(Tämä artikkeli julkaistaan yhtä aikaa myös englanniksi)
Artikkelin kirjoittaja on Stephen Demone, joka työskentelee verifiointiasiantuntijana Entrust Datacardilla Ottawassa, Kanadassa. Verifiointiosaamisensa lisäksi Stephen on jo kannuksensa ansainnut kirjailija neljällä novellillaan sekä jääkiekkokirjoituksillaan foorumilla SBNation web site.
Tässä artikkelissa Stephen käsittelee verifiointiprosessia ja sen haasteita – erityisesti vieraissa kulttuureissa ja vierailla kielillä. Hän kertoo myös Entrust Datacardin ja Wesentran yhteistyöstä esimerkiksi seuraavaa:
”Paikallinen edustus kohdemaassa on tehokkain tapa palvella tiettyä kohdemarkkinaa mahdollisimman ketterästi. … Paikallisesti alueisiinsa kytkeytyneet varmentajat ovat lisäksi paremmin selvillä tietojen saatavuudesta – …”
<** Stephenin oma teksti alkaa tämän jälkeen … Lue lisää **>
Luultavasti tiedät jo, mitä identiteetin varmentaminen on, ja olet jossain vaiheessa elämääsi kokenut kyseisen prosessin esimerkiksi passia tai SSL-varmennetta hankkiessasi. Se voi olla stressaavaa ja kiusallista, koska silloin pitää todistaa itsestään kaikkein perustavanlaatuisimmat tiedot; on todistettava, että on se, joka sanoo olevansa, ja että on luotettava.
Identiteetin varmentaminen ei luultavasti ole ensimmäinen asia, joka tulee mieleen internetiä käytettäessä. Useimmille meistä on kerrottu, että internet on kuin villi länsi, jossa vain muutama sheriffi pitää rikolliset ruodussa. Minulle on sanottu, että oma online-turvallisuuteni riippuu omasta tarkkaavaisuudestani ja siitä, että vahdin haukan lailla, millä sivustoilla käyn.
Varmentamisprosessi: 3 vaihetta
Entrust Datacardin varmentamisasiantuntijana olen avustanut monien SSL/TLS -varmennetilauksien kanssa ympäri maailmaa. Organisaation tai henkilön verifioimisessa SSL/TSL-varmenteen saamiseksi suoritettavat vaiheet ovat aina samat:
1 – Organisaation/identiteetin tarkastus: CA (varmentaja, Cerfication Authority) tarkastaa, että varmenteen tilanneen yrityksen, organisaation tai henkilön identiteetti on oikea hankkimalla todisteita siitä, että identiteetti on voimassa, oikea ja paikkansapitävä (esimerkiksi Y-tunnus)
2 – Domainin omistajan tarkastus: CA tarkastaa, että domainin omistaja ja rekisteröijä on varmenteen tilannut yritys, viranomainen tai henkilö
3 – Työntekijän tarkastus: CA tarkastaa, että varmenteessa mainitut henkilöt ovat varmenteen tilanneen organisaation työntekijöitä, ja että heillä on näin ollen oikeus tehdä tilaus. Tämä vaihe suoritetaan niin, että hakija hyväksyy sähköisen hyväksymislomakkeen ja heille soitetaan kolmannen osapuolen kautta saatuun viralliseen puhelinnumeroon, joka kuuluu varmenteen tilanneelle organisaatiolle.
Nämä vaiheet ovat aina samat ja mahdollistavat sen, että varmentaja (CA) kykenee turvallisesti verifioimaan SSL/TLS-varmenteen tilanneen organisaation tai henkilön identiteetin paikkansapitävyyden. Haasteita saattaa kuitenkin esiintyä hankittaessa tietoja, joita tarvitaan yllämainittujen vaiheiden hyväksymiseksi.
Tämä käy ilmeisemmäksi maissa, joissa kyseiset tiedot eivät ole vaivattomasti saatavilla eikä niitä päivitetä. Esimerkiksi Yhdysvalloissa yrityksiä ja viranomaisia koskevat tietokannat ovat yleensä julkisia ja ne päivitetään lähes reaaliajassa. Yrityksen tai viranomaisen verifiointi voi näin olla helpompaa Yhdysvalloissa kuin muualla.
Kuinka paikalliset varmentamiskumppanit tuovat ketteryyttä
Tämä ei tarkoita sitä, että SSL/TLS-turvallisuus on arvokkaampaa Yhdysvalloissa kuin muissa maissa. Suojatun yhteyden tarjoaminen internetsivustolla käyville käyttäen SSL/TLS -salausta on äärimmäisen tärkeää jokaiselle yritykselle missäpäin maailmaa tahansa.
