SSL/TLS Varmenteet

Mikä SSL, mikä https? SSL tulee sanoista Secure Sockets Layer ja se on standardoitu tietoturvaprotokolla jota käytetään luotaessa suojattu (turvallinen) yhteys web-palvelimen (sivuston) ja selaimen (esim. Internet Explorer, Chrome, Firefox jne.) välille. Nykyään käytössä on ennemminkin TLS (Transport Layer Security), mutta SSL on terminä paljon tunnetumpi joten valmistajat suosivat edelleen sitä nimeä. Suojattu yhteys varmistaa sen että tieto jota siirtyy näiden kahden välillä, pysyvät yksityisinä; turvassa hakkereilta ja niiltä jotka yrittävät vakoilla/varastaa tietoa. SSL (tai TLS) on alan standardi ja sitä käytetään miljoonilla webbisivuilla arkaluontoisen ja yksityisen tiedon salaamiseksi ja suojaamiseksi kun tietoa siirretään sivuille/sivulta. Yksi yleisimmistä tavoista mihin SSL:ää käytetään on suojata asiakkaan verkossa/verkkokaupassa tehdyt toiminnot. Jotta SSL yhteys voidaan luoda, on webbipalvelimelle asennettava SSL-varmenne toimintaan. Kun SSL-varmennetta ollaan luomassa, domainin omistajuus/hallinta varmistetaan ja varmenteen tyypistä riippuen yrityksen toiminnasta tehdään myös tarkastus, jotta varmenne voidaan myöntää. Kun prosessi on valmis, web-palvelimelle luodaan kaksi avainta - yksityinen avain sekä julkinen avain. Julkinen avain ei ole salainen ja se laitetaan Certificate Signing Request-tiedostoon tai tuttavallisemmin CSR:ään. CSR-tiedosto sisältää mm. seuraavat tiedot: domain, yritys, paikkakunta, sähköpostiosoite. Kun CSR on luotu, voidaan SSL-hakuprosessi aloittaa. Prosessin aikana Certification Authority (CA) - varmenteen myöntäjä - käy läpi validointiprosessin jossa varmistetaan annetut tiedot ja paikkansa pitävyys. Kun tämä on tehty onnistuneesti, SSL-varmenne myönnetään. Web-palvelin yhdistää automaattisesti CA:n myöntämän varmenteen ja yksityisen avaimesi. Tämä tarkoittaa että nyt voit luoda salattuja ja turvallisia yhteyksiä sivustosi ja sivuston kävijöiden/asiakkaiden selainten välille. SSL-protokolla on monimutkainen, mutta se ei ole sitä sivuston käyttäjille. Sen sijaan käytetyssä selaimessa näkyy merkki, josta tietää että yhteys on SSL-salattu - joskus se on lukon kuva, joskus https eikä http, ja paremman luokan varmenteita käytettäessä selaimessa voi näkyä vihreä palkki merkitsemässä suojausta. Klikkaamalla kuvakkeesta, näet lisätietoja varmenteesta, myöntäjän, voimassaolon, kenelle (yritys), mille domainille ja mihin kaupunkiin/maahan se on myönnetty. Kun avaat selaimella suojatun sivuston, selaimesi hakee sivuston SSL-varmenteen ja tarkastaa ettei se ole vanhentunut, sen on myöntänyt tunnettu Certification Authority (CA) johon selain luottaa ja sen jälkeen vielä tarkastaa että varmenne on oikean domainin varmenne (domain.com = domain.com, eikä esim. että varmenne olisi domain2.com ja avattu sivu domain44.com) . Jos jokin näistä tarkastuksista epäonnistuu, selain näyttää varoitusikkunan jolla käyttäjä tietää että SSL-varmennus ei toimi. Yleensä selain vielä pyytää joko peruuttamaan edelliselle sivulle tai etenemään erityisellä varovaisuudella. Verkkokauppiaana tai luotetun sivuston omistajana, tämä olisi viimeinen asia minkä haluat mahdolliselle asiakkaalle näyttää. Siksi SSL onkin erittäin suuren prioriteetin asia kun tehdään liiketoimintaa verkossa. Ovatko kaikki SSL/TLS-varmenteet samanlaisia? SSL:ää käyttävien yritysten määrä on kasvanut merkittävästi viime vuosina ja myöskin syyt käyttää SSL:ää ovat kasvaneet, esimerkiksi:

