Mar 232015
 

2048bitarSäkerhetmarknades ändras ständigt. För några år sedan accepterades certifikat med 512 bitars nyckelstorlek. Idag kan en sådan nyckel knäckas ganska lätt. Processorerna blir allt kraftfullare och då måste kryptot bli starkare – därför accepteras bara certifikat med minst 2048 bitars nyckelstorlek idag. Dom här stora nycklarna används i inledningen av en TLS-session för identifiering och skapande av en sessionsnyckel, som har en mindre storlek.

Större nycklar accepteras också. Om du testar på sajten TLS-O-MATIC.COM (som drivs av vårt systerbolag Edvina) så är nyckelstorleken 4096 bitar. Den sajten har också en modern TLS-konfiguration för stark kryptering, som gör att den klassades med ett stort A i Qualys SSL-TEST.

ssl-browser-lockEn del av säkerheten för en nyckel är livslängden. En lång livslängd är inte bra. Därför rekommenderar vi alltid att man byter nyckelpar när ett certifikat förnyas. Nu har CAB Forum som sätter branchstandarden för certifikat bestämt att kommersiella certifikat ska ha en maximal livslängd på tre år. Det är ett bra beslut.

Har du frågor om certifikat, TLS och behöver hjälp i snårskogen – hör av dig till oss!

ansokidag

Jan 202012
 
TLS och SSL för säkra sessioner!

Webway har tagit fram en kort presentation av vad certifikat är och hur det fungerar. Här hittar du information om vad CSR är och vad den gör, hur nycklar hör ihop med certifikatet och mycket mer. Du kan läsa presentationen här:

 

Jan 162012
 

Sedan ett år tillbaka kräver alla certifikatutfärdare att du har nycklar med minst 2048 bitars längd. Det är ett sätt att höja säkerheten på nätet i takt med att datorerna blir mer och mer kraftfulla. Det som var säkert för tio år sedan är inte säkert nu, när en standard-PC har flera CPU-kärnor med en massiv kapacitet.

När används Certifikat-nycklarna?

Nycklarna i certifikaten används för att kontrollera en servers (och kanske också en klients) identitet vid start av en TLS eller SSL-session. Med stöd av dessa starka nycklar skapas en kortare krypteringsnyckel som används för att kryptera dataströmmen. Den används bara för sessionen och kastas därefter. Att kryptera hela dataströmmen med nycklar på 2048 bitar skulle ta alldeles för mycket kapacitet. Genom att använda dessa för att skydda identitetskontroll och utbyte av nycklar för kryptering av sessionen får man en hög säkerhet.

Vad innebär det här för mig?

Om du har ett gammalt certifikat du ska förnya, så måste du skapa nya nycklar och skapa en ny CSR – oavsett vilken webbserver du använder. Att byta nycklar med några års mellanrum är förmodligen en bra idé ändå. Om du söker ett nytt certifikat, så ska du ange minst 2048 bitar när du startar processen med att skapa en CSR och därmed generera nycklarna.

Om programvaran inte stödjer mer än 1024 bitar?

Om din programvara är så gammal att den inte stödjer större nyckellängd än 1024 bitar så har du inget val annat än att uppgradera programmet. Certifikatutfärdarna gör inte några undantag som innebär en lägre säkerhet i certifikatkedjan.

 

Kortkurs i certifikathantering (PKI) med TLS och SSL

 

Kortkurs om SSL, TLS och PKIIntroduktion

Internet är nu det gemensamma mediet för kommunikation mellan företag, privatpersoner och organisationer.  För att använda nätet för affärer, för affärskorrespondens, postorder, fjärrinloggning, molntjänster och avtal behövs ett gemensamt system för att kunna identifiera individer och företag över nätet. Man måste också kunna skydda överföring av information så att man vet att obehöriga inte kommer åt innehållet och så att man vet att informationen inte är förändrad under överföringen.

PKI-tjänster, som baseras på protokollen SSL och TLS, är grundstenen för säkerhet i webben, epost, chat, IP-telefoni och många VPN-tjänster.

För dig som inte känner till hur det fungar, har vi här försökt förklara tekniken på några sidor!

Innehåll:

  1. Webbsäkerhet
  2. Kryptering
  3. Nyckelparet
  4. Digitala signaturer
  5. Certifiering
  6. PKI (Nyckelhantering)
  7. Säkra E-affärer

Ordlista

 

TLS-Certifikat för webb, epost, VPN och IP-telefoni

 

SSL och TLS-certifikat från de ledande leverantörerna
En säker webbplats är en bra plattform för elektroniska affärer, säker åtkomst till interna applikationer som webb-baserad e-post och nya tjänster som web services. Med SSL certfikat från Webway kan användarna av din webbtjänst lita på att ingen information kommer i obehörigas händer, certifikaten stödjer upp till 256 bitars kryptering om din webbserver-programvara gör det. 

TLS-certifikaten används också till e-post, remote access via VPN, IP-telefoni och många andra applikationer. Vi har ett komplett sortiment och kan hjälpa dig att hitta det bästa certifikatet för din verksamhet! Läs gärna igenom vår guide till TLS-certifikat innan du börjar!

TLS är uppföljaren till det gamla protokollet SSL, som vi inte rekommenderar att du använder längre. Både SSL version 2 och 3 bedöms nu som osäkra standarder. Alla moderna servrar med stöd för SSL stödjer också TLS.

Webway har alla certifikat du behöver!


