1. SSL-sertifikaattipalvelut
Pertti Eskelinen, Partner, Sales
ssl@salcom.fi, 0405066565
Salcom Solutions
http://www.salcomsolutions.fi
Ja ensin anteeksipyyntö: Tämä on ”teknikon” tekemä
esitys, jossa on osin liian paljon asiaa ja tekstiä samalla
kalvolla. Toivon, että tämä menee markkinoinnistamme
läpi, kun en haluaisi tinkiä asiasta. Ja Sinulle toivon
kärsivällisyyttä tämän läpikäyntiin .... t. Pertti
2. Erilaiset SSL-sertifikaattipalvelut: Salcom
1. Jos
Solutions tarvitset SSL-sertifikaatin
Entrust verifioi kertaalleen organisaatiosi (jatkossa voimme tehdä sertifikaatit välittömästi)
a) Meille mailina sertifikaattihakemus (CSR)
b) Saat paluupostissa saman tien sertifikaatin
2. Jos haluat keskitetyn SSL-sertifikaattien
hallintaportaalin
Voit itse luoda sertifikaatit, täydentää niitä joustavasti
jälkikäteen, saada vanhenemishälytykset, hallita myös
muita kuin Entustin sertifikaatteja
Salcom Group
- Toiseksi suurin
Entrustin jälleenmyyjä
maailmassa (ssl-serteissä)
- Osaava palvelu
- Verifiointipalvelu
- Laskutus
(ei luottokorttipakkoa)
3. Jos haluat tietää, mitä sertifikaatteja
teillä on ja milloin ne vanhenevat
Skannaamme koko verkkosi Entrustin työkaluilla ja
annamme tarkan raportin – parin tunnin työllä
Entrust
- Toiseksi suurin
OV/EV sertifikaattien
toimittaja
maailmassa
- Erittäin
asiantunteva,
kansainvälinen
palvelu
3. SSL-sertifikaatit
Onko asia tuttu ?
Seuraavilla kolmella sivulla kerrotaan, mihin
SSL-sertifikaatteja oikein tarvitaan.
Jos asia on tuttu, niin hyppää nämä yli.
Tämän jälkeen on vielä yhdeksän sivua,
joilla kerrotaan Entrustin sertifikaateista ja
tarjoamastamme palvelusta
4. Julkinen ja salainen avain + sertifikaattihakemus
1.
2.
PKI menetelmään kuuluu kaksi avainta, eli pitkää alkulukunumeroa:
salainen ja julkinen. Nämä muodostavat parin.
Jos julkisella salataan viesti, niin sen voi purkaa vain salaisella
(ja päinvastoin)
Kun palvelimella tehdään sertifikaattihakemus, niin
samalla palvelimelle muodostuu salainen ja julkinen avain.
Salainen avain pysyy yleensä vain tuolla palvelimella.
Julkisen avaimen avulla haetaan varmentajalta
SSL-sertifikaatti (CSR: Certificate Signing Request)
Varmentaja (esim. Entrust) tutkii, että hakija on todella
olemassa ja domainin omistaja (= OV-varmennus)
Tämän jälkeen varmentaja toimittaa sertifikaatin, joka
sisältää julkisen avaimen. Tämä asennetaan palvelimelle
ja se lukittuu palvelimelle jääneeseen salaiseen avaimeen.
3.
5. Verifiointi
4.
5.
S
6.
4. Hakemus (CSR)
J
J
6. SSL-sertifikaatti
5. No miten https-sivujen salaus sitten tapahtuu?
Aloitetaan tutustumalla symmetriseen salaukseen.
3
1
4
2
Oletetaan, että jolloin konstilla lähettäjä ja vastaanottaja ovat
saaneet saman salausavaimen, jota kukaan muu ei ole saanut.
Lähettäjä salaa viestin tällä avaimella.
