IKI ry:n Ikitotuus numero 7

ikitotuusikitotuusikitotuusikitotuusikitotuusikitotuusikitotuusikit
ot          uu       siki     totu       usiki       totu     usiki
tot  uusi  kit  otuu  si  kit  otu  usik  itot  uus  iki  tot  uusi
kit  otuu  sik  itot  u  usiki  to  tuus  ikit  otu  us  ikito  tuu
sik  itot  uus       ik         it       otuus  iki  to         tuu
sik  itot  uus  ikitotu  usiki  to  tuus  iki  totu  us  ikito  tuu
sik  itot  uus  ikitotu  usiki  to  tuus  i          ki  totuu  sik
ito  tuus  iki  totuusi  kitot  uu       si  kitotuu  s  ikito  tuu
sikitotuusikitotuusikitotuusikitotuusikitotuusikitotuusikitotuusiki

Ikitotuus on IKI ry:n jäsenlehti.

Sisällys

• Uusi jäsenrekisteri otettu käyttöön
• IKI:n postituslistapalvelin otettu käyttöön
• IKI-OID - Palveluksessanne!
• Taloustoimikunta
• Roskapostitoimikunta
• IKI X.509 CA
• Seuraava ikitotuus

Uusi jäsenrekisteri otettu käyttöön

IKIn jäsenrekisteri on uusittu. Uusi järjestelmä toimii kokonaan IKIn omilla koneilla, kun vanha käytti Freenetin palvelimia. Uusi jäsenrekisteri myös toimii reaaliaikaisemmin, joten muutoksia ei enää tarvitse odottaa tuntikaupalla.

Uusi jäsenrekisteri löytyy osoitteesta http://admin.iki.fi. Sen kanssa käytetään samoja salasanoja kun vanhan rekisterin kanssa ja tiedot ovat muutenkin säilyneet vaihdon yhteydessä.

Vanha jäsenrekisteri tai vanhat muutoslomakkeet eivät enää ole käytössä, joten kaikki muutokset tulee nyt tehdä uudella jäsenrekisterillä.

Uusina toimintoina uudessa jäsenrekisterissä on mm. aliasten toiminnan estäminen, sähköpostin ohjaaminen useampaan osoitteeseen, sekä monipuolisemmat DNS-toiminnot.

Jäsenrekisterin kautta jäsenet voivat, kuten ennenkin, muuttaa tietojaan, kuten nimeään, yhteystietojaan, iki-postiensa ohjausta, jne. Erona aikaisempaan on se, että muutokset tulevat voimaan heti seuraavana tasatuntina, eivätkä vasta muutaman tunnin kuluttua.

Jäsenrekisterin käyttö on helppoa: webiselaimella täytetään muutoslomake. Kunkin kentän kohdalla on linkki aputekstiin, joka selvittää, mitä kyseiseen kentään voi syöttää.

Yhteys jäsenrekisteriin on suojattu SSL-tekniikalla. Tämän hyväksikäyttö vaatii IKI CA:n varmenteen asentamista selaimeen tai palvelinkohtaisen admin.iki.fi-varmenteen hyväksymistä kun selain asiasta kysyy palvelua käytettäessä. Tähän on ohjeet admin.iki.fi:n etusivulla ja toisaalla tässä ikitotuudessa.

Unohtuneen salasanan voi kysyä tekstiviestillä

Mikäli olet unohtanut salasanasi, mutta jäsenrekisterissä on oikea GSM-numerosi, niin saat salasanan lähettämällä tekstiviestin:

iki  käyttäjätunnus

numeroon 13579 (parittomat numerot suuruusjärjestyksessä). Kirjoita käyttäjätunnuksen kohdalle oma käyttäjätunnuksesi (eli siis jompi kumpi ikialiaksistasi, ilman @iki.fi osaa). Salasanasi saat vain jos viesti lähetetään samasta numerosta kuin mikä on jäsenrekisterissä. Haku maksaa 0.32 euroa (1.92 mk). Palvelu toimii vain Soneran, Radiolinjan ja Telian liittymistä.

