SSL-sertifikaatit muutoksen kourissa

Julkaistu 29.5.2018
Lukuaika noin 1 min

Yksi digitalisaation sekä IoT:n teknisistä mahdollistajista on luotettava tapa tunnistaa verkossa oleva laite, sekä välittää tämän kanssa tietoa turvallisesti. Tässä SSL-sertifikaateilla on merkittävä rooli.

Vaikka SSL-sertifikaatteja on käytetty jo vuosikymmeniä, ovat viimeiset vuodet tarjonneet sertifikaattien parissa vauhtia ja vaarallisia tilanteita. Mukaan on mahtunut paitsi tietoturvahaavoittuvuuksia, myös monelle yllättäen tulleita päivitystarpeita johtuen teknologioiden kehittymisestä, tai sertifikaatteja myöntävien yritysten töppäilyistä. 

Itselleni uusin uutinen näiden sertifikaattien rintamalla oli Googlen päätös poistaa tulevaisuudessa Chrome-selaimen osoitepalkista salauksesta kertova lukon kuva. Jatkossa Google Chrome ilmoittaa käyttäjälle jos sivusto ei ole turvallinen, mutta muuten salauksesta tai kohteen luottamustason tasosta ei siis erikseen kerrota. Tämä käyttäjälle tutuksi tulleen lukon katoaminen selaimesta aiheuttaa käyttäjässä jos ei nyt epätietoisuutta, niin ainakin päivitystarpeita tietoturvakoulutuksissa. Tämä muutos sopii hyvin Googlen tavoitteeseen turvata kaikki internetin verkkosivut tälläisillä sertifikaateilla. 

Vaikka nykyisin sertifikaattien osalta on jo paljon automaatiota, niiden hallinta on silti haastavaa. Prosessissa on mukana IT-ylläpitäjä, sertifikaattien myöntäjä, palvelinohjelmistot, selainvalmistajat, loppukäyttäjät sekä tietoturvatutkijat. Vaikka henkilö tuntisi sertifikaattien perusteet, ovat monet yksityiskohdat epäselviä. Esimerkiksi sertifikaattien myöntäjien juuri- ja välivarmenteiden oikea käsittely on epäselvää, tietoturvan tai tehokkuuden optimoinnista puhumattakaan. Huonosti hoidettu sertifikaatti ja palvelimen konfigurointi voivat olla turvattomia, ja hidastavat sivuston nopeutta ja siten käyttökokemusta.

Tervetuloa oppimaan!

Tietoa kirjoittajasta:

Timo Vehviläinen

Information Security Manager
Kesko

Asiasanat:

Cyber security Digitalisaatio