Veel TLS uuendustest

Mõned postitused tagasi kirjutasin siin TLS (Transport Layer Security) pärandversioonide hülgamisest ja TLS versiooni 1.3 kasutuselevõtust. Tänaseks on kõik sellega seotud tööd meie platvormis teostatud –
tarkvaraplatvorm toetab vaikimisi vaid parimatele praktikatele vastavaid protokolliversioone (1.2 ja 1.3), kuid oleme klientidele loonud võimaluse ajutiselt pärandversioonide (1.0 ja 1.1) tuge sisse lülitada (vt allolevat illustratsiooni 1).

Illustratsioon 1

Rõhutan siiski, et pärandversioonide kasutamine ei ole pikas perspektiivis jätkusuutlik ja põhjustab meile palju peavalu. Näiteks annavad täna mitmed infosüsteemide võrgupinu turvalisust hindavad skännerid meie klientide saitidel TLS 1.0 ja TLS 1.1 versioonide kasutamise kohta valepositiivseid hinnanguid ka siis, kui neid reaalselt ei kasutata.

Ainus pikas perspektiivis mõistlik lahendus on uuendada oma veebilehtede poole pöörduvat riist- ja tarkvara nii, et toetatud oleks ainult aktuaalsed TLS versioonid.

Veelkord ka ID-kaardiga autentimisest.

Nagu ka varem mainitud, siis TLS 1.3 kasutuselevõtuga muutus Eesti ID-kaardi autentimise kasutamine veebiserveris tehniliselt keerukamaks, sest autentimise nõudmine kataloogi tasandil ei ole enam praktiliselt võimalik.

Kuna ID-kaardi kasutuselevõtu seadistamine serveritasandil on   nüansirikkam teema, siis otsustasime selle keerukuse kasutaja eest veidi ära peita. Nii lõid meie tarkvaraarendajad Minu Zone haldusliidesesse uue “linnukese”, mille abil saab ID-kaardiga autentimise nõuet haldusliideses mõne klikiga sisse lülitada (vt ülalolevat illustratsiooni 1). Samuti on klientidel võimalik sealsamas sisse lülitada tuge tarkvaraarenduses kasutatavale testkaartidele.

Pärandversioonide juurest sujuvalt pärandteenuste juurde.

Oma esimese avaliku teenusena alustas Zone 1999. aastal tasuta veebimajutusteenuse pakkumist. Algselt said selle kasutajad endale kodulehe kujuga zone.ee/kasutajanimi, hiljem web.zone.ee/kasutajanimi.

Kasutajate nõudmiste kasvades jäi see teenus ajale jalgu ja lõime entusiastide ning õppurite jaoks hoopis Planet.ee keskkonna, mistõttu vanasse tasuta veebimajutusteenusesse kasutajate vastuvõtmine lõpetati.

Meie tehnikud otsustasid aga, et üldisele infoturbeolukorrale tuleb kasuks, kui tirime ka oma tasuta veebimajutuse pärandteenuse 21. sajandisse ja paneme selle “sõjaratsu” tööle üle turvalisema HTTPS protokolli.

Selleks tegime veelkord ühe kiire vangerduse ja võtsime HTTPS toe lubamiseks web.zone.ee nime asemel kasutusele nime webzone.ee.

Vanad aadressid suunatakse nüüd sujuvalt HTTPS ühendusele ümber.

.EE oksjon: spekulandid söönud, lambad terved

Homme 26. märtsil alustab tööd Eesti tippdomeeni oksjonikeskkond, mille loomise kava mõned aastad tagasi siin raevukalt kritiseerisin. Järgnevalt kirjeldan, mis esialgsest plaanist saanud on ja paljastan, miks olen oma meelt muutnud.

