SSL-sertifikaatti on todiste siitä, että luotettava taho on tarkoin tutkinut sertifikaatilla suojattavan palvelun sekä sitä tarjoavan yrityksen ja on antanut tästä todistuksen – sertifikaatin. Näin kuluttaja voi luottaa siihen, että hän todella on haluamillaan sivuilla ja että hän voi antaa sinne luottamuksellista tietoa salatusti.
Onkohan tämä asia osin unohtunut välillä?
Törmään välillä asenteisiin, joissa SSL-sertifikaatti tuntuu olevan vain välttämätön tekninen lisäke, jotta suojattu/salattu verkkopalvelu saadaan toimimaan. Mitä nopeammin ja helpommin sen saa, sitä parempi.
Salatun verkkoliikenteen maailma muuttuu nopeasti esim. Let’s Encrypt -tyyppisten hankkeiden kautta. Näillä palveluilla on oma paikkansa, kuten domain varmennetuilla sertifikaateilla ja muilla vastaavilla. DV-sertifikaattien turvallisuuskin on jo testattu. Siitä on esimerkki Suomessakin: tietoturvasta huolestunut kansalainen testasi menetelmää ja pystyi hankkimaan SSL-sertifikaatin Microsoftin live.fi -sivuille (Digitoday artikkeli – 18.3.2015). Menetelmä ei ole riittävän vahva.
Yhdenlaiset ammattilaiset – hackerit – tulevat testaamaan varmasti Let’s Encryptin tyyppisten palvelujen tietoturvan.
Ehkä näemme SSL/TLS -sertifioinnin jakautuvan yhä enemmän erilaisille tasoille. Kirjon toisessa päässä ovat menetelmät, joissa SSL-sertifikaatti tulee sivuille automaattisesti tai yhteen mailiin vastaamalla. Ja toisessa päässä ovat vahvan turvan antavat EV/OV -sertifikaatit, joissa luotettavan varmentajan edustaja henkilökohtaisesti soittaa ja tarkastaa sertifikaattia hakevan yrityksen. Ja tässä välissä on iso joukko eri tasoisia menetelmiä … aika näyttää, mihin kuluttajat/käyttäjät luottavat.