Varmenteet

Salaus on tullut jäädäkseen, mutta SSL/TLS-varmenteiden tasoilla on merkitystä.

Kun olet web-sivustolla, joka on salattu DV tasoisella SSL/TLS-varmenteella, et pysty tarkastamaan, kuka palvelun tuottaa. Sinut on saatettu ohjata huijaussivustolle, joka matkii alkuperäistä sivustoa ja antaa väärää tietoa. SSL/TLS-teknologia varmistaa, että tietoliikenne käyttäjän selaimen ja sivustosi välillä on salattuja siitä merkkinä on https:// -etuliite ja lukon kuva verkkosivusi osoitteessa. Organisaatio validoitu varmenne takaa myös sen, että kyseisen palvelun tuottaja on tarkistettu verifiointiasiantuntijan ja julkisten rekisterien avulla.

Varmenne antaa https-sivustolle kaksi merkittävää ominaisuutta. Ensimmäinen on tieto sivuston tuottajasta. Käydessäsi https-sivulla pääset näkemään varmenteen sisällön. Siitä löytyy tieto muun muassa varmentajasta, esimerkiksi Digicert, Entrust, DVV, Let’s Encrypt ja niin edespäin, sekä varmennetun sivuston osoitteesta, esimerkiksi www.yritys.fi. Toinen ominaisuus on salaus. Kun sivustolla on SSL/TLS-varmenne, kaikki liikenne kulkee selaimen ja palvelimen välillä salattuna, eivätkä sivulliset pääse näkemään sivustolle syöttämiäsi tietoja.

Turvataksesi verkkoliikenteesi, kannattaa varmenteet tilata niiden toimittamiseen erikoistuneilta yrityksiltä kuten Wesentralta. Nämä yritykset ylläpitävät järjestelmiä, joilla taataan varmenteiden luotettavuus. Varmenteita toimittavat CA:t (Certificate Authority) ja niitä myyvät jälleenmyyjät. CA on samankaltainen instanssi kuin viranomainen, joka myöntää passit ja henkilötodistukset. CA:n tehtävänä on varmistaa, että ne henkilöt ja organisaatiot jotka varmenteita tilaavat, todellakin omistavat sivustot ja palvelimet, joihin varmenne laitetaan. Tämä on tärkeä prosessi ja sen tekevät kunnolla vain parhaat toimijat. CA Varmentajien toimintaa säätelee hyvin tiukoin ottein CA Browser Forum, joka käytännössä sanelee kuinka varmentaminen tulee tehdä.

Varmennetyypit

Entrust Standard OV

Entrust Standard OV varmenteella suojaat verkkosivujesi liikenteen yksinkertaisesti ja helposti. Selain/asiakas tunnistaa varmenteen perusteella palvelimen luotettavasti ja varmenteen avulla luodaan salattu yhteys näiden välille. Entrust Standard OV varmenteella turvaat yhden domainin palvelut ja liikenteen (example.com ja www.example.com). Joustava uudelleen luonti (reissue): jos jotain meni pieleen tai varmenne täytyy muusta syystä uusia, voidaan varmenteelle tehdä reissue-toiminto aina 60 päivää ennen varmenteen voimassaolon päättymistä, esim. uudella CSR:llä.

Entrust Advantage OV

Entrust Advantage OV suojaa kaksi domainia samalla varmenteella. Se soveltuu myös palvelinten välisen liikenteen suojaamiseen, esimerkiksi AD FS (Active Directory Federation Service), koska sillä voidaan vaatia myös selaimen tunnistus. Entrust Advantage OV sisältää kahden domainin lisäksi oletusdomainin: esim. CN = www.asiakas.fi ja oletuksena mukaan tulee myös SAN = asiakas.fi. Joustava uudelleen luonti (reissue): jos jotain meni pieleen tai varmenne täytyy muusta syystä uusia, voidaan varmenteelle tehdä reissue-toiminto aina 60 päivää ennen varmenteen voimassaolon päättymistä, esim. uudella CSR:llä.

