön varmenneportaalit. Tyypillinen lisensointitapa on, että asiakas ostaa portaaliin etukäteen tietyn määrän varmennevuosiyksiköitä. Asiakas luo sitten tarvitessaan vuoden tai kahden vuoden varmenteen ja käyttää näin varastossa olevia yksiköitä. Jos jostain syystä esimerkiksi kahden vuoden varmennetta ei tarvita enää vaikkapa puolentoista vuoden jälkeen, menee maksettu loppuaika hukkaan.
Meiltä meni pari vuotta tajuta, että Entrust tarjosi tämän perinteisen mallin rinnalla toisenkin mallin, joka soveltuu erinomaisesti silloin, kun asiakkaalla on useampia varmenteita. Tässä ns. Pooling-lisensoinnissa asiakas tavallaan vuokraa varmennepaikkoja määräajaksi, esimerkiksi kolmeksi tai neljäksi vuodeksi. Asiakas voi luoda vapaaseen varmennepaikkaan vaikkapa kahden vuoden varmenteen. Jos sitä sitten ei tarvita esimerkiksi 1,5 vuoden päästä, asiakas yksinkertaisesti poistaa varmenteen (eli revokoi sen). Kyseinen varmennepaikka vapautuu ja asiakas voi luoda siihen jonkun muun varmenteen. Tämä mahdollistaa myös lyhytaikaiset testivarmenteet.
Tästä muodostui nopeasti kolmas ”miksi”: Joustavan lisensoinnin vuoksi. Suurin osa isommista asiakkaistamme käyttää nykyään Pooling-tyyppistä ECS-portaalia. Varmenteiden kierrättämisen lisäksi Pooling-lisensointi on vieläkin edullisempi kuin perinteinen (ns. Non-Pooling) lisensointi. Asiakas voi säästää jopa 20% varmennekuluista.
(*** löytyisiköhän tähän joku asiakkaan autenttinen kommentti vai kommentoidaanko asiakkaan puolesta 🙂 ***”)
Jälleenmyyjämme tarvitsevat varmenteita osana omaa palveluaan
Pari ensimmäistä vuotta toimitimme varmenteita vain suorille asiakkuuksille kunnes syksyllä 2013 pääsimme keskustelemaan ensimmäistä kertaa siitä, miten palvelutoimittaja voisi käyttää Entrustin varmenteita ja palveluamme osana omaa toimintaansa. Lähdimme rakentamaan yhteistyön mallia, ja tästä on on vähitellen syntynyt nykyinen tilanne, jossa jälleenmyyjiä on toista kymmentä ja yli kolmannes koko liikevaihdostamme tulee heidän kauttansa. Kumppanimme toimittaa aina jotain omaa palveluaan, jossa tarvitsee varmenteita ja osaamistamme taustatueksi.
Neljäs ”miksi” on siis palvelutoimittajille: Varmenteet ja osaamisen saa oman toiminnan jatkeeksi. Nykyään useat kumppanimme hyödyntävät esimerkiksi ECS-portaalin erinomaisia skannaus- ja valvontaominaisuuksia myös omassa myynnissään. Kun keskustellaan uuden mahdollisen asiakkuuden kanssa, on helppoa skannata heidän varmennetilanteensa ja tehdä ehdotus myös tämän pienen osa-alueen hallinnasta. Ja kun sopimukseen päästään, voidaan uuden asiakkaan kilpailijoilta tulleet varmenteet ottaa osaksi ECS-portaalin valvontaa ja vähitellen korvata Entrustin varmenteilla. Lisäksi portaaliin kuuluvat SiteLock Malware Scan sekä integraatio Qualys SSLLabs Server Test -ohjelmaan antavat uusia mahdollisuuksia palvelutoiminnalle.
Wildcard-duplikaatit ovat esimerkki yhteistyöstämme Entrust Datacardin kehitystiimin kanssa
Syksyllä 2013 tuli eteemme mahdollinen asiakas, joka halusi vaihtaa kilpalijalta palvelumme hyödyntämiseen, mutta jolla oli tähän erityinen ehto. Kilpailijamme Digicert tarjosi mahdollisuutta tehdä wildcard-varmenteita siten, että jokaiselle kohdepalvelimelle muodostetiin oma ns. ReKey -kopio. Tällöin jokaiselle palvelimelle muodostui oma salainen avain, mikä oli merkittävästi turvallisempaa kuin oma tapamme kopioida wildcard-varmenteita .pfx-paketteina palvelinten välillä. Asiakas edellytti meiltä vastaavaa palvelua. Saimme asian ratkaistua Entrustin avulla.