Teatavalt on Eesti tippdomeeni haldav Eesti Interneti SA öelnud, et nende eesmärk vabanevate domeenide oksjonikeskkonna loomisel on võidelda spekulantidega. Need on ettevõtted ja ettevõtjad, kes rakendavad oma keskmisest paremat tehnoloogilist võimekust selle nimel, et võimalikult kiiresti uuesti registreerida värskelt registrist kustutatud atraktiivseid domeene ning üritada seejärel neid senisele omanikule või uuele huvilisele korraliku vaheltkasuga edasi müüa.

Spekulantide tegevuses ei ole küll otseselt midagi ebaseaduslikku ja nad täidavad omamoodi metsasanitari rolli, kuid vaieldamatult toob nende tegevus endaga domeenide turul kaasa ebavõrdsuse. Põhjuseks asjaolu, et need kel vabanevate domeenide vastu suur huvi, kuid tehnilised oskused kesised, jäävad enamasti vabanevate domeenide püüdmisel kaotaja rolli.

Eriti suureks läheb lõhe tavaregistreerija ja spekulandi vahel siis, kui viimane teeb vahetut koostööd mõne registripidajaga või on ise registripidaja – siis omandab ta võime domeenide taasregistreerimisel mängida tundide ja minutite asemel millisekundite dimensioonis.

Vastloodud oksjoniruumiga plaanitakse võitlustandrit tasandada. Keskkonda pannakse 24 tunniks üles kõikide selliste EE-lõpuliste domeenide taasregistreerimise eelisõigused, mida domeeni senine omanik  ei ole pikendanud.

Eelisõiguse oksjonile panek tähendab, et EIS ei registreeri oksjoni võitjale soovitud domeeni, vaid see reserveeritakse võitja nimele ning tollel on õigus domeen enda poolt valitud registripidaja juures esmajärjekorras registreerida.

Ülaltoodust tulenevalt on domeeni omandamise kogukulu oksjonil omandatud eelisõiguse eest välja käidud tasu ja registripidaja tavapärase teenustasu summa.

Eelisõiguse alghinnaks on 5€, millele lisandub käibemaks. Oluline on tähele panna, et domeeni senine omanik eelisõiguse müügist mingit osa endale ei saa.

Kui domeen endale ööpäeva jooksul omanikku ei leia, siis vabaneb see kõigile registreerimiseks tavahinnaga.

Nüüd jõuamegi sujuvalt minu varasema intensiivse kriitikani. Kui vabanevate domeenide oksjonist oleks kujunenud Osta.ee, eBay või Sedo sarnane kauplemiskeskkond, nagu Eesti Interneti SA justkui algselt plaanis, siis ei oleks see kindlasti registri poolt seatud eesmärke täitnud.

Tõsised spekulandid, kelle mõju domeeniruumile neutraliseerima mindi, oleksid hakanud EPP asemel lihtsalt rippuma oksjonikeskkonna küljes ja oma tehnoloogilist arsenali täiendanud uute sobivate skriptidega. Kuid lisaks oleks nende ärimudelile sisendiks pakutud veel oksjonikeskkonnast saadavat nõudlust puudutavat infot. Ainus suurem vahe varasema olukorraga võrreldes, oleks olnud registri poolt spekulantidelt teenitav kümnis oksjonitasude näol.

Õnneks võttis EIS meie ja teiste registripidajate tagasisidet tõsiselt, mistõttu oksjon läks küll käiku, kuid selle vorm sai kokkuvõttena palju nutikam.

.EE domeenide oksjoni vormiks on pimeoksjon. Oksjonile minevate domeenide nimekiri avaldatakse oksjoni alguses (00:00) Eesti Interneti SA lehel ja kõigil huvilistel on ööpäeva jooksul (kuni 23:59) võimalik teha soovitud domeenile oma pakkumine. Jooksvat pakkumiste arvu ja sisu ei avalikustata, teatavaks saab vaid võitja pakkumine. Ühegi pakkuja, sealhulgas ka võitja, isikut ei avalikustata.

