Viestintäviraston CERT-FI:n tietoturvakatsaus: Internetin varmennejärjestelmä kaipaa uudistusta

Internetin varmennejärjestelmään on kohdistunut viime aikoina useita tietoturvaloukkauksia. Kuluneen vuoden aikana useat varmenteita myöntävät yritykset ovat joutuneet tietomurtojen kohteiksi. Niiden seurauksena on saatu myönnettyä väärennettyjä varmenteita, jotka ovat vaarantaneet käyttäjien tietoturvan.

Varmenteiden avulla käyttäjä voi varmistua siitä, että verkon palvelujen tarjoaja on se taho, joka hän väittääkin olevansa. Varmenteita myöntävät varmennepalveluja tarjoavat luotetut myöntäjät. Tavallisesti varmenteista muodostetaan hierarkia, jossa ylimmän tason juurivarmenteella allekirjoitetaan alivarmentajien varmenteita, jotka vuorostaan allekirjoittavat myönnettävät varmenteet.

Varmennejärjestelmän heikkoutena on se, että jokainen juurivarmenne kelpaa kaikkien sivustojen varmenteiden allekirjoittajaksi, jolloin yhteen varmentajaan kohdistuva murto vaarantaa kaikkien sivustojen tietoturvan.

Varmennejärjestelmä kaipaakin uudistusta. Kehitystyötä voidaan tehdä olemassa olevilla keinoilla, kuten poistaa luottamuksen menettäneet varmenteet nykyistä nopeammin luotettujen varmenteiden listalta, ja hyödyntämällä selaimien uusia toiminnallisuuksia ja uudenlaisia palveluita, joilla sivuston varmenteen voi tarkastaa. Selain- ja käyttöjärjestelmävalmistajat ovat alkaneet reagoida nopeammin ja ei-luotetut varmenteet on viime aikoina saatu poistettua parissa päivässä. Myös ilmoitusvelvollisuus tietomurroista asiakkaille kannustaisi parantamaan varmennejärjestelmän turvallisuutta.

Lisätietoja antaa:
Erka Koivunen, p. 050 309 8094

CERT-FI julkaisee neljännesvuosittain tietoturvakatsauksen, jossa tarkastellaan merkittävimpiä tietoturvallisuuden uhkatekijöitä. Katsausten tavoitteena on auttaa yrityksiä ja yhteisöjä parantamaan tietoturvallisuusriskien hallintaa. Tämä ylimääräinen katsaus on luettavissa osoitteessa www.cert.fi.