29. toukokuuta 2018

SSL-sertifikaatit muutoksen kourissa


Yksi digitalisaation sekä IoT:n teknisistä mahdollistajista on luotettava tapa tunnistaa verkossa oleva laite, sekä välittää tämän kanssa tietoa turvallisesti. Tässä SSL-sertifikaateilla on merkittävä rooli.

Vaikka SSL-sertifikaatteja on käytetty jo vuosikymmeniä, ovat viimeiset vuodet tarjonneet SSL-sertifikaattien parissa vauhtia ja vaarallisia tilanteita. Mukaan on mahtunut paitsi tietoturvahaavoittuvuuksia, myös monelle yllättäen tulleita päivitystarpeita johtuen teknologioiden kehittymisestä, tai sertifikaatteja myöntävien yritysten töppäilyistä.

Itselleni uusin uutinen SSL-sertifikaattien rintamalla oli Googlen päätös poistaa tulevaisuudessa Chrome-selaimen osoitepalkista salauksesta kertova lukon kuva. Jatkossa Google Chrome ilmoittaa käyttäjälle jos sivusto ei ole turvallinen, mutta muuten salauksesta tai kohteen luottamustason tasosta ei siis erikseen kerrota. Tämä käyttäjälle tutuksi tulleen lukon katoaminen selaimesta aiheuttaa käyttäjässä jos ei nyt epätietoisuutta, niin ainakin päivitystarpeita tietoturvakoulutuksissa. Tämä muutos sopii hyvin Googlen tavoitteeseen turvata kaikki internetin verkkosivut SSL-sertifikaateilla.

Vaikka nykyisin SSL-sertifikaattien osalta on jo paljon automaatiota, niiden hallinta on silti haastavaa. Prosessissa on mukana IT-ylläpitäjä, sertifikaattien myöntäjä, palvelinohjelmistot, selainvalmistajat, loppukäyttäjät sekä tietoturvatutkijat. Vaikka henkilö tuntisi SSL-sertifikaattien perusteet, ovat monet yksityiskohdat epäselviä. Esimerkiksi sertifikaattien myöntäjien juuri- ja välivarmenteiden oikea käsittely on epäselvää, tietoturvan tai tehokkuuden optimoinnista puhumattakaan. Huonosti hoidettu SSL-sertifikaatti ja palvelimen konfigurointi voivat olla turvattomia, ja hidastavat sivuston nopeutta ja siten käyttökokemusta.

Tieturin uudella SSL/TSL-varmenteet käytännössä -koulutuksessa käymme lävitse SSL-sertifikaattien taustat sekä opettelemme käytännön harjoitusten kautta SSL/TLS-varmenteiden hallintaan liittyvät työvaiheet ja tietoturvalliset tavat hallita SSL/TLS-varmenteita ja SSL/TLS-protokollaan liittyviä asetuksia.

Tervetuloa oppimaan!

Timo Vehviläinen
Information Security Manager
Kesko

Ei kommentteja:

Lähetä kommentti

Suositut tekstit