Ettevaatust! Vana pettus uues kuues

Euroopa Liidu tippdomeeni registrit pidav EURid hoiatab eksitavaid kauplemisvõtteid kasutavate agressiivsete petturite eest, kes üritavad rahvuslikes tippdomeenides (nagu .EE) domeene omavatele isikutele kaubamärgi kaitsmise kattevarjus peale suruda EU-lõpulisi domeene.

Petturite skeem on lihtsakoeline ja meile jõudnud ilmselt Aasiast, kus seda praktiseeritud juba väga pikka aega. Lühidalt kokkuvõttes näeb see välja järgmine:

Ühel päeval saab ettevõtja, kes omab näiteks domeeni MILJONIVAADE.EE ootamatult kirja, milles end kaubamärkide ja intellektuaalse omandi kaitse spetsialistina tutvustav isik annab teada, et tema poole on pöördutud MILJONIVAADE.EU nimelise domeeni registreerimise sooviga, aga “heatahtlik” spetsialist on otsustanud esmalt pöörduda MILJONIVAADE.EE omaniku poole, et pakkuda hoopiski tollele võimalust .EU nimi mõistliku hinna eest endale saada. “Spetsialist” rõhutab, et aega selleks on aga vähe. Reaalsus on loomulikult see, et mingit tegelikku MILJONIVAADE.EU huvilist ei ole ja ka “mõistlik hind” ei pruugi kuigi soodne olla.

Tegemist on klassikalise ebaausa kauplemisvõttega, millesarnaste kirjeldusi leiab mitmeid näiteks meie Tarbijakaitse kodulehelt https://www.tarbijakaitseamet.ee/et/tarbijale/ebaausad-kauplemisvotted.

Mida on oluline aga tähele panna on see, et kuna pakkumine tehakse reeglina ettevõttele, siis Tarbijakaitse siinjuhul pärast enam tehingust taganeda ei aita. Sellegipoolest soovitab EURid sellise pettuse ohvritel teavitada sellest oma riigi ametivõime.

Loomulikult soovitab EURid kasutada domeenide registreerimiseks usaldusväärseid akrediteeritud registripidajaid, kelle hulka kuulub ka Zone.

P.S. Seda postitust üle lugedes tekkis tunne, et oleksin sellest nagu varem kirjutanud ning etskae – pea täpselt kümme aastat tagasi kirjutasin siinsamas hoiatuse Soome kohta, kus siis seda skeemi prooviti: https://blog.zone.ee/2008/04/07/rehepaplusest-domeeninimede-abil/ ja veelkord etskae – toona on teemat kommenteerinud keegi Peeter Marvet, kellest tänaseks on saanud meie blogi üks peamiseid kirjatsurasid! 🙂

30. juunist jõustub e-kaubanduse jaoks oluline HTTPS nõue

Käesolev blogipostitus on peatähtis läbi lugeda neil, kes tegelevad oma kodulehe vahendusel kaubandusega, kuid see on kindlasti oluline teadmiseks võtta ka teistele.

30. juunist ei luba Payment Card Industry Data Security Standard (PCI DSS) makseandmeid käsitlevate veebilehtede omanikel enam kasutada aegunud SSL/TLS turvastandardeid.

Selliste lehtede haldajad peaksid 30. juuniks veenduma, et nende HTTPS ühendused oleksid seadistatud järgmiselt:

1) SSL standardi kasutus peab olema täielikult keelatud;
2) kasutusel olev TLS protokoll peab olema vähemalt 1.1 või uuem.

Zone klientidel on hetkel seis selline:

1) SSL standardi kasutus on täielikult keelatud;
2) vaikimisi kasutusel olev TLS protokoll on 1.0 või uuem.

Rõhutan, jutt on konkreetselt SSL standardist! SSL-i terminit kasutatakse nii meil kui mujal (valesti) iseloomustamaks paljusid turvatud ühendusi, kuigi enamik neist põhineb tänapäeval juba TLS standardil.