Entrust Wildcard OV

Entrust Wildcard OV suojaa koko root-domainin yhdellä varmenteella. Voit suojata esim. domainin *.asiakas.fi sekä lisädomainit www.asiakas.fi, mail.asiakas.fi jne. Samaan Entrustin varmenteeseen saat myös lisää * määritteitä, kuten *.portaali.asiakas.fi. Entrust Wildcard OV sisältää ReKey-ominaisuuden, eli voit luoda samasta varmenteesta duplikaatteja ilman eri veloitusta. Ominaisuuksiltaan markkinoiden joustavin Wildcard OV, johon saat lisättyä erillismaksusta jopa 250 lisä-SANia. Joustava uudelleen luonti (reissue): jos jotain meni pieleen tai varmenne täytyy muusta syystä uusia, voidaan varmenteelle tehdä reissuetoiminto aina 60 päivää ennen varmenteen voimassaolon päättymistä, esim. uudella CSR:llä.

Entrust Multi-Domain OV

Entrust UC Multi-Domain OV soveltuu esim. Exchange, Lync tai Skype for Business -palvelimien ja -ymp√§rist√∂jen suojaamiseen. K√§ytet√§√§n muutenkin silloin, kun samalla varmenteella pit√§√§ suojata useita domain-nimi√§. UC Multi-Domain OV varmenteella on mahdollista suojata jopa 250 domain-nime√§ (esim. autodiscover.ssl-apua.fi, sip.ssl-apua.fi, palvelu1.ssl-apua.fi, www.ssl-apua.fi, ssl-apua.com…). Joustava uudelleen luonti (reissue): jos jotain meni pieleen tai varmenne t√§ytyy muusta syyst√§ uusia, voidaan varmenteelle tehd√§ reissuetoiminto aina 60 p√§iv√§√§ ennen varmenteen voimassaolon p√§√§ttymist√§, esim. uudella CSR:ll√§.

Entrust Document Signing

Entrust Document Signing Certificate on tarkoitettu erilaisten dokumenttien allekirjoittamiseen, eli todistamaan sen, kuka dokumentin on tuottanut. Näitä käytetään virallisten dokumenttien yhteydessä, kun halutaan varmistaa dokumenttien oikeellisuus ja se, ettei niitä ole muokattu ulkopuolisten toimesta

Entrust S/MIME-Certificate

Entrust S/MIME-Certificate on tarkoitettu sähköpostiliikenteen salaamiseen ja
allekirjoittamiseen. Tätä varmennetta käytetään hyvin yleisesti sähköpostiliikenteen suojaamiseen. S/MIME on standardi, joka soveltuu käytettäväksi useimpien sähköpostiohjelmistojen kanssa.

Entrust Code Signing

Entrust Code Signing Certificate on koodin allekirjoittamiseen tarvittava varmenne. Luotettavien ohjelmistojen kehittäminen ja jakelu edellyttää tänä päivänä sitä, että koodi on allekirjoitettu julkisella varmenteella. Code Signing- varmenne vaatii aina EV-varmennetun domainin käyttäjälleen, eli korkeimman turvatason varmennuksen. Koodin allekirjoittamiseen on mahdollista saada tokenilla/HSM-laitteella suojattu EV Code Signing varmenne tai OV Code Signing varmenne. Tietoturvan kannalta on olennaista, että kone, jolla koodin allekirjoittaminen tehdään, pidetään turvassa ja siihen on pääsy vain niillä henkilöillä, joiden tehtävänä on koodia allekirjoittaa.

CA Browser Forum on määritellyt standardiksi, että kaikki Code Signing varmenteet tulee olla ns. hardware-suojattuja. Vaikka edellämainittu tapa on OV Code Signing varmenteen kanssa mahdollinen, nämä varmenteet toimitetaan oletusarvoisesti tokenin kera. Mikäli varmennetta kuitenkin halutaan käyttää ilman tokenia, on käyttäjän otettava vastuu varmenteen turvallisesta käytöstä itselleen. Varmenteen toimittajalla on oikeus revokoida varmenne, mikäli väärinkäytöksiä havaitaan. Tokenilla suojattu versio ei toimi ilman, että token on allekirjoitushetkellä käytössä.

Qualified Web Access Certificates (QWAC)

Entrustin Qualified Web Access Certificates (QWAC) tarjoavat korkeimman mahdollisen sähköisen identiteetin yrityksille ja organisaatioille.