IKI:n postituslistapalvelin otettu käyttöön

Postituslista on meiliosoite, joka välittää saamansa viestit kaikille tilaajilleen. Esimerkiksi IKI:n hallituksen osoite, iki-hallitus@iki.fi, on postituslista, joka välittää saamansa meilit hallituksen jäsenille.

IKI:llä on ollut alusta asti käytössään postituslista iki-aktivistit@iki.fi. Tämä oli toteutettu yksinkertaisella tekniikalla (sendmailin aliaksena), joka oli melko hyvin toimiva ratkaisu monen vuoden ajan. Viime aikona listalle tuli kuitenkin niin paljon roskapostia, että asialle piti tehdä jotain. Samoin oli tarvetta pystyttää uusia listoja, erityisesti vuosikokouksessa päätetyille työryhmille. Samalla koko listan toteutustekniikka vaihdettiin ja osoitekin muuttui.

IKI on pystyttänyt uuden palvelimen listoja varten. Palvelin käyttää Qmail-ohjelmistoa postien välitykseen ja Ezmlm-IDX-ohjelmistoa listojen tekemiseen. Palvelinkone on sama, joka pyörittää uutta jäsenrekisteriä.

Listapalvelimen nimi on listat.iki.fi ja siellä on nyt kolme listaa. Luettelo listoista löytyy osoitteesta http://listat.iki.fi/luettelo.html.

iki-aktivistit

Ikillä on aktiivisille jäsenille lista, jossa käydään keskustelua iki ry:n kehittämisestä ja sen toiminnasta yleensä. Kaikista tärkeistä muutoksista yms keskustellaan täällä ja kun asiat on valmiita niin niistä tiedotetaan myös ikitotuudessa.

Iki-aktivistit -listalle tulee joskus tulle useitakin viestejä päivässä kaikenlaisista IKI:in liittyvistä aiheista.

roskaposti

Roskapostitoimikunta, jonka tarkoituksena on selvittää roskapostiongelmaa ja etsiä ratkaisumallia, joka auttaa jäseniä, mutta ei vaaranna normaalia postinkulkua.

talous

Tämä lista muodostaa taloustoimikunnan, jonka tarkoituksena on miettiä IKI:n talousasioita ja muotoilla yhdistykselle sijoitusstrategia, joka esitetään hallitukselle päätöksiä varten.

Huomaa, että listat toimivat osoitteessa @listat.iki.fi eikä @iki.fi

Uusia listoja perustetaan tarvittaessa.

Listojen tilaaminen ja käyttäminen

(Nämä ohjeet löytyvät myös sivulta http://listat.iki.fi/.)

Listalle liitytään ja sieltä poistutaan lähettämällä sähköpostia listan komento-osoitteisiin. Sähköpostien sisällöllä ei ole väliä, vain osoitteella, jonne se lähetetään. Allaolevissa esimerkeissä foo@listat.iki.fi on listan osoite ja nimi. Kaikki komento-osoitteet ovat muotoa foo-jotakin@listat.iki.fi.

Listalle liitytään lähettämällä sähköpostia osoitteeseen foo-subscribe@listat.iki.fi. Listaohjelmisto lähettää vahvistuspyynnön, josta selviää myös se osoite, joka listalle ollaan lisäämässä. Tämä ei ole välttämättä sama kuin From-rivillä oleva osoite (esimerkiksi iki-osoite), vaan se katsotaan ns. SMTP-tason lähettäjäosoitteesta. Jos et tiedä mitä osoitetta tämä tarkoittaa, kokeile tilaamista ja tarkista asia vahvistuspyynnöstä.

Listalle voi myös liittyä muulla osoitteella. Jos haluat esimerkiksi liittyä osoitteella bar@example.com, lähetä tilauspyyntö osoitteeseen foo-subscribe-bar=example.com@listat.iki.fi. Vahvistuspyyntö lähetetään aina siihen osoitteeseen, jota listalle ollaan lisäämässä.

Listalta poistutaan lähettämällä sähköpostia osoitteeseen foo-unsubscribe@listat.iki.fi. Tähän pätevät samat asiat kuin tilauspyyntöön: poistumisestakin tulee vahvistuspyyntö ja pidempi osoitemuoto eri osoitteen poistamista varten toimii.

