Videot seminaaristamme 6.2. ja nostoja osuudesta ”SSL/TLS certificates – what lies ahead?”
9.4.2019
Seminaarimme ”Electronic signing, PKI Management and SSL certificates” keräsi 6.2. Helsingin Jätkäsaareen noin 40 erittäin osaavaa tietoturvan ammattilaista. Seminaari näytettiin samaan aikaan verkon kautta ja se on edelleen katsottavissa. Tässä artikkelissa annetaan striimien linkit ja käsitellään lyhyesti kolmannen osan antia.
Session 1: Electronic signing, digital signing, eIDAS, PadES
Presenter: Robert Hann, Sales Director, Entrust Datacard
Facilitator: Antti Larvala, Director for development eSign for Visma Solutions
Tästä saat avattua videotallenteen
Tästä saat ladattua kalvot
Session 2: PKI Management and Managed PKI
Presenter: David Terry, Business Development Director, Entrust Datacard
Facilitator: Thomas Malmberg, CEO, Mintsecurity
Tästä saat avattua videotallenteen
Tästä saat ladattua kalvot
Session 3: SSL/TLS certificates – what lies ahead?
Presenter: Chris Bailey, VP Strategy and Business Development, Entrust Datacard
Facilitator: Harri Tuuva, CTO, Wesentra
Tästä saat avattua videotallenteen
Tästä saat ladattua kalvot
Tässä joitain kohtia esityksestä: SSL/TLS certificates – what lies ahead?
VP Strategy and Business Dev., Entrust Datacard
(Founding member of CA/Browser Forum)
CA/Browser Forum on perustettu 2005 varmentajien (CA) ja selaintoimittajien vapaaehtoisena liittymänä. Tavoitteena on lisätä verkon käyttäjien tietoturvaa antamalla SSL/TLS -varmenteiden avulla tietoa verkkosivustoista. CA/B Forum on joutunut yhä kiihtyvällä tahdilla puuttumaan sallittuihin käytäntöihin. Tämän oikeastaan aloitti DigiNotarin tapaus 2011 – tällöin hollantilaisen varmentajan tietoturva murrettiin minkä seurauksena CA/B Forum poisti luottamuksen kyseiseltä yritykseltä ja selaimet eivät enää hyväksyneet DigiNotarin varmenteita.
Chris kävi läpi varmennetyypit. DV-varmenteesta ei löydy lainkaan tietoa palvelua tuottavasta organisaatiosta, tilaajalla on vain riittävä kontrolli domainiin ja varmenne antaa pelkän salauksen. OV-varmenteessa riippumaton kolmas osapuoli (CA) on verifioinut organisaation ja sen halun saada varmenteet, ja tieto löytyy kaivamalla varmenne esiin. EV-varmenteessa CA on tehnyt tarkimman mahdollisen verifioinnin, tällöin organisaation nimi näkyy jo osoiterivillä (useimmiten vihreänä) ja antaa vahvan sähköisen identiteetin organisaation.
Kuluneen kolmen vuoden aikana DV-varmenteiden määrä on kymmenkertaistunut, OV-varmenteiden määrä on viisinkertaistunut ja EV-varmenteiden määrä puolitoistakertaistunut. Yksi syy DV-varmenteiden määrän näin nopeaan lisääntymiseen on pitkälti Googlen tavoite saada kaikille verkkosivuille salaus.
Samaan aikaan tietojen kalastelu on lisääntynyt paljon. Kun organisaatiot kysyvät käyttäjiltä verkkosivuillaan tärkeitä tietoja, ilmestyy hyvin nopeasti phishing-sivustoja, joiden osoite on lähes sama. Nämäkin on SSL-suojattuja ja lähes aina kyseessä on DV-varmenne. Vaikka Googlen tavoite ohjelmallaan ”Encryption Everywhere” on hyvä, onko se muuttunut muotoon ”Encryption is Everything” ? Unohdetaanko tässä käyttäjän tarve päästä varmistumaan, että hän on oikeilla sivuilla.
Kun suurelta määrältä merkittäviä organisaatioita kysyttiin heidän tarpeitaan varmenteiden roolista, nousee vahvan sähköisen identiteetin merkitys tärkeimmäksi. Liikenteen salaus on vasta toisella sijalla.
Osa selaintoimittajista etsii käyttäjän tietoturvan parantamista näyttämällä kolmannen osapuolen varmistamia tietoja. Tämä Googlen nykylinjaukselle vastakkainen suuntaus saattaa laajeta sekä organisaatioiden tarpeen että käyttäjien tietoturvatarpeiden myötä. Tässä EV-varmenteen rooli voi kasvaa.
EU on ottanut DV-suuntaukselle vastakkaisen näkemyksen ja edellyttää organisaatioiden vahvaa sähköistä identiteettiä. Tämä näkyy käytännössä syyskuussa 2019, kun finanssimaailmaan suunnattu PSD2-säännöstö edellyttää sitä noudattavien organisaatioiden käyttävän Qualified-tason varmenteita (Qualified Web Authentication Certificates, QWAC). Kun EU:n finanssimaailman kanssa operoivilta organisaatioita edellytetään tätä samaa, on oletettavissa, että käytäntö laajenee.
QWAC-varmenteita voi myöntää EU:n sertifioinnin läpikäyneet toimittajat (Qualified Trust Service Provider, TSP). Lista eri EU-maiden QTSP-toimijoista on tässä. Kun toimittaja on sertifioitunut esim. QWAC-toimittajaksi yhdessä EU-maassa, se riittää. Entrust Datacardin tavoitteena on pystyä toimittamaan jo kevään 2019 aikana QWAC-varmenteita.
Käytännön tasolla koordinaatio EU:n ja CA/Browser Forumin välillä ei ole tähän mennessä ollut parasta mahdollista. EU:n standardeja määrittävä ETSI-organisaatio on esimerkiksi lisännyt QWAC-määrityksiin kenttiä, jotka eivät ole CA/B Forumin ohjeistuksissa. Näin ollen normaali EV-varmenne ei ole QWAC-määritysten mukainen.
CTO Harri Tuuva Wesentrasta kertoi (session alussa) Wesentran toiminnasta Entrust Datacardin suurimpana varmennejakelijana Euroopassa ja yhtenä neljästä kumppanista globaalisti, joka Entrustin valvonnassa saa suorittaa verifiointikontaktoinnin itse. Harri totesi Entrust Datacardin osuuden OV/EV -varmennemarkkinoilla kasvaneen 20 prosenttiin.
Lopuksi esitettiin kysymyksiä, esim: ”Kun selaintoimittajat Googlen johdolla ottivat Symantecilta pois varmenneluottamuksen, niin määrittikö CA/B Forum aikataulun?” Chris totesi, että jokainen selaintoimittaja asetti omat aikataulunsa. Vaikka kyse on kilpailijasta, oli Chrisin mielestä Googlen menettely todella rankka. Se aiheutti valtavan määrän työtä ja tuskaa
Tämä oli viimeinen tämän seminaarin sessioita käsittelevistä blogikirjoituksista.
Lisää tietoja: info (at) wesentra.com tai https://www.wesentra.com