QWAC-varmenteet ovat EU:n eIDAS-regulaatioon ja finanssisektorin PSD2-direktiiviin perustuvia SSL/TLS-varmenteita. QWAC-varmenteet lis√§√§v√§t s√§hk√∂isten toimien tietoturvaa ja vahvistavat organisaatioiden ja yritysten s√§hk√∂ist√§ identiteetti√§. Verifioinnissa k√§ytet√§√§n Extended Validation -verifiointis√§√§nt√∂j√§, joita laajennetaan eIDAS- ja PSD2-vaatimuksilla. Yrityksen tai organisaation edustajan ”face-to-face” -tunnistus on edellytyksen√§ Qualified-varmenteiden my√∂nt√§miselle. QWAC-varmenteita voivat my√∂nt√§√§ ainoastaan toimijat, jotka ovat saaneet Qualified Trust Service Provider (QTSP) -aseman EU- ja EEA -maissa.

Varmentamisen kolme eri tasoa

OV ‚Äď Organizational Validation

OV-verifioituja varmenteita käytetään pääsääntöisesti turvaamaan liikennettä internetissä (web-sivustot) ja eri palvelinten välillä (palomuurit, kuormantasaimet, vpn-laitteet, palvelimet, yms.). OV-verifiointi perustuu varmennetta käyttävän organisaation todentamiseen.

OV-varmenteilla annetaan verkkosivuilla käyvälle henkilölle varmuus siitä, että:
Рhän on varmasti oman organisaatiosi tekemillä sivuilla
Рhänen antamansa tiedot eivät joudu ulkopuolisen käsiin

OV -prosessissa tarvittavat tiedot
Kun nämä tiedot ovat eri rekistereissä ajan tasalla, nopeutuu OV-verifioinnin läpimeno:

1. Yrityksen viralliset tiedot (Nimi ja osoite). Tämä nimi löytyy esim. Suomessa kaupparekisteristä tai virallisista kansainvälisistä yritysrekistereistä (esim. Hoovers, Dunn & Bradstreet).

2. Domainien nimet, jotka OV SSL/TLS -varmenteella halutaan suojata. Näiden omistajuuden on oltava todennettavissa jollain kolmesta vaihtoehdosta: Email, Web Server tai DNS.

  • Email
    Domainin hyväksymiseksi lähetetään sähköposti domainin WHOIS-tiedoista löytyvään osoitteeseen tai tiettyyn geneeriseen sähköpostiosoitteeseen. Vastaanottajan on hyväksyttävä domainin käyttö vastaamalla sähköpostiin tai avaamalla viestissä oleva hyväksymislinkki.
  • Web Server
    Domainin hyväksymiseksi toimitetaan pieni tiedosto ja ohjeet sen sijoittamiseksi web serverille kyseisen domainin osoitteen alle. Kun tiedosto havaitaan ja sisältö on oikea, niin domain hyväksytään.
  • DNS
    Domainin hyväksymiseksi toimitetaan teksti-/numerosarja lisättäväksi domainin DNS:n TXT-tietueelle. Kun oikea teksti-/numerosarja löytyy, domain hyväksytään.

3. Authorization Contact ‚Äď Henkil√∂, joka vahvistaa OV-varmennehakemuksen aitouden. T√§m√§ henkil√∂ my√∂s valtuuttaa tekniset yhteyshenkil√∂t (Technical contact, Admin) rooleihinsa. T√§m√§ henkil√∂ vastaanottaa ja vahvistaa hyv√§ksynt√§lomakkeet (Online Consent Form). Tietoina tarvitaan nimi, titteli (englanniksi), puhelin, s√§hk√∂posti ja osoite.

4. Tekninen yhteyshenkil√∂ (Technical contact / Admin) ‚ÄďHenkil√∂, joka tekee varmennepyynt√∂j√§ organisaation puolesta. N√§it√§ henkil√∂it√§ voi olla useampiakin ja usein Authorization Contact toimii toisena teknisen√§ yhteyshenkil√∂n√§. Tietoina tarvitaan nimi, titteli (englanniksi), puhelin, s√§hk√∂posti (ja osoite).

 

ov-varmenne

EV ‚Äď Extended Validation

EV- varmenteita käytetään, kun organisaatio panostaa käyttäjien tietoturvaan ja/tai kun sivuilla kysytään käyttäjän tärkeitä tai henkilökohtaisia tietoja. Esimerkiksi finanssilaitosten ja verkkokauppojen sivustot ovat tyypillisesti EV-varmennettuja.

EV-varmenteilla annetaan verkkosivuilla käyvälle henkilölle varmuus siitä, että:
Рhän on varmasti oman organisaatiosi tekemillä sivuilla
Рhänen antamansa tiedot eivät joudu ulkopuolisen käsiin

EV-prosessiin tarvittavat tiedot
Kun nämä tiedot ovat eri rekistereissä ajan tasalla, nopeutuu EV-verifioinnin läpimeno:

1. Yrityksen viralliset tiedot (Nimi ja osoite). Tämä nimi löytyy esim. Suomessa kaupparekisteristä tai virallisista kansainvälisistä yritysrekistereistä (esim. Hoovers, Dunn & Bradstreet).