Ülalkirjeldatu tagab, et domeeni saab endale see, kes näeb sel enda jaoks kõige suuremat majanduslikku väärtust, mitte see, kellel on kõige kavalam skript, kiired näpud või nahaalsust oksjoniga manipuleerida. Pakkumisi võivad loomulikult jätkuvalt teha ka spekulandid ja nende vahel tekib nüüd tõenäoliselt senisest veel suurem konkurents.

Seega, spekulandid söönud ja lambad ka terved. Minule see printsiip sobib!

Domeen on oksjoni võitjale 14 päevaks reserveeritud. See tähendab, et oksjoni võitjal on võimalik registreerida domeen eelisjärjekorras järgmise 14 päeva jooksul. Kui ta seda ei tee, läheb domeen uuesti ööpäevaks oksjonile.

Oksjoni võitja saab pärast tasumist oma valdusesse domeeni reserveerimiskoodi, millega saab ta vabalt valitud registripidaja juures vormistada võidetud domeeni registreerimise. Sellele tehingule lisandub lõpuks registripidaja hinnakirja alusel registreerimisteenuse hind.

Domeeni registreerimise protsess on oksjonilt võidetud eelisõiguse puhul sarnane tavapäraselt reserveeritud domeeni registreerimisele. (nt valdadele, linnadele reserveeritud domeenid).

Oksjonikeskkond asub aadressil: https://auction.internet.ee/

Oksjonikeskkonna kasutamise täpsed tingimused on kättesaadavad Eesti Interneti SA kodulehel https://www.internet.ee/domeenid/domeenide-oksjonikeskkonna-kasutajatingimused.

Lisa: Tegime oksjonihuvilistele Zone veebi ülevaatliku infolehe, mille kaudu saavad ühtlasi võitjad meiega ühendust võtta, et oma eelisõigust realiseerida   https://www.zone.ee/et/domeeni-registreerimine/ee-domeeni-oksjon/

Artikkel 13: Lõkked on süüdatud, Gondor on ohus!

Ilmselt on vähe inimesi, kel hoiatuslõkete süütamise stseen Peter Jacksoni fantastilises “Sõrmuste isanda” filmi-triloogias ei paneks külmavärinaid mööda selga jooksma. Filmis kandsid nimelt seitse mäetippudel läidetud hiiglaslikku lõket hoiatust ja abipalvet rünnaku ohvriks langenud Minas Tirith’ist Rohani ratsanikele.

Jääb üle vaid kahetseda, et Euroopa interneti-kogukonnal pole varnast võtta nii eepilist protokolli oma hoiatuse edastamiseks Brüsselist siia Tallinnasse. Kindlasti aitaks see sõnumi kõlale kõvasti kaasa. Aga õnneks on meil vähemalt ISOC-i Eesti haru ja nende Facebooki leht.

Olgu selle vormiga kuidas on, aga sõnumi sisu on üheselt mõistetav: Brüsselit piiravad huvi- ja lobigrupid on meie oma maavillase Sarumani juhtimisel nakatamas Euroopa Liidu õigussüsteemi oma versiooniga ühisturu autoriõiguste direktiivist 2016/0280, mis  artikli 13. tänases sõnastuses lubab väidetavalt internetis kehtestada masintsensuuri.

Meie siin Zones peame oma missiooniks edendada informatsiooni edastamist, töötlemist ja säilitamist internetis. Autoriõiguste direktiiv, mis iseenesest on positiivne algatus, pärsib tänu 13. artikli praegusele sõnastusele seda missiooni, sest sunnib meielaadseid infoühiskonna teenuste loojaid automaatselt valima, kellelt ja millist informatsiooni internetti lubada. See ei tundu meile õige.

Kui see tundub ka sulle kahtlane, siis loe mida on ISOC-i eestvedajatel sulle öelda ja kiika üle ka vastuargumendid.

Kui lugeda ei viitsi, siis vaata mida ütleb meie oma Galadriel 🙂

Üks võimalus oma meelt avaldada oma juba homme Vabaduse väljakul, ISOC-i haru korraldataval kogunemisel.

