Salaus, siitä lähtee verkkoliikenteen turvaaminen
Kun surffaamme internetin ihmeellisessä maailmassa sivustoilta toisille, törmäämme väistämättä sivustoihin joista löytyy lukon kuva.
Tämä lukko kertoo Sinulle, että olet muodostanut salatun yhteyden ja kaikki liikenne, se mitä kirjoitat tai luet sivuilta, salakirjoitetaan SSL/TLS menetelmällä. Tämä on turvallisin tapa selata internetiä. Vai onko? Voiko varmenteeseen luottaa?
SSL/TLS Varmenteen turvallisuus taataan verifioinnilla
SSL/TLS Varmenteita myöntävät CA palvelut (Certificate Authority) joiden toimintaa tarkkailee ja säätelee CA Browser forum. Tällä standardoinnilla ja säätelyllä pyritään varmistamaan, että varmenteita myöntää vain sellaiset tahot, jotka seuraavat näitä standardeja tunnollisesti.
Tässä kontekstissa varmenteita on kolmen tyyppisiä: DV (Domain Validation), OV (Organizational Validation) sekä EV (Extended Validation,mitä käyttävät mm. pankit, vakuutuslaitokset ja muut korkean turvatason yhteisöt). Nämä muodostavat kolme erilaista tapaa verifioida, eli varmistaa, varmennetta hakevan yhteisön oikeellisuus ja oikeus käyttää domainia jolle varmennetta ollaan hakemassa.
Domain Validation (DV)
Domain Validation varmenteet ovat markkinoiden edullisimpia, ellei mukaan lueta Let’s Encrypt projektin tuottamia ilmaisia varmenteita. DV varmenteen saa, jos pystyy vastaamaan CA palveluntarjoajan lähettämään viestiin. Tämä viesti lähetetään WHOIS tietojen pohjalta saatuun domainin geneeriseen sähköpostiosoitteeseen. Varmenne sisältää ainoastaan sen domainin nimen, jolle se on myönnetty. Useimmat CA palveluntarjoajat tekevät lisätarkistuksia domainille. Tällä pyritään välttämään huijaustapauksia joilla pyritään ohjaamaan käyttäjiä valheellisille, ensivilkaisulla oikealle näyttäville web sivustoille. DV varmenteiden väärinkäytöstä on jo olemassa esimerkkejä.
Organizational Validation (OV)
Kuten nimikin jo ilmaisee, kyseessä on Organisaation Validointi. CA palveluntarjoaja varmistaa, että varmennetta hakeva organisaatio on olemassa ja hakemuksessa määritetyt henkilöt ovat todellisia olemassa olevia henkilöitä. Lisäksi varmistetaan, että nämä henkilöt työskentelevät kyseisessä organisaatiossa tai ovat suorassa liiketoimintasuhteessa organisaation kanssa (esim. ulkoistettu palveluntarjoaja, joka hallinnoi organisaation varmenteita). Domainin osalta varmistetaan, että se on kyseisen organisaation omistuksessa tai, että organisaatiolla on domainin hallintaoikeus. Tämä varmennetyyppi on suositeltavin ja turvallisin vaihtoehto kaupalliseen käyttöön.
Extended Validation (EV)
Extended Validation on pankkien, vakuutuslaitosten ja muiden korkeaa turvaa tarvitsevien yhteisöjen käyttämä 
varmennetyyppi. Perustaltaan tämän verifiointi noudattaa samoja prosesseja kuin OV varmenteen verifiointi, mutta tasoja sekä julkisia lähteitä tietojen tarkistukselle on useampia. Tämän varmenteen tunnistaa selaimen osoiterivillä olevasta vihreästä lukosta, jossa näkyy myös organisaation nimi.
Verifiointi
Kaikessa yksinkertaisuudessaan verifiointi on näiden kolmen tason käyttämistä ennen varmenteiden myöntämistä. Tämä on palvelu, jonka tekee CA palveluntarjoaja tai heidän kouluttamansa kumppani. Wesentra Oy saavutti tämän aseman ensimmäisenä Euroopassa Entrust Datacardin ulkopuolisena toimijana. Voimme nyt tehdä verifioinnin Suomessa suomeksi ja samalla olemme osa sitä tiimiä, joka verifiointeja Entrustilla tekee. Wesentra Oy keskittyy kaikkein luotettavimpiin varmenteisiin, Entrust Datacardin OV ja EV varmenteisiin.
Lähteitä: