DE VERBORGEN KOSTEN VAN SELF-SIGNED SSL-CERTIFICATEN
Whitepaper
De verborgen kosten van self-signed SSL-certificaten Waarom self-signed certificaten veel duurder – en risicovoller – zijn dan certificaten van een vertrouwde leverancier van beveiliging
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
De verborgen kosten van self-signed SSL-certificaten
INHOUD Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Extern geverifieerde certificaten versus self-signed certificaten . . . . . . . . . . . . . . . . 3 De hoge infrastructuurkosten voor SSL-beveiliging . . . . . . . . . . . . . . . . . . . . . . . . . Datacenters en fysieke beveiliging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardwareonderdelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Management en personeel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 4 5 6
De technische en zakelijke risico’s van een doe-het-zelf SSL-strategie . . . . . . . . . . . . . 7 De optelsom van de Total Cost of Ownership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Conclusie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Inleiding Ook in goede tijden houden slimme bedrijven de bottom line in de gaten. Wanneer bedrijven kosten willen terugdringen, doen ze dat meestal niet direct op het gebied van de beveiliging. Maar er zijn IT’ers die denken dat ze gemakkelijk kosten kunnen besparen door het budget voor externe instanties voor Secure Sockets Layer (SSL)-certificaten te schrappen. Hoewel ze het gebruik van SSL-beveiliging voor openbare websites, zoals de homepage van het bedrijf of de e-commercepagina’s, nog wel als noodzakelijk beschouwen, vinden sommige IT’ers dat self-signed SSL-certificaten een acceptabel alternatief zijn voor interne sites. Ze denken dat omdat alleen interne werknemers toegang hebben tot de servers die interne sites hosten, zoals intranetportals en wiki’s, self-signed certificaten voldoende bescherming bieden voor vrijwel geen kosten. Deze denkwijze kan een averechtse uitwerking hebben, met zeer ernstige gevolgen. De total cost of ownership (TCO) van een SSL-certificaat omvat meer dan alleen de prijs van het certificaat. De kosten voor het opzetten van een veilige self-signing architectuur, inclusief de beveiligingshardware, managementsoftware, datacenterruimte enzovoort, kunnen behoorlijk oplopen. Daarnaast stelt een doe-het-zelfaanpak van SSL-beveiliging een bedrijf bloot aan verschillende risico’s, zowel technische als zakelijke. In deze whitepaper wordt de echte TCO voor self-signed SSL-certificaten onderzocht, en wordt een vergelijking gemaakt van een self-signed architectuur met een architectuur waarin wordt gewerkt met een externe SSL-leverancier. Het zijn belangrijke zaken om te overwegen voor een bedrijf, voordat wordt besloten om te werken met self-signed certificaten. Extern geverifieerde certificaten versus self-signed certificaten De introductie van het SSL-protocol in 1995 bood ons een veilige manier om transacties te doen via het web. Sindsdien is SSL veruit het belangrijkste authenticatieprotocol voor webtransacties geworden. Waarom hebben we SSL nodig? Het meeste internetverkeer wordt niet-versleuteld verzonden. Hierdoor kan iedereen met voldoende technische expertise en de juiste tools de conversaties tussen verschillende partijen gemakkelijk ‘afluisteren’. Met SSL-beveiliging worden de gegevens die worden verzonden tussen een webserver en een browser versleuteld, waardoor ze zeer moeilijk te onderscheppen en decoderen zijn. Maar SSL-beveiliging is meer dan alleen encryptie. Puur technisch gezien is Public Key Infrastructure (PKI) uitstekend geschikt voor het beveiligen van datatransport. Maar de beveiliging van een transactie is een hele andere zaak. Hoe kunnen de partijen in de transactie zeker weten dat ze met de juiste deelnemers communiceren? Als een klant bijvoorbeeld een dure camera wil kopen in een webwinkel, moet het verkopende bedrijf zijn identiteit aan die klant kunnen bewijzen. De creditcardgegevens van de klant mogen dan zijn versleuteld tijdens de verzending, maar als de klant zich op een nagemaakte website bevindt, wordt die goed versleutelde data naar een cybercrimineel gestuurd die ze op zijn gemak kan decoderen. En dat is precies waartegen validatie door een externe partij bescherming biedt. Een certificaat dat is ondertekend door een vertrouwde en onafhankelijke certificaatinstantie helpt een organisatie bij het bewijzen van zijn identiteit.
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Technisch gezien is validatie door derden echter niet nodig voor het functioneren van SSLbeveiliging. Organisaties kunnen namelijk ook zelf certificaten ondertekenen. Wanneer een bedrijf een zogeheten ‘self-signed’ certificaat gebruikt, zeggen ze in feite “Hiermee bevestig ik dat ik mezelf ben. Je kunt me vertrouwen.” Voor de meeste webbrowsers, zoals Internet Explorer en Firefox, is deze toezegging betekenisloos. Gebruikers die naar een site gaan die wordt ‘beschermd’ met een self-signed certificaat, krijgen meestal een melding te zien over het feit dat de ondertekenende instantie onbekend en dus nietvertrouwd is. Het is niet verrassend dat een dergelijke waarschuwing potentiële klanten, partners en andere stakeholders afschrikt. Daarom zijn er nauwelijks bedrijven die self-signed certificaten gebruiken voor openbare websites; het in stand houden van vertrouwen is te belangrijk. Bij interne sites en servers is de situatie anders. E-mailservers, HR-portals, wiki’s voor het managen van afzonderlijke projecten of sandboxes voor softwareontwikkeling zijn slechts een paar voorbeelden van interne sites en servers die vaak worden beschermd door SSL-beveiliging. Maar heeft een organisatie extern ondertekende certificaten nodig wanneer alleen medewerkers daar toegang toe hebben? Wanneer een bedrijf gebruikmaakt van een self-signed certificaat, vraagt het zijn werknemers om zijn systemen te vertrouwen. En zelfs al willen ze dat…moeten ze het wel doen? De hoge infrastructuurkosten voor SSL-beveiliging Datacenters en fysieke beveiliging Self-signed certificaten zijn van zichzelf minder betrouwbaar dan certificaten die zijn ondertekend door grote certificaatinstanties. Goede certificaatinstanties beschikken over uitstekende processen die ervoor zorgen dat hun encryptiesleutels, en met name de zeer vertrouwelijke en persoonlijke root-sleutels, veilig zijn. Voor deze certificaatinstanties heeft beveiliging altijd de hoogste prioriteit. De werknemers moeten een strenge selectieprocedure doorlopen en worden hoog opgeleid, en het beleid met betrekking tot waar de persoonlijke sleutels worden opgeslagen, is zeer strikt. Sterker nog, als een certificaatinstantie wil worden goedgekeurd door de marktleidende webbrowsers, moeten deze sleutels worden bewaard op non-extractable storage op smartcards. Voor sterke SSL-beveiliging moeten ze daarnaast hoge beschikbaarheid en failovermechanismen hebben om uitval van systemen te voorkomen. Hiermee wordt ervoor gezorgd dat de juiste authenticatie kan worden geleverd op ieder moment dat gebruikers die nodig hebben. Het nabouwen van deze infrastructuur en de strenge beveiligingsnormen van grote certificaatinstanties vereist een aantal dure onderdelen. Ten eerste moet een organisatie beschikken over twee identieke high-availability (HA)-omgevingen voor het SSL-systeem en de SSL-gegevens. Een tweede, daaraan gerelateerde vereiste is dat de gerepliceerde omgevingen zich moeten bevinden in twee verschillende, beveiligde ruimten in twee verschillende datacenters op twee verschillende locaties. Dit moet garanderen dat wanneer het ene datacenter niet beschikbaar is vanwege een stroomstoring of andere onvoorziene gebeurtenis, het tweede datacenter de authenticatie alsnog kan bieden. Zonder dergelijke replicatie zouden servers en browsers het authenticatieproces niet kunnen voltooien, en zouden met SSL beschermde transacties (zoals een aankoop in een webwinkel met een creditcard of het uploaden van werknemersgegevens naar een HR-portal) niet langer werken.
