Lomalle lähdössä? Katso näppärät vinkit loma- ja poissaolotiedotteen tekemiseen. Lue lisää

Käyttämällä sivustoamme hyväksyt evästeiden käyttämisen laitteessasi ja tallentamisen siihen. Lisätietoa saat evästeitä koskevasta tietosuojaselosteesta. Lue lisää

Kaikki artikkelit

SSL-skandaali: Tunnetun tietoturvayhtiön varmenteet eivät enää pian toimi Chromessa

Googlen mukaan Symantec on myöntänyt yli 30 000 varmennetta selainvalmistajien sääntöjen vastaisesti. Virheiden hinta on kova: pian kaikki Symantecin varmenteet aiheuttavat Chrome-selaimessa tietoturvavaroituksen.

Vuoden 2017 heinäkuun lopussa Google Chromen tiimi ilmoitti, ettei maailman suosituin selain enää aio luottaa Symantecin SSL-varmenteisiin. Syynä luottamuksen menettämiseen ovat Googlen mukaan Symantecin useita vuosia jatkuneet valvontakäytäntöjen laiminlyönnit.

Huhtikuussa 2018 julkaistavassa Chromen 66. versiossa luottamuksen menettävät kaikki ennen kesäkuuta 2016 myönnetyt Symantecin SSL-sertifikaatit. Ensi lokakuussa sama tapahtuu muillekin yrityksen juurivarmennetta hyödyntäville sertifikaateille. Näitä ovat Thawten, VeriSignin, Equifaxin, GeoTrustin, ja RapidSSL:n välittämät varmenteet.

”Googlen ratkaisu on raju mutta ymmärrettävä. Varmenneliiketoiminta perustuu luottamukseen. Jos joku toimija rikkoo huomautuksen jälkeenkin tietoisesti yhteisiä sopimuksia, siitä on jouduttava vastuuseen”, Nebulan liiketoiminnan kehityspäällikkö Riku Kuikka sanoo.  

Vuoden 2017 lokakuun lopussa DigiCert osti koko Symantecin varmenneliiketoiminnan 950 miljoonalla dollarilla ja pyrkii korvaamaan kaikki Symantecin ja sen jälleenmyyjien SSL-varmenteet omilla varmenteillaan.

Selainvalmistajat yhä kiinnostuneempia internetin turvallisuudesta

Symantec ei ole ensimmäinen toimija, joka menettää selainvalmistajien luottamuksen. Pari vuotta sitten kaksi varmentajaa, WooSign ja StartCom, käyttivät varmenteissaan tietoturvaltaan vanhentuneita SHA1-tiivistealgoritmeja. Kun yritykset jäivät kiinni, ne kiistivät syytökset sen sijaan, että olisivat muuttaneet toimintaansa. Seurauksena oli luottamuksen menettäminen merkittävimmissä selaimissa.

SSL-sertifikaattien turvallisuus- ja valvontakäytännöistä päättää varmentajien ja selainvalmistajien yhteistyöelin, CA Browser Forum. Jotta varmentajat saavat merkittävimpien selainten luottamuksen, niiden on osoitettava ulkopuolisen auditoijan avulla säännöllisesti, että käytännöt ovat kunnossa.  

Kuikan mukaan selainvalmistajat ovat viime aikoina alkaneet kiinnittää enemmän huomiota varmenteisiin ja niiden tietoturvakäytäntöihin. Viime vuonna sekä Google Chrome että Mozilla Firefox alkoivat ilmoittaa käyttäjilleen entistä selkeämmin luotettavasta SSL-varmenteesta tai sen puuttumisesta.

”Selaimet ovat aina osin vastuussa käyttäjiensä tietoturvasta. Jos ne ilmoittavat käyttäjilleen, että jokin sivusto on tai ei ole turvallinen, tiedon on parempi pitää paikkansa”, Kuikka pohtii.

Google on ilmoittanut, että heinäkuussa 2018 Chrome-selain alkaa näyttää ”Ei turvallinen” -varoitusmerkkiä kaikilla sivustoilla, jotka eivät käytä SSL-varmennetta.

Näin tarkistat, onko nettisivustollasi luottamuksen menettänyt varmenne:

  1. Avaa Chrome-selaimen yläriviltä ”View”-näkymä.
  2. Valitse ”Developer” ja sen alta ”Developer Tools”.
  3. Klikkaa oikealle ilmestyneen laatikon yläriviltä esiin ”Security”-näkymä.
  4. Klikkaa ”View Certificate” -painiketta.
  5. Varmista, ettei ”Issued by” -kohdassa lue Symantec, Thawte, VeriSign, Equifax, GeoTrust, ja RapidSSL.

Nebulan varmennepalvelussa siirrytään maaliskuussa 2018 Telian WebTrust –sertifikoituihin SSL-varmenteisiin. Tarjoamme myös räätälöityjä ratkaisuja asiakkaidemme toiveiden mukaisesti.

Tilaa Telia SSL Nebulalta suoraan

Artikkelin aihealueet

SSL
Lisää samasta aiheesta
Nelikymppinen keksintö pyörittää digimaailmaa
Yksi teknologia turvaa passin, luottokortin ja nettisivut
SSL-testi paljastaa: suomalaissivustojen salaus on retuperällä
Lokakuussa yhä useampi nettisivusto saa tietoturvariskin leiman
Maineikas Marttiini suojaa verkkokauppansa Telian SSL-varmenteella
Telian SSL suojaa yli 22 000 jyväskyläläisopiskelijan tiedot
Näin helposti yrityksesi nettisivustolle murtaudutaan
Toimi näin, jos nettisivustosi hakkeroidaan
Seuraava artikkeli
Nelikymppinen keksintö pyörittää digimaailmaa
Jos PKI pettäisi, digitaalinen maailma palaisi kivikaudelle. Näin on ollut jo neljäkymmentä vuotta ...