Ero sivun ”Varmenne” versioiden välillä
(20 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
− | '''Varmenne''' (''eng certificate'') on digitaalinen [[tunniste]] jolla sen kohde voidaan tunnistaa luotettavasti tietoverkoissa ja -järjestelmissä. | + | '''Varmenne''' (''eng certificate'') on digitaalinen [[tunniste]] jolla sen kohde voidaan tunnistaa ja sillä voi allekirjoittaa luotettavasti tietoverkoissa ja -järjestelmissä. Tunnistevarmenne vastaa tietoverkkojen maailmassa henkilön henkilötunnistetta, aivan kuten kortti- tai passi fyysisenä ja todistaa henkilöiden - tai laitteiden ja palveluiden väitettyä oikeellisuutta. |
− | Lähes kaikissa Internetin palveluissa ja nykyaikaisissa tietokoneissa, tableteissa ja älypuhelimissa on varmenteita ja niitä käytetään myös henkilöiden tunnistamiseen. Suomessa henkilövarmenteita löytyy: | + | __TOC__ |
− | * [[henkilökortti|henkilökortista]] | + | |
− | * [[Mobiilivarmenne| | + | Lähes kaikissa Internetin palveluissa ja nykyaikaisissa tietokoneissa, tableteissa ja älypuhelimissa on ollut varmenteita jo pitkään ja toisinaan niitä käytetään myös henkilöiden tunnistamiseen - joskin huomattavasti harvemmin. Suomessa ns ''vahvan tunnistamisen'' henkilövarmenteita löytyy: |
+ | * [[henkilökortti|henkilökortista]], organisaatiokortista tai sote-kortista | ||
+ | * Soneran, Elisan ja DNA:n matkapuhelinliittymän [[Mobiilivarmenne|SIM-kortilta]] jonne varmenne on lisätty. | ||
+ | * Nordea pankin [[Nordea|varmenne asiakastunnisteesta]] joka voi olla tiedosto tai kortti. | ||
+ | |||
+ | Kaikki mainitut ovat vapaaehtoisia ja matkapuhelimen SIM-kortille varmenne tulee tilata erikseen. | ||
Varmenne toimii - ja sitä voidaan luotettavasti käyttää myös ilman verkkoyhteyttä myöntäjäänsä jos hylättyjä varmenteita listaava [[sulkulista]] on tuore. | Varmenne toimii - ja sitä voidaan luotettavasti käyttää myös ilman verkkoyhteyttä myöntäjäänsä jos hylättyjä varmenteita listaava [[sulkulista]] on tuore. | ||
+ | |||
+ | Yleensä henkilölle luovutetaan kaksi eri varmennetta joista toista käytetään tunnistamiseen ja toista allekirjoittamiseen. Jos niillä on eri tunnusluvut, väärinkäytöksen riski vähenee kun tunnusluku ei toimi väärällä varmenteella. | ||
== Julkisen avaimen infrastruktuuri == | == Julkisen avaimen infrastruktuuri == | ||
− | Jos varmenteen takaa yleisesti luotetuksi tahoksi tunnustettu [[varmentaja]], on kyse julkisen avaimen infrastruktuurista (''public key infrastructure, PKI''). Tällöin sillä on yhteiskunnallista merkitystä koska tietotekniikalla voidaan | + | Jos varmenteen '''takaa''' yleisesti luotetuksi tahoksi tunnustettu [[varmentaja]] - kuten valtio tai pankki, on kyse julkisen avaimen infrastruktuurista (''public key infrastructure, PKI''). Tällöin sillä on yhteiskunnallista merkitystä koska tietotekniikalla voidaan tehdä enemmän arkipäiväisiä asioita kuin tilanteessa jossa asiakkaalla ei ole luotettavaa varmennetta. |
+ | |||
+ | Varmenteita voi tehdä myös itse, mutta tällä hetkellä Suomessa kukaan ei suostu takaamaan niitä aidoiksi ja siten niitä ei voi käyttää sähköisessä asioinnissa. | ||
== Käyttökohteet == | == Käyttökohteet == | ||
Varmenteiden käyttö on nykyään laajaa tietotekniikassa tietoverkkojen käytön yleistymisen myötä. Varmenteita on käytetty jo vuosikausia esimerkiksi: | Varmenteiden käyttö on nykyään laajaa tietotekniikassa tietoverkkojen käytön yleistymisen myötä. Varmenteita on käytetty jo vuosikausia esimerkiksi: | ||
