Kas Internet läheb katki?

30. septembril 2021 aegub Let’s Encrypt „DST Root CA X3“ sertifikaat ja teeb nii mõndagi internetis katki!“ Sellised uudised on pannud muretsema ka Zone kliente, sest valdav enamus meie klientide veebilehti kasutab just Let’s Encrypt sertifikaate.

Ütleme kohe siin alguses ära, et kui sa enam kui viis aastat vana operatsioonisüsteemi (Windows, Android) ei kasuta, siis ei lähe sul katki mitte midagi.

Kes ja kui palju muretsema peab ning mis täpselt ikkagi katki läheb, sellele püüamegi alljärgnevalt veidi valgust heita.

Kõigepealt natuke sellest, mis asi on üldse serveri sertifikaat.

Kui klient (brauser, meiliklient või mõni muu rakendus) loob ühendust serveriga, siis tahab ta veenduda, et tegemist on tõepoolest selle serveriga, millega ühendust luua soovitakse. Et klient seda teha saaks, saadab server kliendile oma digitaalse tõendi (sertifikaadi), kus on põhimõtteliselt kirjas: „Käesolevaga tõendan, et selle sertifikaadi esitaja on tõepoolest server pank.ee.“

Kuid igaüks võib ju nii öelda? Nagu hunt kitsetalledele? Kuidas klient teab, et server ei valeta ja tegemist on tõepoolest pank.ee serveriga?

Sertifikaat, mida klient tegelikult usaldada saab, pole niisama tõend, vaid digitaalse notari (CA – Certificate Authority) poolt ka allkirjastatud. Kliendi usaldus rajaneb ainult sellel allkirjal – kui digitaalse notari allkiri serveri sertifikaadil on õige ja hetkel ka kehtiv, siis usaldab klient ka sertifikaadis olevat infot. Kui sertifikaadil puudub usaldusväärse notari allkiri või on see aegunud, sertifikaati ei usaldata ja ühendus katkestatakse.

Kuna usaldus rajaneb ainult notarite allkirjadele, siis on info usaldusväärsete notarite kohta ülihästi valvatud. See info (so notarite sertifikaadid) on tüüpiliselt kaasas iga op-süsteemiga ning notarite lisamine usaldusväärsete hulka on väga pikk ja keeruline protsess.

Oletame, et turule tuleb uus digitaalne notar ning läbib mõne aastaga ka sertifitseerimisprotsessi ning tema sertifikaat saab usaldusväärsete hulka lisatud. Millal kõik opsüsteemide tootjad selle info oma uuendustega kaasa panevad? See võib võtta omakorda aastaid ja see lahendab probleemi ainult nende süsteemidega, mis uuendusi ka saavad. Internetis on igapäevaselt kasutusel ka sadu miljoneid seadmeid, mis enam uuendusi ei saa ning selleks läheb omakorda aastaid kuni nende kasutamine lõpetatakse. Realistlikult peaks uus diginotar ootama ca 10 aastat, enne kui ideest teostuseni ehk sertifikaatide allkirjastamiseni jõuab.

Just selle probleemiga seisis silmitsi Let’s Encrypt, kui ta asutajad 2012. aastal tasuta sertifikaatide pakkumise idee realiseerimisega algust tegid. Ometi jõudsid nad sertifikaatide väljastamiseni juba 2015. aasta sügisel. Kuidas?

Let’s Encrypt kasutas ära juba olemasolevaid notareid. Kliendid on seni usaldanud Let’s Encrypt poolt allkirjastatud sertifikaate kahel juhul:

1) Neil on info, et Let’s Encrypt sertifikaat „ISRG Root X1“ ning sellega allkirjastatud serveri sertifikaadid on usaldusväärsed. Need on süsteemid, mis on saanud diginotarite info uuendusi pärast 2015. aastat.

2) Neil on info, et diginotarid, mis on allkirjastanud Let’s Encrypt sertifikaadi „IdentTrust DST Root CA X3“, on usaldusväärsed. Sellega tagati Let’s Encrypt sertifikaatide usaldusväärsus ka neile opsüsteemidele ja rakendustele, mida 2015. aastal enam ei uuendatudki.

Mis siis 30. septembril täpsemalt juhtub?

Valdava enamuse Zone klientide jaoks ei juhtu midagi. Siis aegub „IdentTrust DST Root CA X3“ sertifikaat ning sellega kaotavad kehtivuse kõik sellega antud allkirjad. Kõik kaasaegsed opsüsteemid, brauserid jm rakendused saavad Zones majutatud veebe ja muid rakendusi probleemivabalt edasi kasutada. Probleeme võib tekkida AINULT siis, kui soovitakse kasutada opsüsteeme või brausereid, mis pole pärast 2015. aastat uuendusi saanud.

NB! Täpsemat infot probleemsete opsüsteemide ja rakenduste kohta leiab aadressilt https://letsencrypt.org/docs/certificate-compatibility/ – KÕIK süsteemid, mis on üles loetletud sektsioonis “Platforms that trust ISRG Root X1”, saavad probleemivabalt ühendust Let’s Encrypt sertifikaate kasutatavate serveritega ka pärast 30. septembrit.

Küll aga pole Let’s Encrypt sertifikaadid enam usaldusväärsed süsteemidele, mis ei tea „ISRG Root X1“ sertifikaadist midagi – so peamiselt vanad opsüsteemid, mis pole pärast 2015. aastat uuendusi saanud. Mida teha, kui on soov sellise süsteemiga Zones asuvat serverit edasi kasutada?

Kui sul on selline süsteem ja soovid Let’s Encrypt sertifikaadiga veebilehti ja -rakendusi edasi kasutada, siis on võimalus lisada „ISRG Root X1“ ise käsitsi süsteemi. Täpsemad juhised sõltuvad süsteemist ja veebiotsing võtmesõnadega “add root ca” koos sinu süsteemi või rakenduse nimega aitab kindlasti.

Kui sa oled Zones serveris asuva veebi omanik, kasutad praegu Let’s Encrypt sertifikaati, kuid sinu klientidel või sul endil on millegi pärast palju selliseid vanu süsteeme, siis on võimalik loobuda Let’s Encrypti kasutamisest ja võtta kasutusele mõne teise diginotari sertifikaat. Need on küll tasulised, kuid neid usaldavad ka vanemad seadmed.

Kui jääd hätta, siis abistab sind meie klienditugi.