  • Jotkin yritykset tarvitsevat SSL:ää mahdollistaakseen luottamuksellisuuden säilymisen (salaus)
  • Jotkin yritykset haluavat käyttää SSL:ää lisätäkseen luottamusta ja uskottavuutta tietoturvaan ja identiteettiin (he haluavat sinun tietävän että ovat laillinen ja toimiva yritys - ja voivat myös todistaa sen)

Koska syyt miksi yritykset käyttävät SSL:ää ovat kasvaneet, SSL-varmenteita on kolmen tyyppisiä vastaamaan tarpeisiin:

  • Extended Validation (EV) SSL -varmenteet (kattavin myöntämisprosessi, domainin hallinta + standardoidut vaaditut vaiheet jotta EV-varmenne voidaan myöntää)
  • Organization Validation (OV) SSL -varmenteet (vähän kattavampi myöntämisprosessi, domainin hallinta + yritystietojen tarkastus)
  • Domain Validation (DV) SSL -varmenteet (perustaso, ei yritystietojen tarkastusta - vain tarkastus että domainia hallitaan)

Extended Validation (EV) SSL -varmenteet myönnetään vain kun Certification Authority (CA) tarkastaa että hakijalla on oikeus kyseiseen domain-nimeen sekä CA suorittaa yrityksestä/organisaatiosta kattavan \"vetting\"-prosessin. Myöntämisprosessi on standardoitu ja tarkasti hahmoteltu EV ohjeistuksessa (CA/Browser Forum, 2007). Ennen EV-varmenteen myöntämistä CA:n tulee:

  1. Täytyy todentaa entiteetin laillinen, fyysinen ja toiminnallinen olemassaolo
  2. Täytyy todentaa että entiteetin identiteetti on vastaa virallisia merkintöjä
  3. Täytyy todentaa että entiteetillä on yksinoikeus EV-varmenteessa määriteltyyn domainiin
  4. Täytyy todentaa että entiteetti on asianmukaisesti valtuuttanut EV-varmenteen myöntämisen

EV-varmenteita käyttävät kaikenlaiset yritykset; valtionhallinto, kunnalliset toimijat, osakeyhtiöt ja muunlaiset yritykset. Varmenteen myöntämisessä menee n. 10 päivää. Toinen ohjeistus on tarkoitettu CA:lle ja siinä määritellään kriteerit joita CA:n pitää täyttää voidakseen myöntää EV-varmenteita. Sen nimi on EV Audit Guidelines, ja auditointi tehdään vuosittain jolla varmistetaan varmenteiden myöntämisprosessin eheys. Organization Validation (OV) SSL -varmenteet myönnetään vain kun Certification Authority (CA) tarkastaa että hakijalla on oikeus kyseiseen domain-nimeen sekä CA suorittaa yrityksestä/organisaatiosta kevyen "vetting"-prosessin. Yrityksestä näytetään lisätietoa kun asiakkaat klikkaavat "Secure Site Seal"-kuvaketta - tämä antaa enemmän näkyvyyttä kuka/mikä yritys on sivuston takana ja lisää näin sivuston uskottavuutta. Varmenteen myöntämiseen menee noin 2 päivää. Domain Validation (DV) SSL -varmenteet myönnetään kun Certification Authority (CA) on tarkastanut että hakijalla on oikeus kyseiseen domain-nimeen. Yrityksen tietoja ei tarkasteta, "vetting"-prosessia ei tehdä ja muita tietoja kuin salauksen tiedot ei näytetä. DV-varmenteet myönnetään välittömästi.

Itewiki
Copyright © 2019-2020 Tupa-Soft Oy / TS-Information security. All rights reserved.