2. Salattu teksti toimitetaan vastaanottajalle
3. Vastaanottaja purkaa salatun viestin salausavaimella
4. Alkuperäinen viesti on luettavissa
Yksinkertaista. Mutta miten saadaan salausavain luotettavasti
lähettäjälle ja vastaanottajalle? Nyt tulee PKI kuvaan mukaan ...
1.
6. Web-palvelimen salaus PKI:lla
(Public Key Infrastructure)
= Asymmetrinen salaus
= Symmetrinen salaus
Käyttäjä ottaa
ensimmäisen
kerran yhteyttä
kyseiseen webpalvelimeen
Selain: ”Minulla ei ole sinun julkista avainta, lähetätkö?”
Web-palvelin: ”Tässä on koko SSL-sertifikaatti.
Siinä on julkinen avain ja myös tiedot
J
varmentajasta, joka on Entrust”
Selain: ”Kiitos. Loin istunnon ajaksi ihan uuden symmetrisen
avaimen ja salasin sen julkisella avaimellasi. Pura se
salaisella avaimella, niin pääsemme salaamaan sillä tämän
istunnon.”
Selain
tarkastaa
sertifikaatin
aitouden
Symmetrinen salaus
(istunnon ajan kestävällä avaimella)
Web-palvelin
S
7. SSL-sertifikaatit
Tarkemmin palvelustamme
Seuraavilla yhdeksällä sivulla esitämme:
ssl-sertifikaattien markkinoita ja Entrustin
asemaa markkinoilla
hieman tekniikkaa ja asiakkaiden
kokemuksia Salcomin/Entrustin palvelusta
tietoa hinnoittelueroista sertifikaattien välillä
tietoa sertifikaattien vaikutuksesta webpalvelujen nopeuteen
8. Entrustin asema markkinoilla
Kun Symantec osti VeriSignin 2010, osakkeenomistajille esitettiin alla oleva vasen kalvo.
Symantec laskee Entrustin ja VeriSignin samaan laatu- ja uskottavuusluokkaan.
(Mutta asiakkaamme tietävät, että Entrust säästää kustannuksia ja tarjoaa parempaa palvelua)
Source: Symantec Investor Presentation September 27, 2010;
Educational Overview of Symantec’s Business and User Authentication Business
10. Teknologiaa – eri sertifikaattityypit
(tässä esityksessä keskitytään ssl-sertifikaatteihin)
Tarkemmin: http://www.entrust.net/ssl-cert-comparisons.htm
–
SSL
Certificates
Signing
Certificates
User
Certificates
Organization Validation
Code Signing
Secure Email
•
•
•
•
•
•
•
•
• Personal
• Enterprise
Standard
Advantage
Wildcard
UC Multi-Domain
Authenticode
VB & Macros
Java & Adobe AIR
Kernel Mode Signing
OV Certificates include
Intel AMT support for Vpro
Managed PKI
Extended Validation
Adobe CDS
• EV Multi-Domain
• Individual
• Group
• Enterprise Lite & Pro
• Non-publicly trusted
certificates
• Various certificate types
11. Sertifikaattien soveltuvuus mobiililaitteille
–
–
Jotta mobiililaite tunnistautuu palveluun ilman ongelmia, pitää
mobiililaitteelle olla asennettuna sertifioijan root-varmenne
Entrustin root-sertifikaatti on esiasennettuna useimmilla mobiililaitteilla
Desktop Browsers
99.9%+
•
•
•
•
•
•
Microsoft IE
Mozilla Firefox
Google Chrome
Apple Safari
Opera
Others (Konquerer, AOL, Netscape,
Camino, etc)
Mobile Browsers
99.5%+
•
•
•
•
•
•
•
•
•
Apple iOS/Safari
Android O/S
Rim Blackberry O/S
Palm O/S
Symbian O/S
Windows Mobile/Phone 7
Opera
Access Netfront
Others
ja
ust
r
Ent n
Vain erisigClients
V Java
•
•
•
•
•
Sun Java (JRE J2SE J2EE JDK) 1.4.2+
Sun Java (J2ME) 2.1+
IBM SDK
Oracle Jinitiator
Others…
12. Toimittajan palvelukyky
(yksi tärkeimmistä ostopäätöksen syistä asiakkaillemme)
–
Vertailu http://www.sslshopper.com/certificate-authority-reviews.html
”Kiitos todella nopeasta toimituksesta, 7 minuutin
toimitusajasta voi olla jo ylpeä!”
