Kategoria: Yleistä

Let’s Encrypt on projekti, jonka tavoitteena on muuttaa internet taas vähän turvallisemmaksi. Keinona on automatisoida PKI-sertifikaattien tuottaminen, jolloin niiden hinta saadaan alas. Itse Let’s Encrypt jakaa sertifikaatteja ilmaiseksi, joskin (pienetkin) lahjoitukset ovat tervetulleita. Google puolestaan edistää https-yhteyksien yleistymistä nostamalla suojattuja sivustoja ylemmäksi hakutuloksissa. Chrome-selain varoittelee suojaamattomista sivustoista.

Helpointa Let’s Encryptin sertifikaatin käyttöönotto on, jos palveluntarjoaja tukee sitä suoraan – sitä kannattaa kysyä. Vaikka sivuston ylläpitokäyttöliittymässä olisi vain linkkejä maksullisen sertifikaatin tilaamiseen, voi hyvin kysyä miksei Let’s Encrypt ole mukana.

Omaa palvelinta ylläpidettäessä pitää nähdä vähän enemmän vaivaa. Let’s Encryptin automaatio tarkoittaa, ettei sertifikaattia voi tilata miltään web-sivulta. Palvelimella pitää olla skripti, joka hakee ja päivittää sertifikaatin automaattisesti. EFF:in tarjoama valmis CertBot tekee tämän helpoksi yleisimpien Unix-tyyppisten käyttöjärjestelmien osalta. Käyttöönotto ja asennus riippuu web-palvelimesta ja käyttöjärjestelmästä, mutta web-sivulta nämä voi valita ja saa sitten ohjeet juuri omaan ympäristöön. Windowsille on useita vaihtoehtoja sertifikaatin ylläpitoon.

Yleisesti ottaen web-sivustolle pitää tehdä piilohakemisto .well-known, jonne skripti tallentaa tunnisteen sertifikaatin hakemisen tai päivityksen ajaksi. Tällä tavoin Let’s Encrypt tietää, että pyyntö tulee oikeasta domainista. Tämä saattaa aiheuttaa pulmia, sillä sertifikaattiin tulevan domainin pitää olla ulkoverkosta tavoitettavissa http-pyynnöllä. Esimerkiksi sisäisen intranetin sertifikaattia ei voi tällä tavalla ylläpitää ilman erikoisvirityksiä tai ylipäätään suojata muita kuin http-palveluja, elleivät ne sijaitse samalla palvelimella http:n kanssa.

Sertifikaatin hakemisen jälkeen skripti tallentaa julkisen ja salaisen avaimen levylle. Paikan voi asetuksissa vaihtaa, mutta oletuskin kelpaa hyvin, kunhan huomaa laittaa oikeat polut web-palvelimen asetuksiin. Sertifikaatti on voimassa vain 90 päivää, mutta onneksi skripti uusii sen automaattisesti ilman vaivannäköä. Let’s Encrypt suosittelee skriptin suorittamista kahdesti päivässä, jotta sertifikaatti varmasti pysyy voimassa. Yleensä skripti ei siis tee mitään, joten se ei juuri kuormita palvelinta.

Tämän sivuston sertifikaatti on haettu Let’s Encryptiltä. Sen näkee klikkaamalla osoiterivin lukkoa tai mitä symbolia käyttämäsi selain nyt näyttääkään.

Linkkejä:

• Let’s Encrypt
• CertBot
• Vaihtoehtoja CertBotille

Kaikki tietävät, että salasanan pitää olla pitkä, sisältää hankalia merkkejä, ei saa muodostaa mitään järkevää ja niin edelleen. Sellaisia salasanoja on vain mahdoton muistaa, etenkin kun niitä tarvitaan paljon ja ne pitäisi vaihtaa usein. Niinpä useimmat käyttävät samaa salasanaa kaikkiin palveluihin. Se on kuitenkin kaikkein huonoin vaihtoehto, mielummin vaikka kirjoita salasanat kalenteriisi. Jos yhdessäkin palvelussa on tietovuoto niin hakkerit yrittävät käyttää samoja tunnuksia Facebookiin, GMailiin, Twitteriin ja niin edelleen. Yleensä osumia löytyy paljon. Näin hakkerit voivat laajentaa identiteettivarkautta ja esimerkiksi vakuuttaa ystäväsi astumaan viritettyyn ansaan.

Mikä siis avuksi?

