Mint Security

SSL ja TLS – ehjä tänään, rikki huomenna – miten ratkaisemme tämän?

16.02.2017
00:18
ssl/tls

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Problematiikka

SSL/TLS (jatkossa yksinkertaisesti ja kansankielisesti SSL) on haaste. Väärin konfiguroituja SSL-palvelimia haastetaan ja kiusataan jatkuvasti. SSL on internetin perusturvallisuutta johon käyttäjät oppivat luottamaan. Toisaalta tutkimusta algoritmien ja menetelmien luotettavuudesta ja turvallisuudesta tehdään jatkuvasti – ja joka kerta kun tutkimustuloksia julkistetaan pitäisi niiden seuraus ja impakti ymmärtää.

SSL-konfiguraatioissa on paljon enemmän mahdollisuuksia konfiguroida asiat väärin kuin oikein. Yritys ja sen tietoturvasta vastavat luottavat kuitenkin liian paljon edelleen siihen että ”SSL on SSL – ja sehän on turvallista”. Ja tuotantoon mennään järjestelmän oletusarvoilla siksi että asia on monimutkainen ja ”jokin voi mennä rikki jos menemme jotain konfiguroimaan”. Ja näin asia unohdetaan, vaikka aika ajaa nopeammin kuin koskaan konfiguraatioiden ohitse. Algoritmit ikääntyvät, konfiguraatiot vanhenee käsiin ja suositukset muuttuvat.

SSL:ää löytyy yrityksistä palveluista joita tarjotaan internetiin päin että yrityksen sisällä omilla työntekijöille. Palvelininfrasta taas löytyy SSL:ää koneiden välistä – siellä missä silmä välttää mutta nuuskija etenee.

Etenemismalli

Miten sitten pitää edetä? Paikalle kutsutaan asiantuntija. Asiantuntija osaa analysoida koko SSL-infran, vaikutusalueet sekä kokonaisuuden. Asiantuntija osaa arvioida asiaan liittyvät heikkoudet ja suositella muutoksia. Asiantuntija myös huomioi SSL-hallintaan liittyvät prosessit ja inhimillisten erehdysten mahdollisuudet. Asiantuntija toimittaa ohjeet ja käytännöt joiden kanssa yritys voi elää ja toimia, ja ulkoistaa – turvallisesti ja luotettavasti.

SSL vaatii huolenpitoa jotta siihen voisi suhtautua siten että ”SSL on SSL – ja sehän on turvallista”.

Ratkaisu

Mint Securityllä on monen vuoden asiantuntemus sertifikaattien ja avainten hallintaprosesseista, ulkoisista ja sisäisistä sekä koneidenvälisistä yhteysmenettelyistä. Hanki nyt asiantuntemus, operationaaliset ohjeet ja käytännöt sekä neuvontapalvelut yhdestä paikasta.

Ota yhteyttä, istutaan alas ja keskustellaan. Ehkä aihetta huoleen ei edes ole – mutta hanki varmuus.

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).