Listalle kirjoitetaan lähettämällä sähköpostia listan osoitteeseen: foo@listat.iki.fi.

IKI-OID - Palveluksessanne!

Muutama kuukausi sitten tiedotettiin, että IKI ry:lle on varattu enterprise-OID prefiksi IANA:n hallinnoimasta OID-avaruudesta. Samalla varattiin myös kullekin jäsenelle oma henkilökohtainen OID-hierarkia tämän prefiksin alta. Useimmille tämä ei kerro yhtään mitään, joten aiheesta on kirjoitettu lyhyt ja ytimekäs veppisivu. Mikäli olet kiinnostunut asiasta, http://www.iki.fi/iki/iki-oid.html auttaa.

Taloustoimikunta

Yhdistykselle on perustettu taloustoimikunta, jonka tarkoituksena on toimia hallituksen ja yhdistyksen kokouksen tukena yhdistyksen varojen sijoittamisesta päätettäessä. Toimikunta aloitti toimintansa syksyllä ja sen ensimmäinen tavoite on antaa hallitukselle esitys yhdistyksen sijoitusstrategiasta, joka on tarkoitus lopullisesti hyväksyä yhdistyksen vuosikokouksessa keväällä 2003. Toimikunnan toimintaan pääsee mukaan lähettämällä sähköpostin osoitteeseen talous-subscribe palvelimella listat.iki.fi.

Roskapostitoimikunta

Roskapostin määrä alkaa olla vakava haitta monille sähköpostin käyttäjille. IKI:n roskapostitoimikunnassa selvitetään mahdollisia ratkaisuja eri tasoilla, yhteiskunnallisesta vaikuttamisesta ratkaisuihin IKI:n palvelimilla sekä jäsenkohtaiseen roskapostin suodatusratkaisuihin. Lisätietoja roskapostiongelmasta ja mitä sille voi tehdä löytyy IKI:n www-sivuilta http://www.iki.fi FAQ-kohdasta. Toimikunnan toimintaan pääsee mukaan lähettämällä sähköpostin osoitteeseen roskaposti-subscribe palvelimella listat.iki.fi.

IKI X.509 CA

IKI:ssä on otettu käyttöön X.509 CA (Certification Authority). Tämä CA on tarkoitettu varmentamaan sekä erilaisia iki:n palveluja että iki:n jäsenten iki-osoitteisiin liittyviä palveluja.

Mikä on julkinen avain

Julkisen avaimen salausjärjestelmissä avain muodostuu kahdesta osasta, julkisesta ja salaisesta avaimeista. Julkinen avain on nimensä mukaisesti julkinen ja sitä on tarkoitus levittää kaikille sitä tarvitseville tahoille. Salainen avain on taas se salainen osa avaimesta joka on ainoastaan avaimen haltijan itsensä hallussa.

Mikäli avaimen haltija haluaa luoda allekirjoituksen hän ottaa salaisen avaimensa, allekirjoitettavan tiedoston ja laskee näistä tiedoston allekirjoituksen. Tämä allekirjoitus voidaan sitten esim. liittää tiedoston perään. Kun vastaanottaja saa tiedoston ja sen allekirjoituksen hän voi avaimen haltijan julkista avain käyttäen tarkistaa että allekirjoitus on oikea. Jos allekirjoitus on oikea hän tietää että tiedostoa ei ole muutettua ja avaimen haltija on luonut tuon allekirjoituksen.

Eli siis ainoastaan salaisen avaimen haltija voi luoda allekirjoituksia, mutta kuka tahansa voi julkisen avaimen avulla tarkistaa allekirjoituksen. Julkisella avaimella ei voi luoda allekirjoituksia, sillä voi ainoastaan tarkistaa jo luotuja allekirjoituksia.

Mikä on varmenne (certificate)

Mikäli tuo allekirjoitettava tiedosto sisältää julkisen avaimen kutsutaan kyseistä tiedostoa ja siihen liitettyä allekirjoitusta varmenteeksi. Yleensä varmenteessa on mukana myös tieto siitä, kenellä on hallussaan julkiseen avaimeen liittyvä salainen avain (eli haltijan identiteetti).