Meie hoolsatel, turvateadlikel ja standardiga ühilduvust soovivatel klientidel on aga võimalus haldusliideses paari klikiga keelata vanemate TLS versioonide kasutamine. Selleks tuleb Virtuaalserveri haldusliideses Veebiserveri seadete alt muuta sätet “Luba aegunud TLS versioonide kasutamine”.

Võib kerkida küsimus, miks me TLS 1.0 kasutust üldiselt ära ei keela? Põhjus peitub selles, et interneti sügavustes eksisteerib veel mitu kihti internetti, üks neist on nö “asjade internet” ja teine “skriptide internet”. Need on internetikihid, millel püsib hoomamatu hulk meid ümbritsevaid protsesse ja milles iga suurem muudatus tähendab meie klientide jaoks ettearvamatuid tagajärgi.

Asjad, mis TLS 1.0 keelamisega võivad näiteks veebile ligipääsu kaotada:

* vanemad mobiiltelefonid;
* vanemad või odavamad käsiterminalid;
* vanemad või odavamad multimeediakeskused;
* vanemad operatsioonisüsteemid ja nende veebilehitsejad;
* vanemad skriptid ja programmid.

Ülevaatlikku tabelit erinevate seadmete TLS ühilduvusest üritab pakkuda muuhulgas GlobalSign.

Üks sarnane varasem iidvana protokolli toe lõpetamine on meie jaoks  näiteks lõppenud kõnega ühest logistikafirmast, mille käsiterminalid lõpetasid lennujaamas töö.

Erinevatel andmetel moodustab TLS 1.0 liiklus hetkel 5-11% kogu HTTPS-i abil turvatud ühenduste mahust.

Seetõttu oleme otsustanud, et jätame vanema TLS versiooni (TLS 1.0) kasutamise keelamise esialgu kliendi otsustada ning lükkame selle vaikimisi välja lülitamise veidi edasi, kuni teadlikkus on klientide hulgas veidi kasvanud.

Põhjus, miks PCI on otsustanud vanemate turvastandardite toetamise keelata peitub nende vanuses.

SSL (Secure Sockets Layer) on standardina olnud maha kantud juba tükk aega tagasi, kuid lühend ise elab turvatud ühendusi sümboliseeriva terminina inimeste teadvuses veel edasi. Reaalsuses lasti selle standardi viimane suurem versioon välja 1996. aastal ning aastast 2015 on selle kasutus sisuliselt keelatud (https://tools.ietf.org/html/rfc7568).

SSL-i asendas 1999. aastal standard TLS (Transport Layer Security) versiooniga 1.0 ning sellele on järgnenud versiooniuuendused 1.1 (2006 aastal) ja 1.2 (2008 aastal). 2018. aasta märtsist eksisteerib, peale pikka ja vaidlusterohket arendustööd, standardi mustandina ka TLS versioon 1.3, kuid selle laiemasse kasutusse jõudmine võtab veel veidi aega.

Mõlemad on olnud haavatavad tänu mitmetele nõrkustele, mis kandnud vahvaid nimesid nagu POODLE, BEAST, FREAK, BREACH, CRIME jt ning nende ja muude selliste aukude lappimine ei ole lihtsalt jätkusuutlik.

Nüüd saadaval kauaoodatud .APP domeenid

Maailmas laineid lööv .APP tippdomeen on saadaval ka Zone.ee klientidele.

.APP (loe: äpp) tippdomeeni nimeruum on eelkõige suunatud veebi-, mobiili- või töölauarakenduste pakkujatele ja arendajatele. APP-lõpuliste domeenide registrit pidav Google loodab, et selline veebiaadress aitab inimestel lihtsamini ja kiiremini leida neile olulisi rakendusi ning saada nende kohta infot.

Ühtlasi on .APP üks esimestest tippdomeenidest, mis tunnistab vaikimisi vaid HTTPS (HTTP+TLS) tehnoloogia abil turvatud veebiühendusi. Nimelt on kogu tippdomeen kantud kõikidesse populaarsematesse veebilehtisejatesse eellaetud HSTS (HTTPS Strict Transport Security) poliitika nimekirja. Krüpteerimata veebiteenuseid ei ole sellises tippdomeenis sisuliselt võimalik avalikult pakkuda.

