Hvilken SSL/TLS-sertifikatleverandør skal man velge?

Publisert: 18.02.2016

SSL/TLS-sertifikater er kanskje den enkleste og raskeste måten å sikre overføring av informasjon over Internett. NSM kommer her med sin anbefaling for valg av sertifikatutsteder for norske virksomheter.

Ganske tidlig i verdensvevens barndom ble kryptering av overføring lagt til og standardisert slik at man kunne overføre sensitiv informasjon, som kredittkortinformasjon, når man handlet på nett. Siden den gang har en rekke nye tjenester blitt digitalisert og fått behov for sikring. Først var det behov for sikring av informasjon i nettbutikker, som kredittkort, som nevnt over, og nettbanker, som i hovedsak benyttet Secure Sockets Layer (SSL)-sertifikater, men så dukket Snowden opp og bevisstgjorde at det også var behov for sikkerhet i en rekke andre mer dagligdagse tjenester, som meldingstjenester, sosiale media og epost.

Det har også blitt oppdaget svakheter og feil i SSL-protokollen, noe som har medført nye versjoner og til slutt nytt navn, Transport Layer Security (TLS). (Men selv om SSL burde vært død og begravet, er det mange som refererer til sertifikater for TLS som SSL-sertifikater).

Høsten 2015 ble Sikkerhetsfaglig råd levert fra NSM til våre styrende departementer. Her står det blant annet:

«BEHOV FOR TILLIT TIL DIGITALE SERTIFIKATER. Det er i dag flere ulike aktører som tilbyr digitale sertifikattjenester. Et digitalt sertifikat kan sammenlignes med et elektronisk pass eller identitetskort som kan brukes som digital legitimasjon. I senere tid har man hatt tilfeller der utsteder av sertifikater har hatt svakheter i sin sikkerhet. Det kan videre være problematisk å kjøpe sertifikattjenester fra aktører som er underlagt kontroll av andre lands myndigheter. Det er derfor sentralt å ha tillit til aktører som skal utstede dette, og deres løsninger.»

SertifikatBruk av Certificate Pinning, en metode for å binde et konkret sertifikat mot en bestemt tjeneste, har det blitt oppdaget en rekke falske og uautoriserte sertifikater. Dette har blitt oppdaget i hovedsak av Google gjennom nettleseren Chrome. Dette har medført både at en rekke enkeltsertifikater har blitt sperret og trukket tilbake, i tillegg til at en hel offentlig nøkkelinfrastruktur (PKI) har måtte stenge ned.

Det er dog ikke bare nettstedssertifikater som har blitt «feilutstedt» og dermed åpnet for avlytting, også kodesignerings- og driversigneringssertifikater har blitt brukt i ulik skadevare.

Det er nødvendigvis ikke bare «uhell» eller hacking som utløser utstedelse av falske sertifikater; det kan like godt være sertifikater utstedt på ordre av myndighetene i nasjonen sertifikatutstederen opererer i.

For å sikre overføring av epost, har NSM tidligere publisert en anbefaling om bruk av STARTTLS hvor det står følgende:

«NSM anbefaler derfor å bruke sertifikater utstedt fra en tiltrodd tredjepart. Etter flere hendelser med sertifikatutstedere og angrep ved hjelp av sertifikater, anbefaler NSM at sertifikater utstedt under norsk lovgivning benyttes.»

Foruten anbefalinger i disse to dokumentene, har NSM sett økt bruk av kryptomekanismer i skadevare og økt misbruk av digitale sertifikater på Internett.

På bakgrunn av dette anbefaler NSM at for norske systemer tilkoblet Internett, benyttes det digitale sertifikater utstedt av sertifikatutstedere som, i tillegg til å være internasjonalt anerkjent og forhåndsinstallert i de fleste systemer og enheter, også er underlagt norsk lovgivning. Til nå er det bare Buypass som tilbyr sertifikater utstedt av en PKI hvor hele sertifikatkjeden er i Norge og dermed underlagt norsk lov. NSM anbefaler derfor Buypass’ TLS-sertifikater.

Dersom andre sertifikatutstedere også velger å legge hele sertifikatkjeden under norsk lovgivning, vil NSM også anbefale disse leverandørene.

Merk at for systemer underlagt sikkerhetsloven, gjelder egne regler for bruk av krypto, digitale sertifikater og PKI. Disse kravene er nærmere spesifisert i NSM Cryptographic Requirements, tilgjengelig her.

comments powered by Disqus