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Bovendien moeten de datacenters waarin de SSL-systemen en -gegevens zich bevinden zelf ook veilig zijn, en moeten er dus strenge fysieke beveiligingsmaatregelen worden genomen. Dat betekent niet alleen dat de werknemers die fysieke toegang hebben tot datarooms gescreend moeten worden, maar ook dat er bijvoorbeeld kaartlezers moeten worden geïnstalleerd bij afgesloten ruimten, beveiligingscamera’s moeten worden geplaatst en zelfs bewaking moet worden ingehuurd voor surveillance. Als een onbevoegde persoon toegang zou krijgen tot deze beveiligde ruimten, zou hij of zij over de sleutel kunnen beschikken voor het ontcijferen van versleutelde data. En daarmee zouden alle transacties worden blootgesteld aan risico’s. De kosten voor een beveiligde ruimte voor één rack in een colocation datacenter, inclusief alle verbindingsmogelijkheden en voorzieningen, lopen uiteen van 1.000 tot meer dan 10.000 dollar per maand.1 Het toevoegen van een rack, vergroten van de bandbreedte of inhuren van technische ondersteuning verhoogt de kosten nog verder, vaak met honderden dollars per maand. En dat is nog niet alles: de replicatie van dit alles in twee datacenters verdubbelt deze kosten. Het moge duidelijk zijn dat de kosten voor het onderhouden en beveiligen van de fysieke infrastructuur voor SSL-certificaten en authenticatieprocessen niet voor alle bedrijven zijn weggelegd. Hardwareonderdelen Hoewel u zonder veel moeite aan gratis of goedkope software kunt komen voor het generen van self-signed SSL-certificaten, moet u nog steeds voor elk datacenter een hardware security module (HSM) hebben voor de encryptie. En voor elke HSM hebt u een supportcontract nodig om de continuïteit te garanderen. Een SSL HSM is een veilige encryptieprocessor, dus fysieke hardware, die nodig is voor het beheer van digitale sleutels en het authenticeren van persoonlijke sleutels binnen een PKI SSLprotocolsysteem. Een HSM heeft drie doeleinden. Ten eerste genereert deze module openbare en persoonlijke sleutels voor de encryptie van transacties via het web. Ten tweede slaat de HSM sleutels zodanig op dat ze niet uit het systeem kunnen worden gehaald. Ten derde biedt de module bedrijven de mogelijkheid om vertrouwelijke cryptografische gegevens te beheren. Een HSM is zeer gespecialiseerde hardware, die over het algemeen vrij duur is; de prijzen lopen uiteen van 13.000 dollar tot ruim 30.000 dollar per stuk. En ook hier geldt dat met het oog op de replicatie van de omgeving en hoge beschikbaarheid, elke SSL-infrastructuur moet beschikken over ten minste twee HSM’s, een voor elk datacenter. Ten slotte worden HSM’s ook gebruikt om applicatieservers te ontlasten van zowel asymmetrische en symmetrische cryptografie, maar dit is tegenwoordig niet meer zo relevant. Zelfs met de aanbeveling van het National Institute of Standards and Technology (NIST) voor het gebruik van 2048-bits RSA-sleutels, vergt SSL-encryptie nauwelijks systeemcapaciteit.
