Wesentra Oy
Alkuun

Verkkoliikenteen turvaaminen

Miten voit olla varma, että tietosi ovat turvassa?

Trendi verkkoliikenteen suojauksessa on SSL/TLS varmenteisiin siirtyminen. Tätä ajavat kaikki merkittävät selainvalmistaja.

Internet
Kun surffaamme internetin ihmeellisessä maailmassa sivustoilta toisille, törmäämme väistämättä sivustoihin, joista löytyy lukon kuva. Tämä lukko kertoo sinulle, että olet muodostanut salatun yhteyden ja kaikki liikenne, se mitä kirjoitat tai luet sivuilta, salakirjoitetaan SSL/TLS-menetelmällä. Tämä on turvallisin tapa selata internetiä. Vai onko? Voiko varmenteeseen luottaa?

Varmenteen turvallisuus
SSL/TLS-varmenteen turvallisuus taataan verifioinnilla. SSL/TLS-varmenteita myöntävät CA-palvelut (Certificate Authority), joiden toimintaa tarkkailee ja säätelee CA Browser Forum. Tällä standardoinnilla ja säätelyllä pyritään varmistamaan, että varmenteita myöntävät vain sellaiset tahot, jotka seuraavat näitä standardeja tunnollisesti. Tässä kontekstissa varmenteita on kolmen tyyppisiä: DV (Domain Validation), OV (Organizational Validation) sekä EV (Extended Validation). Nämä muodostavat kolme erilaista tapaa verifioida, eli varmistaa, varmennetta hakevan yhteisön oikeellisuus ja oikeus käyttää domainia, jolle varmennetta ollaan hakemassa.

Domain Validation (DV)
Domain Validation varmenteet ovat markkinoiden edullisimpia, ellei mukaan lueta Let’s Encrypt projektin tuottamia ilmaisia varmenteita. DV-varmenteen saa, jos pystyy vastaamaan CA-palveluntarjoajan lähettämään viestiin. Tämä viesti lähetetään WHOIS-tietojen pohjalta saatuun domainin geneeriseen sähköpostiosoitteeseen. Varmenne sisältää ainoastaan sen domainin nimen, jolle se on myönnetty. Useimmat CA- palveluntarjoajat tekevät lisätarkistuksia domainille. Tällä pyritään välttämään huijaustapauksia, joilla pyritään ohjaamaan käyttäjiä valheellisille, ensivilkaisulla oikealle näyttäville web-sivustoille. DV-varmenteiden väärinkäytöstä on jo olemassa esimerkkejä.

Organizational Validation (OV)
Kuten nimikin jo ilmaisee, kyseessä on organisaation verifiointi (eli validointi). CA-palveluntarjoaja varmistaa, että varmennetta hakeva organisaatio on olemassa ja hakemuksessa määritetyt henkilöt ovat todellisia olemassa olevia henkilöitä. Lisäksi varmistetaan, että nämä henkilöt työskentelevät kyseisessä organisaatiossa tai ovat suorassa liiketoimintasuhteessa organisaation kanssa (esim. ulkoistettu palveluntarjoaja, joka hallinnoi organisaation varmenteita). Domainin osalta varmistetaan, että se on kyseisen organisaation omistuksessa tai, että organisaatiolla on domainin hallintaoikeus. Tämä varmennetyyppi on suositeltu ja turvallinen vaihtoehto kaupalliseen käyttöön.

Extended Validation (EV)
Extended Validation on pankkien, vakuutuslaitosten ja muiden korkeaa turvaa tarvitsevien yhteisöjen käyttämä EV-lukkovarmennetyyppi. Perustaltaan tämän verifiointi noudattaa samoja prosesseja kuin OV-varmenteen verifiointi, mutta tasoja sekä julkisia lähteitä tietojen tarkistukselle on useampia. Tämän varmenteen tunnistaa selaimen osoiterivillä olevasta vihreästä lukosta, jossa näkyy myös organisaation nimi.

Verifiointi
Kaikessa yksinkertaisuudessaan verifiointi on näiden yllämainittujen tietojen tarkastamista ennen varmenteiden myöntämistä. Tämä on palvelu, jonka tekee CA-palveluntarjoaja tai heidän kouluttamansa kumppani.


Lähteitä:
Wesentra Oy, SSL/TLS-Palvelut Weseblog
CA Browser Forum
Entrust Datacard