Zone kroonika: 2018

Meil on taas kätte jõudnud aeg võtta kokku möödunud majandusaasta ja nagu traditsiooniks saanud, siis annan siin blogis eelmise aasta tegemiste kohta veidi põhjalikuma ülevaate kui see, mis aastaaruandesse kirja läheb.

 

GDPR

Aasta esimeses pooles panustasime jõuliselt isikuandmete kaitse üldmäärusega seotud teavitustegevusse ja klientidele sellega ühilduva teenuskeskkonna loomisesse, mis tõi endaga kaasa muutusi kogu organisatsiooni üleselt. Muuhulgas juurutati täiendatud infoturbepoliitika ja kohandati kliendilepinguid.

Peeter, kes Zone andmekaitsespetsialistina omandas ka Andmekaitse Inspektsiooni poolt tunnustatud kvalifikatsioonitunnistuse Tallinna Ülikoolist, käis selle valdkonna evangelistina jagamas oma tarkusi mitmetel erialaüritustel ning jagas oma teadmisi ka siin blogis.

Tema töö tulemusena valmis meie veebi jaoks ka ülevaatlik infokogum, mis annab põhjaliku ülevaate nii Zone kui ka meie klientide õigustest ja kohustustest andmekaitse üldmääruse kontekstis ning infoturbest Zones üldiselt: https://www.zone.ee/et/lepingud/isikuandmete-kaitse-gdpr/.

Domeenindus

Hea meel on tõdeda, et domeeninduses kujunes 2018. aasta positiivselt stabiilseks ja möödunud aastate eufooriale järgnenud depressioon sai läbi. Eesti tippdomeenis registreeritud domeenide arv on tõusuteel ja meie turuosa on võrreldes eelmise aastaga samuti veelkord kasvanud.

Zone poolt teenindavate domeenide arv läheneb vääramatu järjekindlusega kuuekohalisele arvule. Globaalses mõõtkavas vähetähtis number, kuid meile südamelähedane.

Erakordselt hea aasta oli .EU tippdomeenil, mille registreerimiste arv tegi Zones eelmisel aastal ühe oma kõigi aegade tipptulemustest.

Kahjuks varjutab seda Brexit-i ümber toimuv. Olen ka varem viidanud sellele, et poliitika ja interneti segamisel tekkival kokteilil on tihti paha lõhn juures – kahjuks leidis see tõdemus taas kinnitust. Nimelt viibutab (vastupidiselt meie ootustele) Euroopa Komisjon jätkuvalt Suurbritannia kodanikest .EU registreerijate suunal ähvardusega hakata domeene registreerijatelt ära võtma, mis võiks kõige halvema stsenaariumi kohaselt juhtuda juba 30. mail käesoleval aastal. Plaanime omalt osalt juba lähiajal võtta ühendust nende klientidega, keda Euroopa Komisjoni otsus puudutaks, et pakkuda neile omapoolset abi.

Eesti tippdomeenis suuri mullistusi ei toimunud, mis on väga positiivne. Domeenidega spekuleerimisele leevendust lubav oksjonikeskkond, mille arendamisel arvestati tänuväärselt palju ka registripidajate arvamusega, pidi küll esialgse kava kohaselt aasta lõpuks valmima, aga kuna testiperioodi otsustati pikendada, siis käivitub see alles alanud kevadel.

IT

IT valdkonna tehnikutel, arhitektidel ja programeerijatel oli Zones möödunud aasta tegevusterohke.

