26.9.2017

SSL-sertifikaattien luottamuspula - onhan SSL-sertifikaattisi kunnossa?

Maaliskuussa 2017 Google ilmoitti julkisesti epäluottamuksestaan Symantecin myöntämiä SSL-sertifikaatteja kohtaan. Selainyhteisö, mukaan lukien Mozilla ja Opera, liittyivät epäluottamuslauseeseen. Epäluottamuksen syynä oli virheellisin tai löyhin perustein myönnetyt sertifikaatit, joita on arvioiden mukaan jopa 30 000 kappaletta. Ilmoitusta seurasi Googlen määrittelemä aikataulu, jonka mukaan tiettynä aikana myönnettyjen Symantecin sertifikaattien luottamus poistuu vähitellen Google Chrome -selaimesta. Tämä siis tarkoittaa virheilmoitusta vierailtaessa sivustolla, jolla on epäluotettu sertifikaatti. Aikataulua on sittemmin muutettu ja Symantec on omalta osaltaan ratkaisemassa ongelmaa myymällä koko sertifikaattiliiketoimintaansa Digicertille.

Mitä tämä kaikki sitten merkitsee sertifikaattien haltijoille?

Turvallinen liikenne verkkosivustoille koostuu kahdesta osasta: salatusta yhteydestä ja sertifikaatilla osoitetusta domainin ja/tai sitä hallitsevan organisaation todentamisesta. Periaatteessa sertifikaatin voi allekirjoittaa myös itse, jolloin yhteys voi olla salattu, mutta todistusta luotettavasta domainin haltijasta ei varsinaisesti ole. Sertifikaattien ideana onkin nimenomaan todistaa verkkosivujen käyttäjälle, että sivustolla on turvallista asioida. Sertifikaattien myöntämisessä tehtävissä tarkistuksissa on erilaisia tasoja, joista domain validation (DV) on heikoin ja extended validation (EV) on vahvin. Extended validation -sertifikaatti näkyy selaimesta riippuen osoiterivillä joko vihreänä värinä tai vihreänä lukkosymbolina, jossa osoitetaan verkkosivuston omistava organisaatio. Vahvoja sertifikaatteja käyttävät etenkin pankit ja vakuutusyhtiöt asioinnin luotettavuuden osoittamiseksi.

Symantec on ollut yksi suurimmista sertifikaattien myöntäjistä. Joidenkin arvioiden mukaan jopa kolmannes kaikista viime aikoina myönnetyistä sertifikaateista on Symantecin varmentamia. Symantec omistaa useita toimijoita, jotka käyttävät juuriauktoriteettinaan Symantecia. Näitä toimijoita ovat Thawte, RapidSSL ja Geotrust. Googlen ilmaisema epäluottamus koskee näitä kaikkia.

Aluksi Google ilmoitti poistavansa Symantecin EV-sertifikaattien luottamuksen välittömästi, ja muidenkin sertifikaattien luottamus oli tarkoitus poistua nopealla aikataululla. Heinäkuun lopulla ilmoitetun uuden aikataulun mukaan sertifikaattien haltijoilla on vielä aikaa korvata vanhat sertifikaatit uusilla luotetuilla sertifikaateilla. Sertifikaatteja voi edelleen hankkia Symantecilta, mutta selainten päivitysten myötä kaikki Symantecin sertifikaatit pitää uusia vuoden 2018 aikana.

Mitä pitää tehdä, jotta sertifikaatit pysyvät luotettuina?

Ensimmäinen tärkeä päivä on Chromen version 66 julkaisu huhtikuussa 2018. Uuden Chrome-version myötä ennen 1.6.2016 myönnettyjen Symantec-sertifikaattien luottamus poistuu Chromesta. Lokakuussa 2018 (Chromen versio 70) poistuu luottamus Symantecin sertifikaatteihin, jotka ovat myönnetty nykyisen julkisen avaimen hallintajärjestelmän (PKI infrastructure) ollessa käytössä. Symantec on ilmoittanut korvaavansa nykyisen järjestelmän uudella vuoden 2017 joulukuun alkuun mennessä.

Symantecin sertifikaatit, joiden voimassaolo jatkuu vuoden 2018 puolelle, kannattaa uusia vasta alkuvuodesta 2018, jotta uusimista ei joudu tekemään useampaan kertaan. Jos sertifikaatin voimassaolo on päättymässä ennen kuin Symantec saa uuden infrastruktuurin käyttöön, kannattaa harkita, hankkiiko sertifikaatin joltakin toiselta toimijalta. Uudesta sertifikaatista ei sertifikaatin voimassaolon aikana ei joudu maksamaan myöntäjälle, mutta sertifikaatin hakemisesta ja asentamisesta aiheutuu työtä ja kustannuksia.

Kun vierailet WWW-sivustolla, jolle on asennettu SSL-sertifikaatti, voit tarkistaa sertifikaatin tiedot Chrome-selaimessa valitsemalla hampurilaisvalikosta More tools -> Developer tools ja sen jälkeen avautuvasta näkymästä Security-välilehdeltä View certificate. Mozillan Firefox-selaimessa tämä onnistuu hieman helpommin klikkaamalla osoiterivillä näkyvää lukko-ikonia ja etenemällä lisätietojen kautta sertifikaatin katsomiseen.

SSL? HTTPS? Tarvitsetko apua? Ota yhteyttä!

Mikä SSL? Lue aiempi kirjoituksemme HTTPS -yhteyden tuomista hyödyistä: paremmasta tietoturvasta ja hakukonenäkyvyydestä 

 

Digipalvelut Asiakaskokemus