SSL-sertifikaattipalvelutPertti Eskelinen, Partner, Salesssl@salcom.fi, 0405066565Salcom Solutionshttp://www.salcomsolutions.fi

Ja ensin anteeksipyyntö: Tämä on ”teknikon” tekemä esitys, jossa on osin liian paljon asiaa ja tekstiä samalla kalvolla. Toivon, että tämä menee markkinoinnistamme läpi, kun en haluaisi tinkiä asiasta. Ja Sinulle toivon kärsivällisyyttä tämän läpikäyntiin .... t. Pertti

Erilaiset SSL-sertifikaattipalvelut: Salcom Solutions1. Jos tarvitset SSL-sertifikaatin

a) Meille mailina sertifikaattihakemus (CSR)

b) Saat paluupostissa saman tien sertifikaatin

Entrust verifioi kertaalleen organisaatiosi (jatkossa voimme tehdä sertifikaatit välittömästi)

2. Jos haluat keskitetyn SSL-sertifikaattien hallintaportaalin

Salcom Group- Toiseksi suurin Entrustin jälleenmyyjä maailmassa (ssl-serteissä)

- Osaava palvelu- Verifiointipalvelu - Laskutus (ei luottokorttipakkoa)

Entrust- Toiseksi suurin OV/EV sertifikaattien toimittaja maailmassa- Erittäin asiantunteva, kansainvälinen palvelu

Voit itse luoda sertifikaatit, täydentää niitä joustavasti jälkikäteen, saada vanhenemishälytykset, hallita myös muita kuin Entustin sertifikaatteja

3. Jos haluat tietää, mitä sertifikaatteja teillä on ja milloin ne vanhenevat

Skannaamme koko verkkosi Entrustin työkaluilla ja annamme tarkan raportin – parin tunnin työllä

Seuraavilla kolmella sivulla kerrotaan, mihin SSL-sertifikaatteja oikein tarvitaan.

Jos asia on tuttu, niin hyppää nämä yli. Tämän jälkeen on vielä yhdeksän sivua, joilla kerrotaan Entrustin sertifikaateista ja tarjoamastamme palvelusta

SSL-sertifikaatit

Onko asia tuttu ?

5. Verifiointi

1. PKI menetelmään kuuluu kaksi avainta, eli pitkää alkulukunumeroa: salainen ja julkinen. Nämä muodostavat parin.

2. Jos julkisella salataan viesti, niin sen voi purkaa vain salaisella (ja päinvastoin)

Julkinen ja salainen avain + sertifikaattihakemus

3. Kun palvelimella tehdään sertifikaattihakemus, niin samalla palvelimelle muodostuu salainen ja julkinen avain. Salainen avain pysyy yleensä vain tuolla palvelimella.

S

J4. Hakemus (CSR)

J

6. SSL-sertifikaatti

4. Julkisen avaimen avulla haetaan varmentajalta SSL-sertifikaatti (CSR: Certificate Signing Request)

5. Varmentaja (esim. Entrust) tutkii, että hakija on todella olemassa ja domainin omistaja (= OV-varmennus)

6. Tämän jälkeen varmentaja toimittaa sertifikaatin, joka sisältää julkisen avaimen. Tämä asennetaan palvelimelle ja se lukittuu palvelimelle jääneeseen salaiseen avaimeen.

No miten https-sivujen salaus sitten tapahtuu? Aloitetaan tutustumalla symmetriseen salaukseen.

1. Oletetaan, että jolloin konstilla lähettäjä ja vastaanottaja ovat saaneet saman salausavaimen, jota kukaan muu ei ole saanut. Lähettäjä salaa viestin tällä avaimella.

2. Salattu teksti toimitetaan vastaanottajalle3. Vastaanottaja purkaa salatun viestin salausavaimella4. Alkuperäinen viesti on luettavissaYksinkertaista. Mutta miten saadaan salausavain luotettavasti

lähettäjälle ja vastaanottajalle? Nyt tulee PKI kuvaan mukaan ...

1

2

3

4

Web-palvelimen salaus PKI:lla(Public Key Infrastructure)

Web-palvelinKäyttäjä ottaa ensimmäisen kerran yhteyttä kyseiseen web-palvelimeen

Selain: ”Minulla ei ole sinun julkista avainta, lähetätkö?”

Selain: ”Kiitos. Loin istunnon ajaksi ihan uuden symmetrisen avaimen ja salasin sen julkisella avaimellasi. Pura se salaisella avaimella, niin pääsemme salaamaan sillä tämän istunnon.”

Selain tarkastaasertifikaatin aitouden

Web-palvelin: ”Tässä on koko SSL-sertifikaatti. Siinä on julkinen avain ja

myös tiedot varmentajasta, joka on Entrust”

Symmetrinen salaus (istunnon ajan kestävällä avaimella)

= Symmetrinen salaus

= Asymmetrinen salaus

SJ

Seuraavilla yhdeksällä sivulla esitämme:ssl-sertifikaattien markkinoita ja Entrustin asemaa markkinoillahieman tekniikkaa ja asiakkaiden kokemuksia Salcomin/Entrustin palvelustatietoa hinnoittelueroista sertifikaattien välillätietoa sertifikaattien vaikutuksesta web-palvelujen nopeuteen

SSL-sertifikaatit

Tarkemmin palvelustamme

Source: Symantec Investor Presentation September 27, 2010; Educational Overview of Symantec’s Business and User Authentication Business

Kun Symantec osti VeriSignin 2010, osakkeenomistajille esitettiin alla oleva vasen kalvo. Symantec laskee Entrustin ja VeriSignin samaan laatu- ja uskottavuusluokkaan.