1. Meerdere bronnen: http://www.hostventures.com/colocationprices.html, http://www.creativedata.net/index.cfm?webid=168, http://www.datacenterknowledge.com/archives/2011/02/11/analysis-colocation-pricing-trends/
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Management en personeel Naast de kosten voor hardware, zijn de tijd en uitgaven voor het vinden en opleiden van bekwaam personeel voor het managen van self-signed SSL-beveiliging, het aanmaken van beleid en het beheren van het gebruik van SSL-certicaten ook een belangrijke overweging. De tools waarmee u zelf certificaten ondertekent, zoals Microsoft Certificate Services, bieden geen functionaliteit voor certificaatmanagement. Met dat in het achterhoofd moeten organisaties goede processen ontwerpen en implementeren die ervoor moeten zorgen dat de SSL-protocollen strikt worden gevolgd. Zonder dergelijke maatregelen zou iedereen een SSL-certificaat kunnen aanvragen en dat ook ontvangen, en daarmee een willekeurige ‘veilige’ site nabouwen. Ten eerste moet een organisatie zorgvuldig controleren wie de autoriteit hebben om certificaten voor hun domeinen te maken en ondertekenen, en processen inrichten die ervoor moeten zorgen dat dit gebeurt volgens een vast beleid. Een dergelijk beleid moet onder andere vereisen dat alleen personeel dat al lang genoeg in dienst is en voldoende wordt vertrouwd de autoriteit krijgt om deze handelingen uit te voeren, en dat ze voldoende zijn opgeleid op het gebied van best practices, standaarden en technologieën. Deze autoriteit moet niet zomaar worden verstrekt. Een duidelijke audittrail is noodzakelijk voor het geval er ooit een onderzoek plaatsvindt. Ten tweede bieden vooraanstaande certificaatinstanties vaak webapplicaties met een gebruiksvriendelijke interface, waarmee veel processen kunnen worden geautomatiseerd en versneld; inclusief het delegeren van de autoriteit voor het maken van certificaten en het goedkeuren van certificaten ter ondertekening door de certificaatinstantie. Certificate Signing Requests (CSR’s) moeten uiteindelijk worden goedgekeurd door iemand met autoriteit binnen een bepaald domein. Vertrouwde certificaatinstanties beschikken over geautomatiseerde procedures die ervoor zorgen dat dit alles plaatsvindt zoals voorgeschreven. Ten derde, als een organisatie kiest voor self-signed certificaten, moeten vergelijkbare processen worden gebruikt. Sommige bedrijven proberen de SSL-beveiligingsworkflow te automatiseren met eigen software, maar andere proberen eenvoudig de processen handmatig te managen. Dit kost veel tijd en inspanning door bekwaam en vertrouwd personeel, waardoor er mogelijk meer dure werknemers in dienst moeten worden genomen. Ten vierde worden organisaties er niet van op de hoogte gesteld dat een certificaat vervalt zonder de managementtools en waarschuwingen waar bij een vertrouwde certificaatinstantie wel gebruik van kan worden gemaakt. De vervaldatum (en verlenging) van self-signed certificaten moet handmatig in de gaten worden gehouden. Dit is een zeer tijdrovende taak die capaciteit weghaalt van andere, bedrijfskritieke activiteiten. De kosten van vervallen SSL-certificaten zijn onacceptabel hoog. Onbetrouwbare certificaten leiden tot een onevenwichtige beveiliging, die er op zijn beurt weer toe kan leiden dat klanten en interne stakeholders allerlei zorgwekkende waarschuwingen te zien krijgen. Ten slotte is bij encryptie met alleen software de zichtbaarheid van de status zeer beperkt. Tenzij de sleutels zijn opgeslagen op hardware kan een bedrijf niet garanderen dat het weet hoeveel sleutels er bestaan en wie er toegang toe heeft. Als het netwerk is gecompromitteerd, is er geen manier om vast te stellen of een sleutel werd gekopieerd naar buiten het netwerk en ook is gecompromitteerd.
