Kun käytetään www-liikenteessä salakirjoitettua
eli SSL-suojattua yhteyttä (jolloin sivut saadaan käyttöön
komennolla https://osoite), WWW-palvelin tarvitsee SSL-salausavaimen yhteyden
liikenteen salaukseen. Sertifikaatti sisältää salausavaimen,
tiedon palvelimesta jolle sertifikaatti on myönnetty, sekä ennen
kaikkea tietyn tahon allekirjoituksen, että palvelimen pitäjä
on se mikä väittää olevansa. Sertifikaatti laitetaan
WWW-palvelimeen.
Mitä ovat sertifikaatin myöntävät tahot?
Virallinen sertifioija on joku kaupallinen ulkoinen autentikoija kuten esim. Verisign. Oulun yliopiston sisäisiä, epävirallisia sertfikaatteja yliopiston yksikköjen palvelimille myöntää ATK-keskus.
Mitä teknistä eroa käyttäjälle on virallisella ja epävirallisella sertfikaatilla, kaupallisen ja paikallisen sertfikaatin myöntäjällä eli hakijan autentikoijalla?
Jos palvelin on varmistettu virallisella sertifikaatilla, käyttäjän selaimeen ei tarvitse yleensä tehdä mitään. WWW-selaimissa on nimittäin sisäänrakennettuna useiden tunnettujen virallisten sertfikaattien myöntäjien eli autentikoijien omat avaimet. Selain pystyy niiden avulla tietämään palvelimella olevasta sertifikaatista, että sen myöntäjä on autentikoinut (tunnistanut) palvelimen pitäjän (että tämä on se, joka hän väittääkin olevansa).
Jos yliopiston palvelin käyttääkin epävirallista varmentajaa, esim. ATK-keskusta, ei ko.palvelimen suojattuja sivuja (https://...) pääse lukemaan ennenkuin selaimeen on asennettu yliopiston oma CA:n (certification authority) tunniste eli paikallisen tunnistajan, varmentajan oma avain.
Mikä ero kaupallisella ja paikallisella sertifikaatilla käytännössä on?
Paikallinen sertifikaatti voidaan tehdä omassa yliopistossa eikä maksa sertifikaatin hakijalle (laitokselle) mitään. Paikalliseen sertifikaattiin luottaminen onkin yleensä yliopiston sisäistä, eli paikallista sertifikaattia voidaan ajatella käytettävän vain yliopiston sisäisessä käytössä, esim. intranet-sivujen suojauksessa. Jos www-palvelu on maksullista tai muutoin virallista ja myös ulkopuoliselle yleisölle tarjottua, on virallinen sertifikaatti enemmän paikallaan.
Jos hankit virallisen sertifikaatin ulkopuoliselta varmentajalta, joudut maksamaan siitä ja lisäksi käymään läpi jonkinmoisen paperisodan, jotta saat ulkopuolisen tahon vakuutettua siitä kuka sertifikaatin hakijahenkilö on. Paperisodan lisäksi tarvitset virallisen valtuutuksen edustaa tahoasi, tässä tapauksessa yliopistoa. (Jos näitä virallisia valtuutuksia ei maksullisen sertifikaatin myöntäjä pyydä ja tarkista, voi syystä epäillä varmentajan luotettavuutta!)
Miten virallisen valtuutuksen saa?
Periaatteessa yliopiston rehtorilta, joka kuitenkin on valtuuttanut tietoturvapäällikön edustamaan yliopistoa tietoturvallisuuteen liittyvissä asioissa ja siten virallista sertifikaattia haluavien tulee keskustella hänen kanssaan ennen hakemista.
Lisäksi jotkin palvelimet haluavat juuri tietyntyyppisiä sertifikaatteja, joita ei välttämättä itse voi tehdä.
Yliopiston oman sertifikaatin saa ATK-keskuksesta.
Jos haluan virallisen sertifikaatin?
Ota yhteys tietoturvapäällikköön. Sertifikaatin voi hankkia itse soveliaalta taholta ja tietoturvapäällikkö avustaa autentikoinnissa. Jos hakija haluaa, ATK-keskus voi hankkia sertifikaatin, mutta hankintatyöstä veloitetaan ja siten maksaa enemmän kuin pelkkä sertifikaatti.
Kaupallistenkin varmentajien luotettavuuudessa voi olla heikkouksia! Kannattaa siis seurata niiden toimintaa ja valita sellainen jonka toimista ei ole kuulunut valituksia.
Hinta-arvioita?
Kaupalliset sertifikaatit ovat tällä hetkellä yleisesti 128-bittisiä ja niiden hinta vaihtelee alkaen n. 200 euroa / vuosi. Tähän päälle hankintatyö. Joskus hankinta on helppoa, joskus vaikeaa, myös sertifikaatin uusinta. Muistakaa, että nuo firmat myyvät luotettavuutta eli niiden ainakin odotetaan tarkistavan hyvin tarkasti että olette se joka väitätte olevanne.
Mitä muuta on huomiotava kaupallisen sertfikaatin haussa?
Jos varmentaja on kaupallisten selaimien (Netscape, Explorer) luettelossa, se kaipaa hakijan autentikointia ja lähettää kyselyn jossakin vaiheessa virallisesti yliopistoon, jossa se ohjataan tietoturvapäällikölle. Jos hän ei ole kuullutkaan teidän avaimenhaustanne, hän kertoo myöskin asian näin. Tämän jälkeen sinun tai laitoksesi on turha hakea sertifikaattia tältä varmentajalta myöhemminkään. Eli: kerro kaupallisen sertifikaatin hakuaikeistasi hyvissä ajoin ennen hakua yliopiston tietoturvapäällikölle.
Esim. Netscape-selaimessa saat näkyviin selaimesi jo tuntemat varmentajat ottamalla esiin Security-painikkeella Certificates, Signers. Jos olet ladannut paikallisen sertifioijan tunnisteen selaimeesi, näet kohdassa Certficates, WebSites, mille palvelimille paikallinen sertfikaatti on myönnetty.
Linkkejä suositeltaviin kaupallisten sertifikaattien myöntäjiin
Thawte, VeriSign,
SecureSign, SecureNet, Entrust, .....