Tässä tulee esille viides ”miksi”: läheinen yhteistyömme Entrustin kehitystiimin kanssa. Tämän taustalla on enemmänkin tuuri kuin osaaminen. Kun aloitimme, oli Entrust juuri palkannut kehitystoiminnan vetäjäksi Jay Schiavon, joka oli aiemmin rakentanut tiiminsä kanssa GeoTrustin SSL-portaalin ja ollut Symantecilla kehitysjohdossa. Entrust oli tehnyt itse myyntinsä, eikä kumppaniohjelmaa oikeastaan ollut. Jay tuli käymään Suomessa ja tästä alkoi erittäin tiivis yhteistyömme. Tämän turvin pystyimme pyytämään Entrustilta ratkaisua wildcard-ongelmaan. Löysimme ensin kiertotien tämän kyseisen asiakkuuden osalta ja pääsimme sen avulla vauhtiin. Ja Entrust kehitti pyynnöstämme ECS-portaaliin Duplicate -toiminnon, jolla saadaan kopiot varmenteista – ei pelkästään wildcardeista vaan myös OV ja EV multi-domain varmenteista. Tämä toiminto on nykyään erittäin merkittävä osa ECS-portaalia ja on säästänyt merkittävästi rahaa ja aikaa asiakkaillemme.
Kotimainen verifiointi kasvatti markkinaosuuttamme
Kysyimme vuoden 2015 lopulla asiakkailtamme toiveita palvelumme kehittämiseksi. Yksi toive kuultiin monelta taholta: ”Voisivatko organisaation verifiointiin liittyvät puhelinsoitot tulla Suomesta, eikä Kanadasta?” Teimme aika lailla töitä Entrustin kanssa ja rekrytoimme tätä varten resursseja. Kesällä 2016 meillä oli sitten Entrustin kouluttamat ja sertifioimat omat verifiointiasiantuntijamme ja pystyimme aloittamaan organisaatioiden verifioinnin. Olemme Entrustille suurin varmennejakelija Euroopassa ja ainoa, joka saa itse tehdä verifioinnin. Entrust toki auditoi kaikki verifiointimme.
Joten kuudes ”miksi” on: Kotimaisen verifiointitoiminnan vuoksi. Aiemmin soitot saattoivat tulla ilta-aikaan ja hieman hankalammissa verifioinneissa Entrustin asiantuntija ei välttämättä tuntenut YTJ-palvelua tai muita suomalaisia rekistereitä. Nyt asiakkaat ja kumppanit ovat tyytyväisiä: ”Wesentran osaava organisaatioiden verifiointi on säästänyt asiakkailtamme todella paljon aikaa ja vaivaa.” Uskomme, että tämä on yksi tärkeimpiä uudistuksia palvelussamme ja että se on merkittävästi lisännyt Entrustin varmenteiden markkinaosuutta Suomessa.
Tilaukset itsepalveluna ja kuukausittainen laskutus ovat tärkeitä osalle jälleenmyyjistämme
Useimmat jälleenmyyjät ovat aloittaneet yhteistyön kanssamme ottamalla käyttöön ECS-portaalin ja tilaamalla siihen aina varmenneyksiköitä tarpeen mukaan. Näin pienehkönä ja joustavana yrityksenä saamme toimitukset hyvinkin nopeasti portaaliin ilman byrokratiaa. Osa jälleenmyyjistä on tottunut edellisen toimittajan kanssa ostamaan isomman määrän varmenneyksiköitä kerralla, ja sekin toki on toiminut. Tilaukset on laskutettu saman tien. Mutta kun tilausten määrä kasvoi merkittävästi, aloimme keskustella muutamien jälleenmyyjien kanssa tavoista pienentää varmenteiden tilauksiin liittyvää työmäärää. Samaan aikaan Entrust julkaisi ns. Partner Portaalin, jolla jälleenmyyjä voi itsepalveluna lisätä haluamansa yksiköt ECS-portaaliin. Kehitimme tätä yhdessä Entrustin kanssa vastaamaan suomalaisten asiakkaidemme tarpeita.
Tästä muodostuikin seitsemäs ”miksi”: Joustava tilaus- ja laskutuskäsittely. Useat isommat jälleenmyyjämme ja jotkut suorat asiakkaamme käyttävät jo mallia, jossa he lisäävät itse tarvittavat varmenneyksiköt ECS-portaaliin. Lisäyksen yhteydessä he kirjaavat vapaamuotoiseen kommenttikenttään tilausviitteensä tai asiakasnimen. Wesentra laskuttaa varmenteet kuukausittain ja laskulla jokainen lisäystapahtuma ja sen viite näkyy erillisenä. Näin tarvittaessa ostot voidaan kirjanpidossa kohdentaa vastaaville myynneille.