(Mutta asiakkaamme tietävät, että Entrust säästää kustannuksia ja tarjoaa parempaa palvelua)

Entrustin asema markkinoilla

Entrust: ”Leader of the Year”.. myös tutkimuslaitoksen mielestä

Teknologiaa – eri sertifikaattityypit(tässä esityksessä keskitytään ssl-sertifikaatteihin)

– Tarkemmin: http://www.entrust.net/ssl-cert-comparisons.htm

SSLCertificates

SigningCertificates

UserCertificates

Code Signing•Authenticode•VB & Macros•Java & Adobe AIR•Kernel Mode Signing

Adobe CDS•Individual•Group•Enterprise Lite & Pro

Organization Validation•Standard•Advantage•Wildcard•UC Multi-Domain

OV Certificates include Intel AMT support for Vpro

Extended Validation•EV Multi-Domain

Secure Email•Personal•Enterprise

•Non-publicly trusted certificates

•Various certificate types

Managed PKI

Sertifikaattien soveltuvuus mobiililaitteille

– Jotta mobiililaite tunnistautuu palveluun ilman ongelmia, pitää mobiililaitteelle olla asennettuna sertifioijan root-varmenne

– Entrustin root-sertifikaatti on esiasennettuna useimmilla mobiililaitteilla

Desktop Browsers99.9%+

• Microsoft IE• Mozilla Firefox• Google Chrome• Apple Safari• Opera• Others (Konquerer, AOL, Netscape,

Camino, etc)

Mobile Browsers99.5%+

• Apple iOS/Safari• Android O/S• Rim Blackberry O/S• Palm O/S• Symbian O/S• Windows Mobile/Phone 7• Opera• Access Netfront• Others

Java Clients

• Sun Java (JRE J2SE J2EE JDK) 1.4.2+• Sun Java (J2ME) 2.1+• IBM SDK• Oracle Jinitiator• Others…

Vain Entrust ja

Verisign

Toimittajan palvelukyky(yksi tärkeimmistä ostopäätöksen syistä asiakkaillemme)– Vertailu

http://www.sslshopper.com/certificate-authority-reviews.html”Kiitos todella nopeasta toimituksesta, 7 minuutin toimitusajasta voi olla jo ylpeä!” Seppo Lohiniva, Director, Software ServicesiLOQ Oy (Sertifikaattien tilaaja)

”Kun kontrolli on omissa käsissämme, on hallinta helppoa. Olen erittäin tyytyväinen tilanteeseen.”Jani Kivinen, System SpecialistLahden tietotekniikka (CMS-portaalin käyttöön ottanut asiakas)

”Jos olisimme käyneet asiakasympäristön manuaalisesti läpi sertifikaateista, olisi siihen kulunut huomattavasti aikaa. Skannauspalvelulla tulokset saatiin nopeasti ja sillä voitiin myös seurata tilannetta kun toimittajat päivittivät järjestelmiin sertejä. Hyvä palvelu!”Sami Lahti, JärjestelmäasiantuntijaInmics Oy (Skannauspalvelun käyttäjä)

SSL-sertifikaattien hinnoissa on isoja eroja– Domain-varmennettu vai Organisaatio-varmennettu (OV) sertifikaatti?– Useat pienet toimittajat tekevät vain Domain-varmennuksen

(esim. GoDaddy, RapidSSL, ...). – Tällöin varmentaja ei tarkista organisaation olemassaoloa eikä

hyväksynnän antavan henkilön valtuutusta. – ”But for business, a domain validated certificate simply

isn’t the appropriate choice” – esimerkiksi tämä löytyy osoitteesta: http://www.opensrs.com/blog/2012/06/why-business-customers-should-use-organization-validated-ssl-certificates/

– OV-sertifikaateissa Entrustin hinnat ovat hyvin kilpailukykyisiä. – Osin tämän vuoksi useat VeriSign/Symantec, Thawte, Digicert

jne. –asiakkaat ovat siirtyneet Entrustin asiakkaiksi.

– Hintoihin kuuluu osaava kotimainen palvelu– Ja tämä on toinen syy, miksi asiakkaat ovat siirtyneet meille.

Autamme suomeksi ja henkilökohtaisesti. Ja jos itsellämme menee sormi suuhun, Entrustilla on todella osaava ja nopea palvelu, jota sitten hyödynnämme

Sertifikaattien keskitetty hallinta:Entrust Certificate Management Service = CMS– Yhä useammat asiakkaat luovat saman tien

omat sertifikaattinsa ja hallitsevat niitä CMS-portaalilla

– Samaan portaaliin saa keskitetyn näkymän kaikista sertifikaateista – myös muilta toimittajilta tilatuista ja itse tehdyistä

– Vanhenemishälytykset saadaan kaikista sertifikaateista

Entrustilla on erinomainen web-ohjeistus: (Hakemuksen/CSR:n teko, asentaminen, varmuuskopiointi)– Katso: http://www.entrust.net/ssl-technical/webserver.cfm…

Sertifikaateilla on vaikutusta sivujen nopeuteen

• Kun selain käy SSL-suojatulla sivulla, se useimmiten tarkastaa sulkulistan

• 75% selaimista tekee jonkin sulkulistan tarkastuksen~85% käyttää OCSP -palvelua~15% käyttää CRL –tarkastusta

• Selain ottaa yhteyttä CRL- tai OCSP-palveluun, ennen kuin näyttää sivun loppuun

• Hitaampi vaste web-sivu vaikuttaa hitaammalta• Ei vastetta suuri osa käyttäjistä ei saa palvelua

• Entrust käyttää isoa kansainvälistä Akamai-palvelua mahdollisimmannopean OCSP-vasteen saavuttamiseen.

• Tämä toimii hyvin !

Kiitos mielenkiinnosta !Ota yhteyttä:ssl@salcom.fi

tai: 040 5066 565