GeoTrust:
QuickSSL, True Business ID, True Business ID Wildcard samt EV-certifikat – Från 950 kr ex moms per år!
<
DigiCert
: Certifikat med Subject Alt Names för Unified Communication – perfekt för Microsoft Exchange och Lync/Office Communicator

Verisign
: Webbcertifikat och certifikat för säkrade applikationer (java-applets, Active-X kontroller)
Andra lösningar: Om du vill bygga en egen PKI eller säkra upp en applikation finns vi till hands med råd och hjälp på konsultbasis

Hur börjar du?

I korthet skaffar du ett certifikat så här:

  1. Skapa ett nyckelpar i din webbserver-programvara och skapa samtidigt en digital certifikat-ansökan (Certificate Signing Request, CSR) i din webbserver eller e-postserverprogramvara. Vi har lathundar för de vanligaste programvarorna (t.ex. IIS och Apache).
 Nyckeln måste vara minst 2048 bitar stor. Nycklar som är mindre accepteras inte av leverantören. CSR-filen är en text du kan klippa och klistra och skicka i epost som text.
  2. Ansök idag!Fyll i ansökningsblanketten online och ansök om certifikat, klipp och klistra in din certifikat-ansökan i formuläret. Vid ansökan uppger du också en epostadress vi kan nå dig på.
  3. Du får ett e-postmeddelande som ska besvaras. När du besvarat det så får du inom ett dygn ett signerat certfikat via e-post. 
OBS! När det gäller QuickSSL så måste du kunna ta emot mail till webmaster@<dindoman>.se för att snabbare kunna få leverans. Vi kan tyvärr inte skicka till annan adress. Du bevisar att du har kontroll över domänen genom att kunna ta emot mail till webmaster i den domän du vill ha certifikat för.
  4. Du installerar certifikatet i din server och har en säker webbplats! Vi har lathundar för att hjälpa dig installera certifikatet i webbservern (t.ex IIS, OpenSSL och Apache).

Om din ansökan gäller ett mer kvalificerat certifikat, som True Business ID, så får du uppge ett DUNS-ID (Dun & Bradstreet ID) för att identifiera ditt företag. Om du inte har det så går det bra ändå, men processen förenklas om du tar reda på ditt företags DUNS-nummer. Du behöver också maila in en kopia av (inscannad) aktuellt PRV registreringsbevis på företaget till oss. När vi fått alla uppgifter tar det omkring två arbetsdagar innan du får ditt certifikat via e-post.

Vill du lära dig mer om TLS, Certifikat och PKI-lösningar?

Vi har skrivit en kort handledning till certifikat, SSL och PKI. Där får du reda på hur det hela hänger ihop, vad assymetrisk kryptering är och vad som händer när din webbläsare kopplas upp mot en säker webbserver. Det är ett stort och komplicerat område med många möjligheter att fördjupa sig i detaljer och konstiga förkortningar. Vi har gjort vårt bästa för att du ska kunna få en översikt i hur tekniken fungerar och vad den kan göra för ditt företag och era affärer.
GeoTrust – QuickSSL för vanliga webbsajter GeoTrusts QuickSSL fungerar för alla vanliga webbsajter, men också för E-post-servrar och Citrix VPN Gateways. Med GeoTrusts True Business ID kan kunden även lita på att man kommit i kontakt med rätt företag, då Geotrusts unika webbsäkerhetsintyg True Site Seal enkelt visar företagets identitet, bekräftat av ett av världens största säkerhetsföretag.

Med Extended Validation-certifikat får du som har en webbshop en utökad identifikation av ditt företag, med en grön markering i webbläsaren där ditt företags juridiska namn syns.

green status bar

Behöver du Unified Communication certifikat för Microsoft Exchange och Lync?

Vi är återförsäljare av Digicerts Unified Communication Certifikat som är rekommenderade av Microsoft. Du kan ha många Subject Altname-fält i varje certifikat. Du kan ta bort, lägga till och ändra ditt certifikat under dess livslängd. Ett Digicert-certifikat kan användas på flera servrar utan extra kostnad. Kontakta oss för mer information och priser!

Om du söker QuickSSL Premium eller True Business ID certifikat

Speciellt viktigt, om du ansöker om QuickSSL Premium eller True Business ID, är att du tar reda på företagets DUNS-nummer för att snabba upp processen med identifiering av ditt företag. Kontakta Dun & Bradstreet på telefon 08-5190 11 00 eller skicka e-post till kundservice@dnbnordic.com. På deras webbplats hittar du mer information om DUNS-nummer. DUNS-nummer och aktuellt registreringsbevis från PRV gällande ditt bolag är det underlag vi behöver, förutom en CSR från er webbserver.

Om GeoTrust

GeoTrust är en ledande leverantör av nästa generations säkerhetstjänster som stödjer behovet av säkerhet för elektroniska affärer och förtroendeskapande system. Företagets prisbelönade teknik används globalt för säkra transaktioner i e-handel, säker identifiering över nätet och förtroendeskapande system – viktiga basfunktioner för att kunna dra full affärsnytta av Internet.

Mer än 40.000 kunder i över 80 länder använder GeoTrusts säkerhetstjänster för att göra affärer på ett effektivt och förtroendeingivande sätt över Internet och trådlösa nätverk. Företaget grundades 1998 och är baserat i Boston, Massachusetts, USA.

Om DigiCert

DigiCert etablerades i Lindon, Utah, USA år 2003 av Ken Bretschneider och Charles West. Företaget är certifierat av WebTrust och är medlem av Better Business Bureau. Företaget har idag kunder i över 115 länder, däribland FBI, US Department of Justice och Amazon.com. Certifikaten är giltiga för 256-bitars kryptering, utan begränsning i antal servrar man kör på och inkluderar fritt nytt ersättningscertifikat om nycklarna skulle försvinna vid ett serverhaveri.