Varmenne voi olla joko allekirjoitettu itsellään tai sen voi olla allekirjoittanut joku muu avain. Varmenne joka on allekirjoitettu itsellään sisältää siis julkisen avaimen ja allekirjoituksen joka on laskettu tuolla samalla avaimella. Tämä varmenne ei itse asiassa kerro muille mitään muuta kuin että kyseisen varmenteen luojalla on hallussaan myös salainen avain. Mitään muuta luottamusta ei kyseisestä varmenteesta voi suoraan johtaa.

Näitä käytetään yleensä niin sanottuina juuri-CA avaimina. Kyseiset avaimet ovat puurakenteen juuressa niin ei ole olemassa ketään muuta joka voisi ne allekirjoittaa. Toinen käyttötarkoitus näille on todistaa että varmennetta hakevalla taholla on julkista avainta vastaava salainen avain. Näillä estetään se ettei joku toinen ota julkista avainta ja hae sille varmennetta. Tuo hakija ei voi varmennetta itse käyttää kun hän ei omista kyseistä salaista avainta, mutta hän voi aiheuttaa häiriötä tuolla virheellisellä varmenteella.

Mikäli varmenteen on allekirjoittanut joku muu taho, voidaan allekirjoituksesta johtaa jonkin tasoinen luottamusketju. Tämän luottamusketjun vahvuus riippuu allekirjoituksen tehneen tahon vaatimusmäärityksistä. Tällainen varmenne voidaan tulkita allekirjoitetuksi lausunnoksi, että tämä julkinen avain ja nämä muut tiedot kuuluvat yhteen näillä vaatimuksilla. Lisäksi koko ketjun luottamus perustuu loppujen lupuksi siihen että miten käyttäjä luottaa ketjun luoneeseen tahoon.

Esimerkki:

Allekirjoituksia jakava taho isokenkäisten yhdistys ilmoittaa että he vaativat että jokaisen, joka haluaa varmentaa oman julkisen avaimensa pitää täyttää seuraavat ehdot:

1. Pitää esitää virallinen henkilöpaperi, jossa näkyy heidän nimensä.
2. Hakijan kengännumero on yli 45 (mitataan yhdistyksen tiloissa)
3. Varmennetta haluavan pitää toimittaa itse allekirjoitettu väittämä jossa hän todistaa että hän hallinnoi julkiseen avaimeen liittyvää salaista avainta.

Tämän jälkeen varmentava taho voi luoda varmenteen Ismo Isokengälle jossa he sanovat että "isokenkäisten yhdistys varmentaa että henkilö Ismo Isokenkä hallinoi tätä julkista avainta". Lisäksi kyseiseen varmenteeseen voidaan laittaa tieto niistä muista vaatimuksista millä kyseisiä varmenteita on myönnetty (eli siis vaaditaan että kengännumero on yli 45).

Kun Ismo Isokenkä sitten esittää kyseisen varmenteen ja samalla salaisella avaimella luodun tunnisteallekirjoituksen verkossa toimivalle Isojalkaisten kenkäkaupalle niin kauppa voi tunnistaa että tämä yhteys tulee henkilöltä jonka kengännumero on yli 45 ja hänen nimensä on Ismo Isokenkä.

Näin ollen he voivat tarjota Ismo Isokengälle 5% paljousalennuksen kenkänahasta ja samalla he myös voivat varmistaa ettei kyseessä ole naapurin kakaroiden pilailutilaus numeron 55 kengistä (koska isokenkäisten yhdistys on jo varmistanut että kyseistä julkista avainta hallinnoi Ismo Isokenkä, eikä kukaan muu voi luoda ko tunnisteallekirjoitusta). Tämä kaikki tietysti olettaa että Isojalkaisten kenkäkauppa luottaa Isokenkäisten yhdistykseen.

Mikä on X.509

X.509 on standardi joka määrittelee sekä tiedostomuodon varmenteille, että sen miten niitä luodaan ja käytetään. X.509 varmenteet muodostavat puumaisen hierarkian, jonka huipulla on niin sanottu juuri-CA varmenne.