Seppo Lohiniva, Director, Software Services
iLOQ Oy (Sertifikaattien tilaaja)
”Kun kontrolli on omissa käsissämme, on hallinta
helppoa. Olen erittäin tyytyväinen tilanteeseen.”
Jani Kivinen, System Specialist
Lahden tietotekniikka (CMS-portaalin käyttöön ottanut asiakas )
”Jos olisimme käyneet asiakasympäristön
manuaalisesti läpi sertifikaateista, olisi siihen kulunut
huomattavasti aikaa. Skannauspalvelulla tulokset
saatiin nopeasti ja sillä voitiin myös seurata tilannetta
kun toimittajat päivittivät järjestelmiin sertejä. Hyvä
palvelu!”
Sami Lahti, Järjestelmäasiantuntija
Inmics Oy (Skannauspalvelun käyttäjä)
13. SSL-sertifikaattien hinnoissa on isoja eroja
–
Domain-varmennettu vai Organisaatio-varmennettu (OV) sertifikaatti?
–
–
–
–
OV-sertifikaateissa Entrustin hinnat ovat hyvin kilpailukykyisiä.
–
–
Useat pienet toimittajat tekevät vain Domain-varmennuksen (esim.
GoDaddy, RapidSSL, ...).
Tällöin varmentaja ei tarkista organisaation olemassaoloa eikä
hyväksynnän antavan henkilön valtuutusta.
”But for business, a domain validated certificate simply isn’t
the appropriate choice” – esimerkiksi tämä löytyy osoitteesta:
http://www.opensrs.com/blog/2012/06/why-business-customers-shoulduse-organization-validated-ssl-certificates/
Osin tämän vuoksi useat VeriSign/Symantec, Thawte, Digicert jne. –
asiakkaat ovat siirtyneet Entrustin asiakkaiksi.
Hintoihin kuuluu osaava kotimainen palvelu
–
Ja tämä on toinen syy, miksi asiakkaat ovat siirtyneet meille. Autamme
suomeksi ja henkilökohtaisesti. Ja jos itsellämme menee sormi suuhun,
Entrustilla on todella osaava ja nopea palvelu, jota sitten hyödynnämme
14. Sertifikaattien keskitetty hallinta:
Entrust Certificate Management Service = CMS
–
–
–
Yhä useammat asiakkaat luovat saman tien omat
sertifikaattinsa ja hallitsevat niitä CMS-portaalilla
Samaan portaaliin saa keskitetyn näkymän kaikista
sertifikaateista – myös muilta toimittajilta tilatuista ja
itse tehdyistä
Vanhenemishälytykset saadaan kaikista
sertifikaateista
16. Sertifikaateilla on vaikutusta sivujen nopeuteen
• Kun selain käy SSL-suojatulla sivulla, se useimmiten tarkastaa sulkulistan
• 75% selaimista tekee jonkin sulkulistan tarkastuksen
~85% käyttää OCSP -palvelua
~15% käyttää CRL –tarkastusta
• Selain ottaa yhteyttä CRL- tai OCSP-palveluun, ennen kuin näyttää sivun
loppuun
• Hitaampi vaste web-sivu vaikuttaa hitaammalta
• Ei vastetta suuri osa käyttäjistä ei saa palvelua
•
Entrust käyttää isoa
kansainvälistä Akamaipalvelua mahdollisimman
nopean OCSP-vasteen
saavuttamiseen.
•
Tämä toimii hyvin !