SSL-sertifikaattipalvelut Pertti Eskelinen Partner, Sales | Salcom Solutions | gsm +358 40 5066565 | pertti.eskelinen@salcom.fi Anni Aaltonen, Sales | Salcom Solutions| gsm +358 400482183 | anni.aaltonen@salcom.fi

Erilaiset SSL-sertifikaattipalvelut: Salcom Solutions 1. Jos tarvitset SSL-sertifikaatin

a) Meille mailina sertifikaattihakemus (CSR)

b) Saat paluupostissa saman tien sertifikaatin

Entrust verifioi kertaalleen organisaatiosi (jatkossa voimme tehdä sertifikaatit välittömästi)

2. Jos haluat keskitetyn SSL-sertifikaattien hallintaportaalin

Salcom Group - Toiseksi suurin Entrustin jälleenmyyjä maailmassa (ssl-serteissä)

- Osaava palvelu - Verifiointipalvelu - Laskutus (ei luottokorttipakkoa)

Entrust - Toiseksi suurin OV/EV sertifikaattien toimittaja maailmassa - Erittäin asiantunteva, kansainvälinen palvelu

Voit itse luoda sertifikaatit, täydentää niitä joustavasti jälkikäteen, saada vanhenemishälytykset, hallita myös muita kuin Entustin sertifikaatteja

3. Jos haluat tietää, mitä sertifikaatteja teillä on ja milloin ne vanhenevat

Skannaamme koko verkkosi Entrustin työkaluilla ja annamme tarkan raportin – parin tunnin työllä

5. Verifiointi

1. PKI menetelmään kuuluu kaksi avainta, eli pitkää alkulukunumeroa: salainen ja julkinen. Nämä muodostavat parin.

2. Jos julkisella salataan viesti, niin sen voi purkaa vain salaisella (ja päinvastoin)

Julkinen ja salainen avain + sertifikaattihakemus

3. Kun palvelimella tehdään sertifikaattihakemus, niin samalla palvelimelle muodostuu salainen ja julkinen avain. Salainen avain pysyy yleensä vain tuolla palvelimella.

S

J 4. Hakemus (CSR)

J

6. SSL-sertifikaatti

4. Julkisen avaimen avulla haetaan varmentajalta SSL-sertifikaatti (CSR: Certificate Signing Request)

5. Varmentaja (esim. Entrust) tutkii, että hakija on todella olemassa ja domainin omistaja (= OV-varmennus)

6. Tämän jälkeen varmentaja toimittaa sertifikaatin, joka sisältää julkisen avaimen. Tämä asennetaan palvelimelle ja se lukittuu palvelimelle jääneeseen salaiseen avaimeen.

No miten https-sivujen salaus sitten tapahtuu? Aloitetaan tutustumalla symmetriseen salaukseen.

1. Oletetaan, että jolloin konstilla lähettäjä ja vastaanottaja ovat saaneet saman salausavaimen, jota kukaan muu ei ole saanut. Lähettäjä salaa viestin tällä avaimella.

2. Salattu teksti toimitetaan vastaanottajalle

3. Vastaanottaja purkaa salatun viestin salausavaimella

4. Alkuperäinen viesti on luettavissa

Yksinkertaista. Mutta miten saadaan salausavain luotettavasti lähettäjälle ja vastaanottajalle? Nyt tulee PKI kuvaan mukaan ...

1

2

3

4

Web-palvelimen salaus PKI:lla (Public Key Infrastructure)

Web-palvelin Käyttäjä ottaa ensimmäisen kerran yhteyttä kyseiseen web-palvelimeen

Selain: ”Minulla ei ole sinun julkista avainta, lähetätkö?”

Selain: ”Kiitos. Loin istunnon ajaksi ihan uuden symmetrisen avaimen ja salasin sen julkisella avaimellasi. Pura se salaisella avaimella, niin pääsemme salaamaan sillä tämän istunnon.”

Selain tarkastaa

sertifikaatin

aitouden

Web-palvelin: ”Tässä on koko SSL-sertifikaatti. Siinä on julkinen avain ja myös tiedot

varmentajasta, joka on Entrust”

Symmetrinen salaus

(istunnon ajan kestävällä avaimella)

= Symmetrinen salaus

= Asymmetrinen salaus

S J

Source: Symantec Investor Presentation September 27, 2010; Educational Overview of Symantec’s Business and User Authentication Business

Kun Symantec osti VeriSignin 2010, osakkeenomistajille esitettiin alla oleva vasen kalvo. Symantec laskee Entrustin ja VeriSignin samaan laatu- ja uskottavuusluokkaan. (Mutta asiakkaamme tietävät, että Entrust säästää kustannuksia ja tarjoaa parempaa palvelua)

Entrustin asema markkinoilla

Entrust: ”Leader of the Year” .. myös tutkimuslaitoksen mielestä

Teknologiaa – eri sertifikaattityypit (tässä esityksessä keskitytään ssl-sertifikaatteihin)

