Palvelinvarmenne

Sähköisessä asioinnissa on tarpeen tunnistaa myös palvelun tarjoaja. Tätä tarkoitusta varten Väestörekisterikeskus myöntää palvelinvarmenteita. Niitä voidaan käyttää sekä julkishallinnon että yksityissektorin palveluiden tunnistamisessa. Palvelinvarmenteen avulla palvelun käyttäjä voi varmistua palvelun tarjoajan aitoudesta.

Palvelinvarmenne mahdollistaa selaimen ja palvelimen tai kahden palvelimen välille SSL-suojatun tietoliikenteen. Palvelinvarmenteiden käyttämät avainparit luo palvelimen ylläpitäjä. Avaimen pituus voi olla 2048 tai 4096 bittiä.

Palvelinvarmenteen käyttötarkoitus voidaan määrittää käyttökohteen mukaisesti:

  • palvelimen tunnistamiseen (server authentication)
  • asiakkaan tunnistamiseen (client authentication)
  • molemmat samanaikaisesti (server authentication ja client authentication).

Väestörekisterikeskuksen myöntämillä palvelinvarmenteilla voidaan toteuttaa kolmentyyppisiä verkkopalveluita:

  • pelkkä palvelinvarmenne
  • palvelinvarmenne ja käyttäjän varmenne (ennalta tuntemattomat käyttäjät)
  • palvelinvarmenne ja käyttäjän varmenne (ennalta määritetyt käyttäjät).

Väestörekisterikeskuksen myöntämät varmenteet ovat automaattisesti luotettuja Microsoft Internet Explorer -selaimessa.

Pelkkä palvelinvarmenne

www-palvelun sivujen ollessa määritetty kokonaan tai osittain käyttämään suojattua tietoliikennettä on tietoliikenne suojattu ulkopuolisilta palvelimen ja käyttäjän selaimen välillä (SSL/TLS). Tässä ratkaisussa palvelimeen ja käyttäjän selaimeen on asennettava varmentajan varmenne, johon kumpikin osapuoli luottaa. VRK myy palvelinvarmenteita palveluntuottajille, jonka tunnistaumisessa voidaan käyttää perinteistä käyttäjätunnus ja salasana -yhdistelmää.

Palvelinvarmenne ja käyttäjän varmenne (ennalta tuntemattomat käyttäjät)

Kuten edellisessä kohdassa (pelkkä palvelinvarmenne), mutta käyttäjillä on luotettavan varmentajan myöntämät varmenteet (kortti, kortinlukijat ja kortinlukijaohjelmisto, esim. mPollux DigiSign Client -kortinlukijaohjelmisto), joiden pohjalta toteutetaan erilaisia palveluita laajalle, ennalta määräämättömälle käyttäjäryhmälle. Tällaisia ovat esimerkiksi hallinnon palvelut ja verkkokaupat. Käyttäjien varmenteiden hyödyntäminen ei maksa palveluntarjoajalle mitään! Kansalaisvarmenteessa olevan sähköisen asiointitunnuksen (SATU) perusteella voidaan väestötietojärjestelmästä hakea sovelluskyselyllä käyttäjän henkilötunnus ja/tai postiosoite (VRK:n maksullinen palvelu, vaatii myös tietojenluovutusluvan). Organisaatiovarmenteissa käytetään muuta yksilöivää tunnusta. Tämä mahdollistaa tiedon (dokumenttien) allekirjoittamisen sähköisesti.

Palvelinvarmenne ja käyttäjän varmenne (ennalta määritetyt käyttäjät)

Kuten edellisessä kohdassa (palvelinvarmenne ja käyttäjän varmenne, ennalta tuntemattomat käyttäjät), mutta käyttäjän varmenne on linkitetty johonkin (esim. käyttöjärjestelmän tai tietokannan) käyttäjätunnukseen ja käyttöoikeuksiin. Tässä ratkaisussa käyttäjän varmenne on ennalta noudettava vaikkapa LDAP:lla linkitettäviin käyttäjätunnuksiin. Varmenne voidaan kopioida myös suoraan kortilta kortinhaltijan läsnäollessa. Tällöin käyttöoikeuden antaja näkee henkilökortin ja sen haltijan. Varmenteina voidaan käyttää henkilökortin kansalaisvarmennetta tai organisaatiokohtaisia organisaatiovarmenteita.

Tämä on tyypillinen toteutusvaihtoehto järjestelmissä, joissa eri käyttäjillä on erilaisia oikeuksia järjestelmään, ja se onkin suosittu intranet- ja extranet-käytössä. Tätä tapaa voi käyttää verkkopalvelun ylläpitotunnusten määrittelyyn myös kahdessa ensimmäisessä vaihtoehdossa.

Varmenteita käytettäessä käyttäjien ei tarvitse muistaa erilaisia käyttäjätunnuksia ja salasanoja, jolloin käyttäjätunnushallinta helpottuu. Varmenteiden voimassaolo ja sulkulistatarkistukset tulee tehdä.

Käytännössä laaja verkkopalvelu muodostuu edellisten kohtien osista esimerkiksi linkittämällä käyttäjien varmenteet asiakastietoihin. Toteutukseen vaikuttavat myös olemassa olevat taustajärjestelmät ja palvelun toiminnallisuusvaatimukset.

Palvelinvarmenteita voidaan hyödyntää myös muissa kohteissa, kuten sähköpostipalvelimissa sekä erilaisten gateway-ohjelmistojen ja -laitteistojen keskinäisessä tietoliikenteessä.