Keksi pysyvä osa

Mieti jokin lyhyehkö salasana, jossa on isoja ja pieniä kirjaimia sekä jokunen erikoismerkki ja numero. Aloita jostain yksinkertaisesta, mutta vähän pidemmästä, sanasta, sanotaan vaikka pihlaja. Vaihdetaan esimerkiksi H:n tilalle # eli pi#laja. Vaihdetaan J:n tilalle 3 eli pi#la3a. Kirjoitetaan kaikki vokaalit isoilla kirjaimilla: pI#lA3A. Nyt se alkaa näyttää kunnon salasanalta. Voit kokeilla kirjoittaa sen näppäimistöllä, onnistuuko se vai pitäisikö jotain muuttaa? Olisi hyvä, jos salasanassa olisi vuorotellen merkkejä näppäimistön eri laidoilta, koska sellainen on nopeampi kirjoittaa kahdella kädellä. Siinä suhteessa pI#lA3A ei ole paras mahdollinen valinta, mutta sopii tässä esimerkiksi. Vältä myös sellaisia merkkejä, joita ei ole kaikilla näppäimistöillä: å, ä ja ö puuttuvat useimmista maailman näppäimistöistä. Samaten valuuttamerkit $, £ ja € voivat olla vaikeita löytää aasialaisen nettikahvilan näppäimistöltä. Älä ole huolissasi tämän salasanan muistamisesta, sillä tulet käyttämään sitä paljon eikä sitä enää tarvitse vaihtaa.

Keksi jokaiselle palvelulle oma sana

Assosioi jokaiselle palvelulle oma sanansa. Esimerkiksi työpaikalle duuni, lentoyhtiön kanta-asiakkuuteen siivet, junayhtiölle kiskot, sähköpostiin kirje jne. Yritä tässäkin valita ainakin keskimittaisia sanoja. Parempi olisi, jos assosiaatiot olisivat henkilökohtaisempia kuin nämä. Esimerkiksi jos kuljet junalla sukuloimaan niin käytä sanaa mummolaan. Hyödynnä suomenkielen taivutuksia, mutta vältä näissäkin sanoissa skandinaavisia vokaaleja, korvaa ne a:lla ja o:lla. Kirjoita nämä sanat ylös. Ne voivat olla paperilla, mutta ehkä vielä parempi on tiedosto DropBoxissa, OneDrivessa, GDrivessa tai vastaavassa (mutta silloin pitää muistaa tiedostopalvelun salasana). Vaikka tämä tieto päätyisi vääriin käsiin, ei sillä yksinään tee mitään.

Keksi yhdistämiskaava

Laadi tapa, millä kaksi edellistä yhdistetään. Esimerkiksi palvelukohtaisen sanan kaksi ekaa kirjainta, pysyvä salasana ja loput palvelukohtaisesta. Silloin pI#lA3A + mummola = mupI#lA3Ammola. Tai kummastakin kaksi kirjainta, sitten loput eli pImu#lA3Ammola. Tärkeää on, että palvelukohtainen ”tavallinen” sana tulee jaettua ainakin kahteen osaan. Voit myös käyttää kaavassa ensimmäistä tai viimeistä tavua eikä tiettyä määrää kirjaimia.

Tällä tavalla muodostetut salasanat ovat turvallisia sekä sanakirja- että raakaa voimaa käyttäviä hyökkäyksiä vastaan. Tällaista sanaa ei ole missään sanakirjassa ja salasanan pituus suojaa pelkkää eri kirjainyhdistelmien kokeilua vastaan. Jos salasana vanhenee niin pitää vain keksiä uusi palvelukohtainen sana. Pysyvää osaa tai yhdistämiskaavaa ei tarvitse koskaan vaihtaa, kunhan ne eivät päädy kenenkään muun tietoon. Siksi niitä ei saa kirjoittaa ylös.

Käyttöönotto

Näin pitkälle pääsee vielä aika helposti, mutta nyt alkaa työläin vaihe. Jokaiseen palveluun pitäisi kirjautua ja vaihtaa salasana. Tämä on kertaluonteinen työ, mutta siihen pitää varata yksi iltapäivä. Niin paljon erilaisia tunnuksia itse kullekin on kertynyt. Etenkin kun pitää muistella mikä se nykyinen tunnus-salasana-yhdistelmä olikaan. Aloita eniten käyttämistäsi palveluista: työpaikan tunnus, AppleID, Facebook, GMail… Jatkossa, kun kirjaudut jollekin foorumille, niin vaihda samalla salasana uuden mallin mukaiseksi.

Tässä vielä Excel-taulukko, jolla voit kokeilla erilaisten salasanojen muodostamista: [Lataa]