2. Domainien nimet, jotka EV SSL -varmenteella halutaan suojata. Näiden omistajuuden on oltava todennettavissa jollain kolmesta vaihtoehdosta: Email, Web Server tai DNS.

  • Email
    Domainin hyväksymiseksi lähetetään sähköposti domainin WHOIS-tiedoista löytyvään osoitteeseen tai tiettyyn geneeriseen sähköpostiosoitteeseen. Vastaanottajan on hyväksyttävä domainin käyttö vastaamalla sähköpostiin tai avaamalla viestissä oleva hyväksymislinkki.
  • Web Server
    Domainin hyväksymiseksi toimitetaan pieni tiedosto ja ohjeet sen sijoittamiseksi web serverille kyseisen domainin osoitteen alle. Kun tiedosto havaitaan ja sisältö on oikea, niin domain hyväksytään.
  • DNS
    Domainin hyväksymiseksi toimitetaan teksti-/numerosarja lisättäväksi domainin DNS:n TXT-tietueelle. Kun oikea teksti-/numerosarja löytyy, domain hyväksytään.

3. P√§√§konttorin tiedot (Business Headquarters/Place of Business) ‚Äď Yrityksen p√§√§konttorin virallinen katuosoite, joka l√∂ytyy my√∂s kolmannen osapuolen tietojen kautta (esim. kaupparekisteri tai muut viralliset yritysrekisterit kuten Hoovers tai Dunn & Bradstreet).

4. Higher Authority ‚ÄďJohtaja-/p√§√§llikk√∂tason henkil√∂, joka vahvistaa EV-varmennehakemuksen aitouden. T√§m√§ henkil√∂ my√∂s valtuuttaa henkil√∂t Contract Signer/Authorization Contact rooleihin. On t√§rke√§√§, ett√§ t√§m√§ henkil√∂ voidaan tavoittaa puhelimitse kolmannen osapuolen l√§hteit√§ k√§ytt√§en. T√§m√§ henkil√∂ ei voi olla sama henkil√∂ kuin Contract Signer/ Authorization Contact. Tietoina tarvitaan nimi, titteli (englanniksi), puhelin, s√§hk√∂posti ja osoite.

5. Contract Signer/Certificate Approver Role ‚Äď Henkil√∂, joka vastaanottaa ja vahvistaa subscription agreement ja online consent form -lomakkeet (sopimus ja hyv√§ksynt√§ -lomakkeet). T√§m√§ henkil√∂ EI voi olla sama henkil√∂ kuin Higher Authority. CS ja AC voivat olla sama tai eri henkil√∂t. Jos sama henkil√∂ on n√§iss√§ molemmissa rooleissa, nopeuttaa se jatkossa verifiointiprosessia.

6. Tekninen yhteyshenkil√∂ (Technical Contact / Admin) ‚Äď Se henkil√∂, joka tekee varmennepyynt√∂j√§ organisaation puolesta. N√§it√§ henkil√∂it√§ voi olla useampiakin ja usein Authorization Contact toimii toisena teknisen√§ yhteyshenkil√∂n√§. Tietoina tarvitaan nimi, titteli (englanniksi), puhelin, s√§hk√∂posti ja osoite.

 

ev-varmenne

DV ‚Äď Domain Validation

Alin varmentamisen taso on Domain Validation (DV). Vapaasti suomennettuna se tarkoittaa verkkotunnuksen vahvistamista. Tällöin varmentaja vain selvittää, että hakijalla on riittävä oikeus siihen domainosoitteeseen, johon varmennetta haetaan. Prosessi on edullinen, mutta onko se luotettava? Ei välttämättä. Jokaisen organisaation, joka haluaa taata varmenteidensa oikeellisuuden ja minimoida riskit väärinkäytöksistä, pitää käyttää OV/EV-varmenteita.

Lue lisää aiheesta kirjoittamastamme artikkelista klikkaamalla tästä!

Seuraavassa on esimerkki. Organisaation nimeä ei näy missään, koska kukaan ei ole varmentanut, mikä organisaatio on pystyttänyt domainin tai kuka sen on valtuuttanut.

domain_varmenne