Üks suurimaid edasiminekuid oli uue, unikaalse e-posti platvormi juurutamine, mis on eelmisega võrreldes palju kiirem, turvalisem ja võimalusterohkem. Platvormi südameks sai Andrise eestvedamisel loodud e-posti server Wildduck. Eelnevalt uurisime põhjalikult turul saadaolevaid vabasid ja kommertstingimustel pakutavaid e-posti lahendusi, nende positiivseid ning negatiivseid külgi, kuid jõudsime lõpuks siiski äratundmisele, et maailmatasemel e-posti teenusepakkujate, nagu Google ja Microsoft, teenustega konkureerimine ei ole innovatsiooniriski võtmiseta lihtsalt võimalik. (Soovitan lisalugemisena Andrise blogiposti “Kuuldused e-posti surmast on jätkuvalt liialdatud”).

Loodetavasti saan sellele platvormile ehitatud uutest teenustest ja lisavõimalustest juba peagi siin rohkem kirjutada.

Uuest e-posti platvormist sai ühtlasi meie esimene teenus, mille vundamendiks on uus versioon Zone sisekasutuseks loodud Linuxi distributsioonist ZoneOS. Uue distro arenduse inspiratsiooniks oli CoreOS, mis omakorda põlvneb Gentoo Linuxist ja Google arendatavast Chrome OS operatsioonisüsteemist.

Uus distributsioon on optimeeritud serveriteenuste jaoks, pakkudes meile ühtaegu nii stabiilsust kui ka agiilsust, mis on vajalik selleks, et senisest tempokamalt reageerida muutuvatele kliendinõudmistele ja püsida kaasas tehnoloogiamaailma üha kiireneva tempoga.

Eelmise aasta lõpuks jõudis see distro meie MariaDB SQL serverite teenindusse ja tänaseks baseeruvad sellel juba meie uued Virtuaalservereid teenindavad veebiserverid ning Nutikad Privaatserverid.

Muude tegemiste hulgas uuendasime oluliselt oma populaarseimat veebimajutusteenust Virtuaalserver teenindavat serveriparki ja andsime sellega (Peetri mõõtmiste järgi) klientidele vähemalt 65% võrra vunki juurde, ilma et sellega oleks kaasnenud neile mingeid täiendavaid kulusid või ebamugavusi. Meie andmesidearhitektid paigaldasid hulgaliselt uut riistvara ja juurutasid oma haldusalas uusi vahendeid ja meetodeid. Algas üleminek uuele teenuste monitooringuplatvormile, et saada ja jagada teenuste kohta veel täpsemat infot. Nagu ikka periooditi juhtub, laiendasime oma majutuspinda.

Meie teenuste köögipoolel keeb ja podiseb kogu aeg.

Meil oli rõõm tervitada selle “supipoti” ääres ka hulgaliselt uusi “kokkasid”, nimelt liitus meiega rekordarv uusi töötajaid. Oli hea meel tervitada Atsi, Kristjanit, Sulevit, Gustavit, Martinit, Georgi, Erkit, Tanelit ja Lemmet!

Logo

Ja lõpetuseks tasub ehk mainida, et tänu Peetri eestvedamisele sai Zone 20. tegutsemisaastaks värskema ja dünaamilisema väljanägemise meie logo, mis nüüd näeb välja selline:

 

TLS pärandprotokollid ja TLS 1.3 mõju ID-kaardi kasutusele

Eelmises postituses kirjutasin PHP pärandvarast, täna teen juttu sarnasesse staatusesse jõudnud krüptograafilistest protokollidest. Täpsemalt tuleb jutt TLS (Transport Layer Security) protokolli versioonidest 1.0 ja 1.1, mis kinnitati standarditena vastavalt 1999. ja 2006. aastal.

Kui mäletate, siis eelmisel suvel arutasime Zone veebimajutusteenuse osas TLS versiooni 1.0 vaikimisi keelamist, kuna selle kasutamine ei vasta kehtivatele e-kaubanduse infoturbestandarditele (PCI DSS). Jätsime selle kasutamise kliendi otsustada. Järgmise sammuna lõpetame 1. aprillist 2019 oma veebimajutuses TLS versiooni 1.0 ja 1.1 vaikimisi toetamise. Lubame kliendil pärandprotokollide tuge ajutiselt ise “käsitsi” sisse lülitada.