Paikallinen edustus kohdemaassa on tehokkain tapa palvella tiettyä kohdemarkkinaa mahdollisimman ketterästi. Maantieteellinen ja kulttuurillinen yhteys alueeseen tekee varmentajasta paremmin kytkeytyneen alueen tarpeisiin. Näin ollen varmentaja pystyy mukautumaan paremmin siihen, mitä pitää tehdä kussakin maassa, jotta voidaan taata kansainvälisen tason palvelu. Paikallisesti alueisiinsa kytkeytyneet varmentajat ovat lisäksi paremmin selvillä tietojen saatavuudesta ja esimerkiksi siitä, ovatko yrityksen tai viranomaisen tiedot helposti löydettävissä vai eivät. Sen lisäksi he ovat kykeneväisempiä luomaan spesifisiä tapoja suorittamaan aiemmin mainittu kolmivaiheinen verifiointiprosessi.
| Kuvittele esimerkiksi, että johdat yritystä Suomessa ja että puhut ainoastaan hieman englantia. Suurimmalla osalla SSL/TSL-varmenteiden toimittajista, tai ainakin heistä isoimmilla, on pääkonttori maassa, jossa englanti on pääasiallinen kieli. Varmenteen saaminen itsessään saattaa olla vaikeampaa, jos verifiointiasi hoitaa englanninkielinen varmentaja. Lisäksi tässä skenaariossa teknisen tuen saaminen tarpeen vaatiessa koituisi suureksi haasteeksi. Se, että meillä on Suomessa paikallinen edustus ja suomea puhuvia työntekijöitä, jotka ymmärtävät paikallisen kielen lisäksi liiketoimintaympäristön, on parempi vakuus siitä, että saat SSL/TSL-varmennehankinnaltasi tarpeeksi arvoa. |
Wesentran lähestymistapa verifioimiseen
Verifiointiprosessi saattaa olla hieman epämukava, mutta jokainen verifiointitiimi on koulutettu onnistuneesti verifioimaan identiteettejä niin, että prosessi voi olla helppo ja mukava kokemus (ellet yritä tietoisesti vääristää identiteettiäsi). Ainoat, joille tämän tulisi olla epämukavaa, ovat internetrikolliset, jotka käyttävät anonymiteettiä hyväkseen tehdäkseen pahaa.
Varmentamisen pääasiallinen tavoite on todistaa SSL/TSL-varmenteen hakijoiden identiteetit, mutta parhaille varmentajille asiakaspalvelu on myös tärkeää. Sen lisäksi, että he haluavat taata hyväksyvänsä ainoastaan aitoja ja luotettavia identiteettejä, he haluavat myös varmistaa, ettei varmennettavista henkilöistä tunnu siltä, että heitä kohdellaan potentiaalisina rikollisina.
Wesentra on yhtiö, joka toimii paikallisesti, mutta ajattelee globaalisti. Suomessa sijaitsevalla Wesentralla on laajaa tietoa suomalaisesta liiketoimintakulttuurista ja -tavoista. Lisäksi Wesentrassa ymmärretään hyvin, minkälaisia selvityksiä yrityksistä ja viranomaisista pitää tehdä verifiointia varten. Siinä, missä pohjoisamerikkalainen varmennetarjoaja saattaisi kokea vaikeuksia navigoidessaan suomalaisessa liike-elämässä ja yrittäessään kääntää pääosin suomeksi olevaa informaatiota toiselle kielelle, Wesentra selviää näistä esteistä mutkitta.
Käyttäen hyväksi alkuperäänsä ja paikallisuuttaan Wesentra kykenee tuomaan SSL/TLS-asiantuntemuksensa suomalaisille markkinoille. Heidän päämiehenään toimii Entrust Datacard, joka on yksi maailman suurimmista SSL/TLS-varmentajista. Entrust Datacard tarjoaa tuotteen, ja Wesentra puolestaan kanavan, jonka kautta kyseinen tuote tavoittaa eurooppalaiset asiakkaat tavalla joka tehokkaasti viestittää heille palvelun sisällön. Näin taataan se, että asiakkaat saavat tarvitsemansa tuen antaakseen omille käyttäjilleen turvatun ja luotetun liiketoimintaympäristön internetissä..
Lisää tietoa? https://www.wesentra.com tai info@wesentra.com