SSL/TLS-varmenteet käytännössä

Kurssi sopii kaikille IT-ammattilaisille, jotka tarvitsevat hyvän ymmärryksen SSL/TLS-varmenteiden osalta. Erityisen hyvin kurssi soveltuu heille, jotka työssään hallinnoivat SSL/TLS-varmenteita.

Kurssilla tarvitaan yleistietoa www-sovelluksista. Olisi hyvä olla käsitys siitä, miten ja millaisista komponenteista (selain, nimipalvelimet, www-palvelin, www-sovellus/html-sivut) www-sovelluksen toiminta riippuvat. Mitään ohjelmointikokemusta, tai muuten syvällistä osaamista www-sovelluksista ei tarvita. Harjoitukset mitä kurssilla tehdään, ovat enemmän IT-ylläpidon näkökulmasta (asennetaan ja konfiguroidaan eri tavoilla www-palvelin, jossa TLS/SSL asianmukaisesti konfiguroitu)

Johdanto

• Miksi tietoa salataan?
• Salauksen ja SSL/TLS:n historia
• Salauksen tulevaisuus

Salauksen perusteet

• Symmetrinen / epäsymmetrinen salaus
• Hash-funktiot
• Digitaalinen allekirjoitus
• Avaintenhallinta
• Salauksen vahvuus
• Salauksen murtaminen

Internet PKI

• Sertifikaatit (X.509)
• Julkinen CA ja varmenneketjut
• Sertifikaattityypit (DV, EV, OV)
• Sertifikaattien elinkaari
• Sulkulistat

SSL/TLS -käytännössä

• SSL/TLS -protokolla ja versiot
• Cipherit
• Yhteensopivuus eri selainten kanssa
• ACME (Automatic Certificate Management Environment)
• SSL/TLS:n käyttöönotto www-palvelimen varmenteena

SSL/TLS haavoittuvuudet ja www-sovelluksen turvallisuus

• www-sovelluksien yleisimmät haavoittuvuudet
• Man in the Middle-hyökkäykset
• Mixed content
• Evästeet (cookie) ja SSL/TLS
• HSTP (HTTP Strict Transport Security)
• CSP (Content Security Policy)
• SSL/TLS:n turvallisuuden tarkistaminen
• Sertifikaattien ja avaintenhallinnan hyvät käytännöt