Mikä on CA

X.509 hierarkiassa jokainen varmenne joka on allekirjoittanut muita varmenteita on CA varmenne, eli CA varmenne tarkoittaa että tämä varmenne on luotu siinä tarkoituksessa että sillä varmennetaan muita avaimia. Mikäli kyseinen varmenne on itse varmennettu jollakin muulla avamella on kysessä väli-CA. Mikäli kyseistä varmennetta ei ole varmennettu muulla kuin itsellään on kyseessä juuri-CA.

Eli edellisessä esimerkissämme meillä oli hyvin yksinkertainen hierarkia, eli meidän juuri-CA varmenne oli tuo isokenkäisten yhdistyksen oma avain, jolla he luovat noita muita varmenteita ja sen alla oli sitten suoraan käyttäjien varmenteet. Tuossa esimerkissä ei ollut yhtään väli-CA:ta.

Miten voin luottaa juuri-CA:han

Koska juuri-CA on allekirjoitettu vain itsellään se ei sinänsä luo minkäänlaista luottamusketjua. Eli vaikka meillä olisi kuinka hieno hierarkia jossa kerrotaan vaikka mitä, mutta jos emme luota sen juuri-CA:han niin kyseinen varmenneketju on arvoton luottamusmielessä (koko rakenne siis roikkuu vain ilmassa tyhjän päällä). Nyt jos otamme tuon juuri-CA:n ja kerromme omalle järjestelmällemme että tämä juuri-CA on luotettu ja minä luotan tähän juuri-CA:han ja siihen joka kyseistä salaista avainta hallinnoi, niin se ankkuroi sitten koko tuon hierarkian paikoilleen ja voimme sen jälkeen luottaa koko puurakenteeseen.

Tuota luottamusta ei voi tehdä mitenkään automaattisesti vaan se pitää aina tehdä käsin. Esim. www-selaimissa on valmiiksi asennettuna suuri määrä erilaisia juuri-CA:ta joihin ne luottavat. Kyseisten selainten tekijät ovat valinneet ja varmentaneet että kyseiset juuri-CA:t ovat luotettavia ennen kuin ne on määritelty luotetuiksi.

IKI X.509 juuri-CA varmenne

Nyt kun IKI:ssä ollaan ottamassa X.509 varmenteita käyttöön tarvitsemme sitä varten juuri-CA:n jonka alle kaikki nämä muut varmenteet luodaan. Tämä juuri-CA toimii luottamusjuurena koko IKI:n varmenne hierarkialle. Koska meillä ei ole mahdollisuutta saada omaa avaintamme etukäteen määritellyksi kaikkiin varmenteita käyttäviin ohjelmiin, pidää meidän lisätä tuo varmenne ohjelmiin jälkikäteen.

Tämä lisääminen tapahtuu lataamalla IKI X.509 juuri-CA varmenne ja määrittelemällä se kyseisessä ohjelmassa luotetuksi. Koska tässä luodaan pysyvä luottamussuhde IKI ry:n ja sen jäsenten välille on tämä myös erittäin otollinen kohde erilaisille hyökkäyksille. Tätä varten kyseisen operaation aikana pitää varmistaa että kyseessä on tosiaankin IKI:n juuri-CA varmenne, eikä joku muu varmenne jonka joku on hyökkäyksellä onnistunut laittamaan IKI:n juuri-CA:n tilalle.

Tämä tarkistus tehdään vertaamalla ohjelman laskemaa tunnistetta (fingerprint / thumbprint) jostain muusta lähteestä saatuun varmasti oikeaan tunnisteeseen. On täysin turhaa verrata kyseistä tunnistetta www-sivulla olevaan tunnisteeseen, koska sama taho joka hyökkäsi yhteyden väliin ja vaihtoi tuon varmenteen on voinut vaihtaa myös www-sivulla olevan tunnisteen. Samoin kyseinen taho on voinut hyökätä myös tämän ikitotuuden kimppuun ja vaihtaa tässä ikitotuudessa kerrottavan tunnisteen. Tosin suoraan jäsenen postilaatikkoon tulevan ikitotuuden osalta se on jo huomattavan paljon vaikeampaa.

