Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Tietoturva nyt! > 2011 > Syyskuu > DigiNotar pois luotettujen varmentajien joukosta

Tietoturva nyt!

6.9.2011

DigiNotar pois luotettujen varmentajien joukosta

DigiNotar CA:n myöntämiin varmenteisiin ei enää luoteta.

Viime viikolla CERT-FI julkaisi Tietoturva nyt artikkelin alankomaalaisen varmennepalveluja tarjoavan DigiNotar CA:n myöntämistä
väärennetyistä SSL-varmenteista. Uusimpien tietojen mukaan DigiNotar on myöntänyt väärennettyjä varmenteita useille suosituille verkkotunnuksille. Kaikkien google.com palveluiden lisäksi varmenteita on julkaistu muun muassa osoitteille *.microsoft.com, *.windowsupdate.com ja www.update.microsoft.com.

Varmenteiden avulla käyttäjä voi varmistua siitä, että verkon palvelujen tarjoaja on se taho joka hän väittääkin olevansa. Varmenteita
myöntävät varmennepalveluja tarjoavat luotetut rekisteröijät (Certificate Authority, CA). Selaimeen on ohjelmoitu luotettavien varmenteiden myöntäjien luettelo. Näiden tahojen myöntämiä sivustokohtaisia varmenteita selain pitää luotettavina. Jos sivuston varmenne on jonkun muun tahon allekirjoittama, selain varoittaa siitä käyttäjää.

Väärennetyt varmenteet mahdollistavat väärinkäytökset

Varmenteita käytetään salatuissa SSL-tietoliikenneyhteyksissä (https). Väärennetyn varmenteen avulla voi tehdä man-in-the-middle -tyyppisen hyökkäyksen ja kaapata yhteyden palvelun ja sen käyttäjän välillä. Toinen tapa käyttää väärennettyjä varmenteita hyväksi huijauksissa on hyökkääjän tekemän sivuston käyttäminen esimerkiksi käyttäjätunnusten ja salasanojen varastamiseen. Tällöin hyökkääjän on voitava muokata nimipalvelutietoja niin, että käyttäjä ohjataan huijaussivuston sisältävälle palvelimelle.

Selainten päivityksissä uudet juurivarmenneluettelot

Alankomaiden hallitus on ottanut haltuunsa DigiNotarin toiminnan ja peruuttanut sen varmenteet. Turvallisen tilanteen palauttamiseksi selaimista on poistettava epäluotettavaksi todetun rekisteröijän juurivarmenne. Varmenteen voi poistaa itsekin, mutta kätevintä on päivittää selain uusimpaan versioon, jolloin päivityksen mukana saa myös uuden luettelon luotetuista varmentajista. Päivittämisen jälkeen selain varoittaa sellaisista sivustoista, joiden verkkotunnuksen varmenne on DigiNotarin allekirjoittama.


Lisätietoa

Sivua päivitetty 06.09.2011   Tulostusversio Tulostusversio