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Sleutels zijn tenslotte slechts bestanden; en bestandsservers, virtuele bestandssystemen en servers, en storage area networks (SAN’s) of network attached storage (NAS)-systemen, kunnen worden gekopieerd, gedupliceerd en gerepliceerd. Dit maakt het moeilijk om te weten hoeveel kopieën er van een sleutel bestaan, en waar die zich bevinden. Nog moeilijker is het om de toegang ertoe te controleren en een beleid te handhaven. Wanneer sleutels op hardware zijn opgeslagen, zoals een HSM, worden de sleutels meestal op dit apparaat gegenereerd – wat op zichzelf al betekent dat ze sterker zijn – en verlaten ze nooit het apparaat. Daardoor weet de organisatie altijd waar de sleutels zijn en hoeveel kopieën er bestaan. Ze kunnen een beter beleid met betrekking tot de sleutels handhaven, omdat veel HSM’s werken met krachtige verificatie op basis van twee factoren voor het toegangsbeleid. Zo kan worden bepaald dat certificaten alleen kunnen worden getekend in de aanwezigheid van twee bevoegde personen. Ook het behoud van het personeel met het juiste talent en de juiste expertise voor het uitvoeren van deze managementtaken is duur. Volgens een IT-salarisonderzoek dat in 2011 werd gehouden door ComputerWorld2, verdient een midlevel beveiligingsprofessional zo’n 100.000 dollar per jaar. Afhankelijk van de grootte van een organisatie, kan zelfs een van dergelijke ervaren werknemers de kosten van self-signed SSL-beveiliging al veel te hoog maken, zeker wanneer die worden afgezet tegen de kosten van het inhuren van een vertrouwde, externe SSL-provider. Een bedrijf kan er natuurlijk voor kiezen om het infrastructuurmanagement uit te besteden. Dat zorgt echter niet alleen voor extra kosten, maar roept ook andere vragen op. Wie managet de onderaannemer? Wat gebeurt er als de onderaannemer een dure fout maakt? Daarnaast zijn dergelijke onderaannemers zeer moeilijk te vervangen, gezien de mate van afhankelijkheid die door deze relatie ontstaat. De technische en zakelijke risico’s van een doe-het-zelfstrategie voor SSL-beveiliging Bovenop alle ‘harde’ kosten voor een organisatie die werkt met self-signed SSL-certificaten zijn er ook operationele risico’s. Deze zijn niet eenvoudig in kaart te brengen, maar kunnen aanzienlijke kosten met zich meebrengen als er geen maatregelen worden getroffen. Sommige van deze risico’s zijn technisch, zoals de kans op beveiligingsschendingen aan beide kanten van het versleutelings- en ontsleutelingsproces wanneer de omgeving niet afdoende is beveiligd. Daarnaast is het zeer moeilijk om certificaten in te trekken in een omgeving met onbeheerde self-signed certificaten. De zakelijke risico’s zijn eigenlijk nog groter dan de technische. De grootste risico’s hebben betrekking op het vertrouwen van klanten en eindgebruikers. Vertrouwen is cruciaal voor iedere webtransactie, of het nu gaat om online bankieren of het uploaden van persoonlijke, vertrouwelijke gegevens naar een interne portal voor werknemers. De echte waarde van vertrouwen is natuurlijk moeilijk te bepalen, maar het verlies van het vertrouwen van potentiële klanten kan rampzalig zijn voor de omzet. Ook bij een interne site, zoals een HR-portal, kan een gebrek aan vertrouwen bij de werknemers, die zich mogelijk afvragen of hun salarisgegevens en andere persoonlijke informatie wel echt veilig zijn, een negatief effect hebben op hun motivatie en productiviteit.
2. April 2011. http://www.computerworld.com/s/article/9214739/Salary_Survey_2011.
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Een andere factor om te overwegen is de garantiebescherming die een externe SSL-provider biedt. De hoogte van de garantiebedragen loopt uiteen van 10.000 tot 250.000 dollar of meer, en ze zijn bedoeld ter compensatie als er toch een inbreuk plaatsvindt bij een bedrijf. Self-signed certificaten bieden geen enkele vorm van garantie. Bovendien bestaat het risico dat werknemers na verloop van tijd de beveiligingswaarschuwingen van hun browser gaan negeren, en niet-vertrouwde certificaten gaan toevoegen aan hun certificaatarchief. Dit is niet alleen een risico voor interne netwerken en systemen, maar zorgt ook voor een nonchalante houding ten opzichte van beveiliging in de hele organisatie en kan het algemene beleid ter bescherming van de interne systemen ondermijnen. Ten slotte lopen bedrijven met self-signed