Mõnedes ringkondades küsitakse, miks selliseid vanu krüptoprotokolle sellelgi moel veel toetada? Ka meile oleks palju lihtsam nende standardite toetamisest üldse loobuda, kuid reaalsuses sõltuvad tänagi mitmed meie kliendid seadmetest ja tarkvarast, mis valminud sajandivahetuse paiku või eelmisel aastakümnel ja nad vajavad üleminekuks aega. Samuti ei näita riskihinnangud nendes vanemates protokollides olevate nõrkuste reaalset ärakasutamist.

Globaalne progress on siiski meile ette andnud konkreetse tähtaja TLS 1.0 ja TLS 1.1 standarditest lõplikuks loobumiseks. Nimelt on suuremate veebilehitsejate arendajad teatanud, et brauseritest kaovad need versioonid lõplikult 2020. aasta märtsis. Võtame samuti selle tähtaja endale orientiiriks ja hiljemalt 2020. aasta märtsist ei saa TLS pärandversioone meie juures ka “käsitsi” sisse lülitada.

Aktuaalsete TLS versioonidena on meil täna toetatud TLS versioonid 1.2 ja osaliselt ka 1.3, mis on ametlikeks standarditeks saanud vastavalt 2008. ja 2018. aastal. Kuna viimase näol on tegemist verivärske standardiga, siis ei ole selle tugi veel kogu meie tarkvarasse jõudnud.

Mis toob mind ühe laiemalt teadvustamist vajava teema juurde. Nimelt selgus meil TLS 1.3 implementeerimise käigus huvitav asjaolu, mis võib lisaks meie klientidele mõjutada oluliselt kõiki Eesti internetikasutajaid:

TLS 1.3 standardi kasutuselevõtul lõpetab Eesti ID-kaardiga autentimine veebiserveri kataloogi tasandil töötamise!

Põhjuseks fakt, et suuremate veebilehitsejate tootjatest pole veel ükski juurutanud TLS 1.3 protokolli kätluse järgset autentimist (post-handshake authentication). Brauseritootjatel ei paista selle vastu olevat ka suuremat huvi – Chrome vastava bugiraporti leiab lehelt https://bugs.chromium.org/p/chromium/issues/detail?id=911653 ja Firefoxi oma https://bugzilla.mozilla.org/show_bug.cgi?id=1511989.

Sellest kitsaskohast saab ümber kahel moel:

• loobuda TLS 1.3 kasutamisest;
• viia ID-kaardiga autentimine kataloogi tasandilt üle veebiserveri virtuaalhosti tasandile.

Mõlemad meetodid on kirjeldatud Apache vastavas bugiraportis https://bz.apache.org/bugzilla/show_bug.cgi?id=62975.

Kuni brauseritootjad uut autentimismeetodit ei implementeeri, jääb eelpoolkirjeldatud ID-kaardi kasutusstenaarium sõltuma tänaseks kümme aastat vana TLS versiooni 1.2 edasisest püsimisest.

Omalt osalt otsustasime eeltoodu põhjal, et lubame TLS 1.3 kasutuse esialgu ainult oma uutes serverites. Nii ei tee me katki klientide olemasolevaid kasutuslugusid. Juhendame neid selle probleemiga tegelema hiljemalt siis, kui nad oma uuele serveriplatvormile üle viime.

Mis puudutab aga ID-kaarti, siis ilmselt tuleks otsustajatel Riigi Infosüsteemide Ametis (RIA) tõsiselt ja operatiivselt mõelda selle üle, kas ei oleks aeg leida veebiserveris kasutajate autentimiseks lahendusi, mis ei sõltuks ajale jalgu jäänud või tarkvaraarendajate põlualla sattunud meetoditest. Ja kui teispidi mõelda, siis oleks ju ka tore, kui meie rahvusliku PKI funktsionaalsus ei sõltuks Google Chrome arendajate suvast.