− | * www-palvelimen yhteyksissä: webmeili, wiki, verkkokauppa, jne | + | * www-palvelimen yhteyksissä tunnistamisessa: webmeili, wiki, verkkokauppa, jne |
− | * | + | * sähköpostiyhteyksien tunnistamisessa (POP, IMAP, SMTP) |
− | * sähköpostin sisällön allekirjoituksessa ja salaamisessa (PGP, S/MIME) | + | * [[Sähköposti|sähköpostin]] sisällön allekirjoituksessa ja salaamisessa (PGP, S/MIME) |
− | * VPN-verkkoyhteyksissä | + | * VPN-verkkoyhteyksissä ([[OpenVPN]]) |
− | * allekirjoituksissa (Microsoft Word, LibreOffice, DigiDoc - myös salaus) | + | * [[Allekirjoitus|allekirjoituksissa]] (Microsoft Word, LibreOffice, [[qDigiDoc|DigiDoc]] - myös salaus) |
+ | * tietokoneeseen sisäänkirjautumisessa työpaikalla (Microsoft AD) | ||
+ | * kivijalkakauppojen kanta-asiakaskorttina, hyvin suosittua Virossa | ||
+ | |||
+ | Ylläolevista tapauksista '''osassa varmenne todistaa palvelijan/palvelun''' (''server side''), '''osassa käyttäjän/henkilön oikeellisuutta''' (''client side''). Kanta-asiakaskorttina käytettynä kortin varmenteesta luetaan käytännössä vain henkilön tunnistenumero eikä PIN-tunnusta tarvitse syöttää, riittää kun korttia käytetään maksupäätteen kortinlukijassa. | ||
+ | |||
+ | == Virhetilanteet == | ||
+ | |||
+ | Yleisin varmenteiden käyttökohde on Web-palvelut ja niiden väärinkäytökset ovat yleistyneet viime vuosina. WWW-selaimien tekijät ovat vastanneet muutokseen kiristämällä yhteyden tarkastuksia ja tekemällä virheilmoituksista entistä huomiota herättävämpiä ja jopa estäneet sisällön näyttämisen jos yhteydessä on ongelmia. | ||
+ | |||
+ | Yleisimmät syyt virhetilanteisiin ovat: | ||
+ | * palvelimen/palvelun pään varmenne on vanhentunut | ||
+ | * palvelimella/palvelulla on suojatun yhteyden varmenne, mutta sitä takaa kukaan tunnettu varmenteja (''self signed'') | ||
+ | * palvelimen/palvelun pään varmenne on taattu, mutta tunnetun ''takaajan varmennetta'' ei löydy käyttäjän laitteesta | ||
+ | * ladatusta sisällöstä osa ladataan SSL-suojatulla https-yhteydellä ja osa suojaamattomalla http-yhteydellä (''mixed content''). | ||
+ | * yhteys käyttää SSL-salauksen versio kolmea (SSLv3) josta on löytynyt ongelma (''Poodle'', [http://disablessl3.com disablessl3.com]) | ||
− | + | Jos virheen aiheuttaa joku salauksen varmenteista (palvelimen, takaajan tai asiakkaan), sen voi tarkastaa tarkastelemalla varmenteen tietoja omasta laitteestaan. Esimerkiksi varmenteen voimassaoloaika selviää selaimessa yhteyden suojaukstietoja näyttävästä varmennedialogista joka yleensä aukeaa jostain linkin lähellä olevasta symboolista. | |
== Katso myös == | == Katso myös == | ||
* [[Tunniste]] | * [[Tunniste]] | ||
+ | * [[Varmennevarasto]] | ||
+ | * [[Varmennehakemisto]] | ||
+ | * [[SATU|sähköinen asiointitunnus]] | ||
* [[Tekniikka/Varmenne]] | * [[Tekniikka/Varmenne]] | ||
+ | * [[Validointi]] |
Nykyinen versio 18. helmikuuta 2022 kello 10.33
Varmenne (eng certificate) on digitaalinen tunniste jolla sen kohde voidaan tunnistaa ja sillä voi allekirjoittaa luotettavasti tietoverkoissa ja -järjestelmissä. Tunnistevarmenne vastaa tietoverkkojen maailmassa henkilön henkilötunnistetta, aivan kuten kortti- tai passi fyysisenä ja todistaa henkilöiden - tai laitteiden ja palveluiden väitettyä oikeellisuutta.