certificaten grotere risico’s bij advanced persistent threats (APT’s) of aanvallen waarbij meerdere methoden worden gehanteerd, omdat de beveiligingsprocessen en -maatregelen die worden gehanteerd door externe certificaatinstanties vaak ontbreken bij interne instanties. De server waarop de certificaatinstantie draait, kan bijvoorbeeld zijn verbonden met hetzelfde netwerk als de andere systemen, zonder fysieke beveiligingsgrenzen. Interne certificaatinstanties hebben meestal geen biometrische toegangscontrole voor het gebruik van de root-sleutel waarmee certificaten worden gegenereerd. Dit alles leidt tot een slechtere beveiliging en minder gepaste zorgvuldigheid bij de manier waarop certificaten worden uitgegeven. Kortom, er wordt gewerkt met een vals gevoel van veiligheid. De optelsom van de Total Cost of Ownership Een sterke, betrouwbare infrastructuur voor SSL-beveiliging bestaat uit vele onderdelen. Hieronder staat een vergelijking van de kosten voor self-signed SSL-certificaten en SSLcertificaten van Symantec, de marktleider op het gebied van SSL-beveiliging: Self-Signed certificaten (jaarlijks)
SSL-certificaten van Symantec3
SSL-certificaten
Geen aanvullende kosten
$ 100 - $ 250/certificaat
Replicatie van datacenter
$ 24.000 – $ 240.000
Inclusief
Hardware Security Modules (HSM’s) en bijkomende kosten voor software $ 26.000 - $ 60.000 en onderhoud Management en personeel TOTAAL
Inclusief
$ 100.000 per fulltime werknemer
Inclusief
$ 150.000 - $ 400.000 per jaar
$ 100.000-$ 250.000 (uitgaande van 1.000 certificaten)
Na het optellen van alle kosten zijn self-signed certificaten duidelijk de duurdere optie, met een verschil dat oploopt tot honderdduizenden dollars per jaar. Door te werken met een vooraanstaande certificaatinstantie zoals Symantec bespaart een bedrijf niet alleen geld, maar kan er ook worden gewerkt met de gemoedsrust dat de SSL-beveiliging wordt ondersteund door de expertise en resources van een van de meest vertrouwde beveiligingsbedrijven ter wereld.
3. De jaarlijkse kosten zijn gebaseerd op 1.000 SSL-certificaten voor de door Symantec gehanteerde prijzen per februari 2012. Prijzen kunnen zonder kennisgeving worden gewijzigd.
Whitepaper: De verborgen kosten van self-signed SSL-certificaten
Conclusie Terwijl vele IT-professionals denken dat ze met self-signed SSL-certificaten de beveiligingskosten voor hun bedrijf kunnen verlagen, vertellen de cijfers een heel ander verhaal. De ware kosten voor het geheel van self-signed SSL-beveiliging – van de datacenterinfrastructuur en fysieke beveiliging tot de hard- en software voor het PKI SSLsysteem en het benodigde personeel – kunnen heel snel heel hoog oplopen. Zowel openbare als interne sites moeten met krachtige SSL worden beveiligd. Werken met een vooraanstaande leverancier zoals Symantec is de gemakkelijkste en kosteneffectiefste manier om klanten en andere stakeholders te beschermen met de allerbeste SSL-beveiliging. Met SSL-certificaten van Symantec kunnen organisaties van elke grootte hun sites beveiligen en reputatie beschermen, zonder dat de bottom line in gevaar komt. Meer informatie Ga naar onze http://go.symantec.com/ssl-certificates Wilt u met een productspecialist spreken? Bel 0800 56 29 24 of +44 22 54 50 288 en kies optie 2 en vervolgens 1 in het keuzemenu Over Symantec Symantec is een vooraanstaande wereldwijde leverancier van oplossingen op het gebied van beveiliging, opslag en systeembeheer. Daarmee helpen we consumenten en bedrijven bij het beveiligen en beheren van hun IT-omgeving. Onze software en services beschermen klanten tegen meer risico’s op meer punten, op een complete en efficiënte manier. Dat zorgt voor vertrouwen in alle omgevingen waar informatie wordt gebruikt of opgeslagen. Symantec BV Orteliuslaan 850 3528 BB UTRECHT Nederland www.symantec.nl
Copyright © 2012 Symantec Corporation. Alle rechten voorbehouden. Symantec, het Symantec-logo en het Checkmark-logo zijn handelsmerken of geregistreerde handelsmerken van Symantec Corporation of gelieerde ondernemingen in de Verenigde Staten en andere landen. VeriSign en aanverwante merken zijn handelsmerken of geregistreerde handelsmerken van VeriSign, Inc. of haar gelieerde ondernemingen of dochterondernemingen in de Verenigde Staten en andere landen, die onder licentie door Symantec Corporation worden gebruikt. Andere namen zijn mogelijk handelsmerken van de betreffende eigenaren.