– Tarkemmin: http://www.entrust.net/ssl-cert-comparisons.htm

SSL Certificates

Signing Certificates

User Certificates

Code Signing

• Authenticode

• VB & Macros

• Java & Adobe AIR

• Kernel Mode Signing

Adobe CDS

• Individual

• Group

• Enterprise Lite & Pro

Organization Validation

• Standard

• Advantage

• Wildcard

• UC Multi-Domain

OV Certificates include Intel AMT support for Vpro

Extended Validation

• EV Multi-Domain

Secure Email

• Personal

• Enterprise

• Non-publicly trusted certificates

• Various certificate types

Managed PKI

Sertifikaattien soveltuvuus mobiililaitteille

– Jotta mobiililaite tunnistautuu palveluun ilman ongelmia, pitää mobiililaitteelle olla asennettuna sertifioijan root-varmenne

– Entrustin root-sertifikaatti on esiasennettuna useimmilla mobiililaitteilla

Desktop Browsers

99.9%+

• Microsoft IE

• Mozilla Firefox

• Google Chrome

• Apple Safari

• Opera

• Others (Konquerer, AOL, Netscape, Camino, etc)

Mobile Browsers

99.5%+

• Apple iOS/Safari

• Android O/S

• Rim Blackberry O/S

• Palm O/S

• Symbian O/S

• Windows Mobile/Phone 7

• Opera

• Access Netfront

• Others

Java Clients

• Sun Java (JRE J2SE J2EE JDK) 1.4.2+

• Sun Java (J2ME) 2.1+

• IBM SDK

• Oracle Jinitiator

• Others…

Toimittajan palvelukyky (yksi tärkeimmistä ostopäätöksen syistä asiakkaillemme)

– Vertailu http://www.sslshopper.com/certificate-authority-reviews.html

”Kiitos todella nopeasta toimituksesta, 7 minuutin toimitusajasta voi olla jo ylpeä!” Seppo Lohiniva, Director, Software Services iLOQ Oy (Sertifikaattien tilaaja)

”Kun kontrolli on omissa käsissämme, on hallinta helppoa. Olen erittäin tyytyväinen tilanteeseen.” Jani Kivinen, System Specialist

Lahden tietotekniikka (CMS-portaalin käyttöön ottanut asiakas)

”Jos olisimme käyneet asiakasympäristön manuaalisesti läpi sertifikaateista, olisi siihen kulunut huomattavasti aikaa. Skannauspalvelulla tulokset saatiin nopeasti ja sillä voitiin myös seurata tilannetta kun toimittajat päivittivät järjestelmiin sertejä. Hyvä palvelu!” Sami Lahti, Järjestelmäasiantuntija Inmics Oy (Skannauspalvelun käyttäjä)

SSL-sertifikaattien hinnoissa on isoja eroja – Domain-varmennettu vai Organisaatio-varmennettu (OV) sertifikaatti?

– Useat pienet toimittajat tekevät vain Domain-varmennuksen (esim. GoDaddy, RapidSSL, ...).

– Tällöin varmentaja ei tarkista organisaation olemassaoloa eikä hyväksynnän antavan henkilön valtuutusta.

– ”But for business, a domain validated certificate simply isn’t the appropriate choice” – esimerkiksi tämä löytyy osoitteesta: http://www.opensrs.com/blog/2012/06/why-business-customers-should-use-organization-validated-ssl-certificates/

– OV-sertifikaateissa Entrustin hinnat ovat hyvin kilpailukykyisiä.

– Osin tämän vuoksi useat VeriSign/Symantec, Thawte, Digicert jne. –asiakkaat ovat siirtyneet Entrustin asiakkaiksi.

– Hintoihin kuuluu osaava kotimainen palvelu

– Ja tämä on toinen syy, miksi asiakkaat ovat siirtyneet meille. Autamme suomeksi ja henkilökohtaisesti. Ja jos itsellämme menee sormi suuhun, Entrustilla on todella osaava ja nopea palvelu, jota sitten hyödynnämme

Sertifikaattien keskitetty hallinta: Entrust Certificate Management Service = CMS

– Yhä useammat asiakkaat luovat saman tien omat sertifikaattinsa ja hallitsevat niitä CMS-portaalilla

– Samaan portaaliin saa keskitetyn näkymän kaikista sertifikaateista – myös muilta toimittajilta tilatuista ja itse tehdyistä

– Vanhenemishälytykset saadaan kaikista sertifikaateista

Entrustilla on erinomainen web-ohjeistus: (Hakemuksen/CSR:n teko, asentaminen, varmuuskopiointi)

– Katso: http://www.entrust.net/ssl-technical/webserver.cfm…

Sertifikaateilla on vaikutusta sivujen nopeuteen

• Kun selain käy SSL-suojatulla sivulla, se useimmiten tarkastaa sulkulistan

• 75% selaimista tekee jonkin sulkulistan tarkastuksen ~85% käyttää OCSP -palvelua ~15% käyttää CRL –tarkastusta

• Selain ottaa yhteyttä CRL- tai OCSP-palveluun, ennen kuin näyttää sivun loppuun • Hitaampi vaste web-sivu vaikuttaa hitaammalta • Ei vastetta suuri osa käyttäjistä ei saa palvelua

• Entrust käyttää isoa kansainvälistä Akamai- palvelua mahdollisimman nopean OCSP-vasteen saavuttamiseen.

• Tämä toimii hyvin !