Varmistaaksemme internetistä riippumattoman suhteellisen luotettavan kanavan, olemme laittaneet tiistaina 12.11.2002 ilmestyneeseen Helsingin Sanomiin ilmoituksen (sivu C 11, 4. palsta, alareuna) jossa kerrotaan kyseinen tunniste. Sieltä kyseisen tunnisteen vaihtaminen alkaa olla jo huomattavan hankalaa ja vaatii aika suurta käsityötä mikäli se tehdään varsinaisen painamisen jälkeen (kyllä, joku voisi kiertää postilaatikoita heti aamulla ja vaihtaa tunnisteen numerot toisiksi, mutta sen todennäköisyys alkaa mennä jo aika pieneksi, todennäköisyyttä voit vielä pienentää ostamalla kyseisen lehden sattumanvaraisesta paikasta).

IKI:n hallituksen jäsenet ovat varmistaneet että tunniste on ollut oikein ainakin 3:ssa satunnaisesta paikasta ostetussa irtonumerossa ja 2:ssa hallitusten jäsenille tulleessa kappaleessa, joten painossa ilmoitusta ei ole ainakaan noissa kappaleissa muutettu.

Mitä minun pitää tehdä IKI X.509 juuri-CA varmenteen asentamiseksi

Toimi seuraavasti

1. Hanki käsiisi tiistaina 12.11.2002 ilmestynyt Helsingin Sanomat.
2. Etsi sieltä ilmoitus jossa lukee IKI-CA Varmenne (löytyy sivulta C 11, 4. palstan alareunasta).
3. Leikkaa kyseinen ilmoitus talteen (saatat tarvita sitä myöhemminkin, jos esim asennat käyttöjärjestelmän uudestaan, tai vaihdat www-selainta jne).
4. Mene IKI:n ylläpitosivuille (http://admin.iki.fi/).
5. Etsi ohjeista omaa selaintasi vastaava ohje ja lue se läpi.
6. Palaa takaisin ylläpitosivulle ja valitse sieltä linkki IKI X.509 CA Varmenne.
7. Selaimesi pitäisi nyt aloittaa CA varmenteen asentaminen.
8. Jossakin vaiheessa tuota asennusta löydät kohdan jossa selain kertoo sinulle asennettavan varmenteen tunnisteen (Fingerprint / Thumbprint). Osassa selaimista tuo tulee aina näkyviin (IE, Opera), osassa sinun pitää valita "More Info..." (Netscape 4.*), "View" (Mozilla, NetScape 6 ja 7).
9. Tarkista että kyseinen tunniste täsmää Helsingin Sanomien ilmoituksessa olevaan tunnisteeseen. Tunnisteita on kaksi erilaista, MD5-tunniste (16 kpl 2 merkin sarjaa) ja SHA1-tunniste (20 kpl 2 merkin sarjaa). Osa selaimista tulostaa molemmat (IE, Mozilla, Netscape 6 ja 7) ja osa vain tuon MD5-tunnisteen (NetScape 4.*, Opera).
   MD5 tunniste on A0:0F:76:00:0D:C2:3B:C0:97:4F:39:04:40:8E:63:50
   
   SHA1 tunniste on 0F:CF:8D:B6:6A:4E:41:D6:60:83:11:69:26:33:AD:32:9F:84:BE:60
10. Asenna varmenne loppuun.

Asennuksen jälkeen sinun pitäisi päästä suoraan jäsenrekisteriin ilman että sinulle tulee muita ilmoituksia kuin mahdollisesti se että siirryt nyt suojattuun yhteyteen.