Sisällysluettelo
Lähes kaikissa Internetin palveluissa ja nykyaikaisissa tietokoneissa, tableteissa ja älypuhelimissa on ollut varmenteita jo pitkään ja toisinaan niitä käytetään myös henkilöiden tunnistamiseen - joskin huomattavasti harvemmin. Suomessa ns vahvan tunnistamisen henkilövarmenteita löytyy:
- henkilökortista, organisaatiokortista tai sote-kortista
- Soneran, Elisan ja DNA:n matkapuhelinliittymän SIM-kortilta jonne varmenne on lisätty.
- Nordea pankin varmenne asiakastunnisteesta joka voi olla tiedosto tai kortti.
Kaikki mainitut ovat vapaaehtoisia ja matkapuhelimen SIM-kortille varmenne tulee tilata erikseen.
Varmenne toimii - ja sitä voidaan luotettavasti käyttää myös ilman verkkoyhteyttä myöntäjäänsä jos hylättyjä varmenteita listaava sulkulista on tuore.
Yleensä henkilölle luovutetaan kaksi eri varmennetta joista toista käytetään tunnistamiseen ja toista allekirjoittamiseen. Jos niillä on eri tunnusluvut, väärinkäytöksen riski vähenee kun tunnusluku ei toimi väärällä varmenteella.
Julkisen avaimen infrastruktuuri
Jos varmenteen takaa yleisesti luotetuksi tahoksi tunnustettu varmentaja - kuten valtio tai pankki, on kyse julkisen avaimen infrastruktuurista (public key infrastructure, PKI). Tällöin sillä on yhteiskunnallista merkitystä koska tietotekniikalla voidaan tehdä enemmän arkipäiväisiä asioita kuin tilanteessa jossa asiakkaalla ei ole luotettavaa varmennetta.
Varmenteita voi tehdä myös itse, mutta tällä hetkellä Suomessa kukaan ei suostu takaamaan niitä aidoiksi ja siten niitä ei voi käyttää sähköisessä asioinnissa.
Käyttökohteet
Varmenteiden käyttö on nykyään laajaa tietotekniikassa tietoverkkojen käytön yleistymisen myötä. Varmenteita on käytetty jo vuosikausia esimerkiksi:
- www-palvelimen yhteyksissä tunnistamisessa: webmeili, wiki, verkkokauppa, jne
- sähköpostiyhteyksien tunnistamisessa (POP, IMAP, SMTP)
- sähköpostin sisällön allekirjoituksessa ja salaamisessa (PGP, S/MIME)
- VPN-verkkoyhteyksissä (OpenVPN)
- allekirjoituksissa (Microsoft Word, LibreOffice, DigiDoc - myös salaus)
- tietokoneeseen sisäänkirjautumisessa työpaikalla (Microsoft AD)
- kivijalkakauppojen kanta-asiakaskorttina, hyvin suosittua Virossa
Ylläolevista tapauksista osassa varmenne todistaa palvelijan/palvelun (server side), osassa käyttäjän/henkilön oikeellisuutta (client side). Kanta-asiakaskorttina käytettynä kortin varmenteesta luetaan käytännössä vain henkilön tunnistenumero eikä PIN-tunnusta tarvitse syöttää, riittää kun korttia käytetään maksupäätteen kortinlukijassa.
Virhetilanteet
Yleisin varmenteiden käyttökohde on Web-palvelut ja niiden väärinkäytökset ovat yleistyneet viime vuosina. WWW-selaimien tekijät ovat vastanneet muutokseen kiristämällä yhteyden tarkastuksia ja tekemällä virheilmoituksista entistä huomiota herättävämpiä ja jopa estäneet sisällön näyttämisen jos yhteydessä on ongelmia.
Yleisimmät syyt virhetilanteisiin ovat:
- palvelimen/palvelun pään varmenne on vanhentunut
- palvelimella/palvelulla on suojatun yhteyden varmenne, mutta sitä takaa kukaan tunnettu varmenteja (self signed)
- palvelimen/palvelun pään varmenne on taattu, mutta tunnetun takaajan varmennetta ei löydy käyttäjän laitteesta
- ladatusta sisällöstä osa ladataan SSL-suojatulla https-yhteydellä ja osa suojaamattomalla http-yhteydellä (mixed content).
- yhteys käyttää SSL-salauksen versio kolmea (SSLv3) josta on löytynyt ongelma (Poodle, disablessl3.com)
Jos virheen aiheuttaa joku salauksen varmenteista (palvelimen, takaajan tai asiakkaan), sen voi tarkastaa tarkastelemalla varmenteen tietoja omasta laitteestaan. Esimerkiksi varmenteen voimassaoloaika selviää selaimessa yhteyden suojaukstietoja näyttävästä varmennedialogista joka yleensä aukeaa jostain linkin lähellä olevasta symboolista.