Laajasta tuotevalikoimasta voimme toimittaa myös esim. allekirjoitusvarmenteet ja HSM-palvelut
Vuonna 2018 toimitimme ensimmäisen Document Signing -varmenteen, jolla allekirjoitetaan satoja tuhansia dokumentteja vuodessa. Nämä projektit ovat mielenkiintoisia, koska varmenteen luottamuksen pitää olla erityisen vahva. Varmenteen salainen avain tulee luoda ja ylläpitää turvassa sellaisten prosessien mukaan, jotka tarvittaessa voidaan auditoida. Se muodostaa koko luottamuksen ankkurin. Lisäksi sääntöjen mukaan avain tulee tallettaa FIPS 140-2 -tason HSM-laitteelle (Hardware Security Module), josta sitä ei saa luettua. Tähän palveluun toimitimme allekirjoitusvarmenteen lisäksi Entrustin HSM-palvelun pilvestä. Kiinnostus allekirjoitusvarmenteita kohtaan on lisääntynyt.
Joten kahdeksas ”miksi” on: Kattavan tuotevalikoiman vuoksi. Esimerkiksi HSM-palvelujen osalta Entrust on yksi vahvimpia toimittajia ostettuaan vastikään nCipher HSM -liiketoiminnan. Entrust voi toimittaa HSM-laitteet asiakkaan ympäristöön ja tarjota tähän myös tarvittavat hallintaprosessit tai vaihtoehtoisesti Entrust voi tarjota koko palvelun pilvestä, jolloin HSM-laitteet ovat kahdennettuina Entrustin ultraturvallisissa bunkkereissa. Myös tilanne itse allekirjoitusvarmenteet ovat Entrustilla erityislaatuisia. Tyypillisesti allekirjoitusvarmenteet ovat yhteensopivia Adoben uudemman AATL-määrityksen kanssa. Ainostaan kolme CA:ta maailmassa pystyy toimittamaan allekirjoitusvarmenteita, jotka ovat yhteensopivia myös alkuperäisen Adobe CDS -määrityksen kanssa. Entrust on yksi näistä. Tämä merkitsee, että myös vanhemmat ohjelmistoversiot hyväksyvät Entrustin allekirjoitusvarmenteen silloinkin, kun AATL ei ole hyväksytty. Tämän vuoksi olemme Suomessakin vaihtaneet kilpailijoiden toimittamia allekirjoitusvarmenteita Entrustin varmenteisiin.
Varmennekäytäntöjen kirjaaminen auttaa omaa henkilöstöä sekä kotisivuilla kävijöitä
Kotisivuille asennetulla SSL-varmenteella on kaksi tarkoitusta: 1) salata liikenne palvelimen ja verkkosivuilla kävijän selaimen välillä sekä 2) näyttää luotettavasti sivuston sähköinen identiteetti eli sen organisaation nimi, joka kotisivut on tuottanut. Näin sivuilla kävijä voi olla varma siitä, että hän on oikealla sivustolla eikä tietoja kalastelevalla sivustolla, joka on saman näköinen ja jolla on lähes samanlainen nimi. (*** tässä voisi olla kuvat vaikka https://ssl-apua.fi ja https://ssi-apua.fi ***). Mutta jotta tästä on apua, on sivustolla kävijän tiedettävä, miten tarkistaa asia varmenteesta.
Voimme auttaa tässä ja näin saadaan yhdeksäs ”miksi”: Voimme auttaa tiedottamisessa. Yksi tapa on tuottaa organisaatiolle Certificate Practices -dokumentti, joka palvelee erilaisia tarpeita: 1) määrittää yrityksessä sovellettavat varmennekäytännöt, 2) tiedottaa varmenteiden käytöstä ja menetelmistä organisaation omalle henkilöstölle ja 3) tiedottaa kotisivuilla kävijöille miten he voivat hyötyä varmenteesta. Näin voidaan nostaa organisaation maturiteettia verkon tietoturvan osalta.
Varmennehallinnan integraatio tiketöintiin säästää aikaa
Yhä suurempi osa Entrustinkin varmenteista tuotetaan automaattisten liitäntöjen kautta. Asiakkaan oma ECS-portaali on esimerkiksi Rest API:n avulla integroitu tiketöintiin tai jälleenmyyjä on integroinut varmennetuotannon osaksi tarjoamaansa hallintaliittymää. Entrust tarjoaa myös maksuttoman valmiin integraation ServiceNow -järjestelmään.
Kymmenes ”miksi” tulee koko ajan tärkeämmäksi: Varmennetuotannon ja -valvonnan integraatio muihin järjestelmiin. Pystymme auttamaan asiakkaitamme ja jälleenmyyjiämme integraation toteutuksessa ja näin säästämään aikaa ja nopeuttamaan prosesseja varmenteiden luonnissa, uusimisessa, valvomisessa ja hallinnassa.