Asennuksen aikana kysytään mihin kyseistä avainta voidaan käyttää. Vaihtoehtoja on tyypillisesti kolme:

1. www-palvelut (www-sites / network sites). Tämä viittaa suojattujen www-yhteyksien muodostamiseen vaadittaviin varmenteihin. Jotta admin.iki.fi:n jäsenrekisteri toimisi kunnolla pitää tämä olla valittuna.
2. sähköpostiosoitteet (email users). Tämä viittaa smime:ssä käytettäviin varmenteihin joita käytetään sähköpostien salaamisessa ja allekirjoittamisessa. Mikäli käytät samaa selainta sähköpostien lukemiseen niin voi olla hyötyä rastittaa myös tämä kohta.
3. ohjelmien allekirjoituksen (software developers). Tätä käytetään allekirjoittamaan www:ssä käytettyjä ohjelmapaloja (esim java koodia). IKI:n tarkoituksena ei ole ruveta allekirjoittamaan ohjelmia, joten tämä kannattaa jättää rastittamatta.

Mitä hyötyä minulle on tästä kaikesta

IKI:n jäsenrekisteri vaatii että sinun pitää luottaa joko kyseisen jäsenrekisterin käyttöön luotuun varmenteeseen tai IKI X.509 juuri-CA varmenteeseen. Koska jäsenrekisterin käyttöön luotu varmenne voi vaihtua koska tahansa ilman erillistä ilmoitusta aiheuttaa se että voit saada koska tahansa ilmoituksen että varmenne on vaihtunut ja sinulla ei ole siinä vaiheessa mahdollisuutta varmistaa onko kyseessä hyökkäys vai onko se oikeasti vaihtunut. Mikäli luotat IKI X.509 juuri-CA varmenteeseen se ei haittaa vaikka palvelua varten luotu varmenne vaihtuisi vaikka kerran päivässä koska uusikin varmenne on IKI X.509 juuri-CA:n allekirjoittama ja sekin on automaattisesti silloin luotettu.

Jäsenrekisteriä on mahdollista käyttää myös ilman IKI-CA varmennetta hyväksymällä vain palvelinkohtaisen admin.iki.fi-varmenteen kun selain kysyy asiasta palvelua käytettäessä.

Myöhemmin IKI:llä on tarkoitus ottaa käyttöön muitakin X.509 varmenteita erilaisille palveluille. Näitä tulee olemaan mm. sähköposti varmenteet, sähköpostin välitysvarmenteet, www-palvelujen varmenteet jne. Osa näistä varmenteista tullaan myöntämään jäsenten palveluja varten osa IKI:n omia palveluja varten. Kaikissa IKI:n varmenteissa tulee olemaan seuraavat perusvaatimukset:

1. Varmenteita myönnetään jäsenistölle vain jäsenen omaa aliasta vastaavaan palveluun. Näitä on muun muassa:
   • Sähköpostivarmenteet osoitteille alias@iki.fi ja *@alias.iki.fi.
   • WWW-palveluvarmenteet koneille alias.iki.fi ja *.alias.iki.fi.
   • Postinvälitysvarmenteet koneille alias.iki.fi ja *.alias.iki.fi.
2. Varmenteissa ei oteta mitään kantaa siitä onko kyseinen henkilön oikea nimi todella se mitä jäsenrekisterissä lukee, varmenne kertoo ainoastaan että kyseinen jäsen hallinnoi avainta ja että jäsenen alias on se mitä varmenteessa sanotaan.
3. Varmenteita voi hakea kyseiselle aliakselle tietämällä IKI:n jäsenrekisterissä olevan salasanan.
4. Kaikki iki:n palvelukoneille myöntämät varmenteet koskevat koneita jotka ovat *.iki.fi domainin alla.

Tarkemmat vaatimukset varmenteiden jakamiseksi tiedoitetaan myöhemmin, kunhan varmenteiden jakaminen jäsenistölle tulee ajankohtaiseksi. Tärkein yllä olevista kohdista on se että IKI:n juuri-CA ei myönnä mitään varmenteita muille kuin .iki.fi domainin alla oleville koneille.

Seuraava ikitotuus

Ilmestyy kun siihen on tarvetta. Luultavasti vielä vuoden 2002 aikana.

IKI:n asioista keskustellaan aktiivisesti iki-aktivistit -sähköpostilistalla. Keskusteluun osallistumalla voit ottaa osaa IKI:n toimintaan ja tuoda omat näkemyksesi mukaan. Ohjeet sähköpostilistalle liittymiseen löytyvät mm. tästä ikitotuudesta.