Eelnev teeb muuseas .APP tippdomeenist hea partneri meie Virtuaalserverile, mille puhul on turvalised ja krüpteeritud HTTPS ühendused juba pikemat aega teenuse vaikesätteks ning tasuta Let’s Encrypt TLS sertifikaat olemas igale veebisaidile.

Üleilmselt on .APP tippdomeen hästi vastu võetud, avalikule registreerimisperioodile eelneval piiratud ja kallil eelregistreerimiste etapil on juba registreeritud üle 8000 uue .APP domeeni. Lähipäevadel on ilmselt oodata kümneid tuhandeid uusi registreerimisi.

TÄHELEPANU! .APP domeenid on nüüd vabalt registreeritavad, kuid tulenevalt regulatsioonist peab registreerija oma domeenisoovi peale Zone lehe kaudu tellimuse esitamist ka täiendavalt kinnitama. Selleks jõuab registreerija postkasti Zone nimel inglisekeelne sõnum pealkirjaga “Authorization needed for application of the domain name”, millele tuleb kindlasti reageerida. Vastasel korral taotlus tühistatakse.

Uus arendajasõbralikum veebilogide haldamise kord

Veebiserveri logide haldamise kord on Zone tarkvaraplatvormis läbimas ulatuslikku reformi, mis loob meie arendajatest klientidele uusi väärtuslikke võimalusi. Käesolevas blogipostis kirjutan uuest korraldusest lähemalt.

Uue korra kohaselt on Virtuaalserveri teenuse kliendi käsutuses reaalajas uuenevad veebiserveri logid. Kui varasemalt uuenes reaalajas vaid probleemide tuvastamiseks vajalik vealogi (Error Log) ning päringute logi pakkusime arhiivina, siis nüüdsest on klientide käeulatuses reaalajas uuenev päringute logi (Access Log).

Veebiserveri logid leiab klient Virtuaalserveri ‘logs’ kataloogist. Logimisel tehakse vahet turvamata ja turvatud ühendustel, mis salvestatakse eraldi failidesse (apache.ssl.access.log ja apache.access.log).

Virtuaalserveri alamdomeenide vea- ja päringulogid kombineeritakse peadomeeniga. Päringuid on võimalik logis üksteisest eristada sedaläbi, et iga rida algab seda konkreetset päringut teenindanud hosti nimega.

Veebiserveri logi kirje formaat põhineb Apache Combined Log’il. Kasuliku ja unikaalse lisavõimalusena paneme me PHP päringute puhul logisse kirja ka selle unikaalse identifikaatori ning PHP koodi töötlemisele kulunud aja (‘wallclock’ sekundites). Need aitavad arendajatel oma rakenduste jõudlust paremini monitoorida ning meil ühiselt probleeme ‘troubleshoot’-ida.

Juhin tähelepanu asjaolulule, et logiridade kronoloogiline järjestus ei ole absoluutne – aeglasemad päringud võivad järjestuses sattuda oma noorematest, kuid kiirematest sõsaratest tahapoole.

Logisid roteeritakse endiselt Zone poolt, kuid vaikimisi säilitatakse kliendi Virtuaalserveris nüüd viimase nelja päeva logisid. Need asuvad failides mille nimed on kujul apache.ssl.access.log.[1-4].gz. Eelmise päeva logi on seega alati failis apache.ssl.access.log.1.gz.

Kui kliendil on soovi oma logisid arhiveerida, siis on tal võimalik neid endale kopeerida enda seadistatud crontab’i töö abil, mis käivituks näiteks kell 00:10, arhiveeriks nii HTTP kui HTTPS logid ka kustutaks logid mis vanemad kui 30 päeva:

mkdir -p [[$D2ND_A]]/logs-archive/ && cp [[$D2ND_A]]/logs/apache.access.log.1.gz [[$D2ND_A]]/logs-archive/apache.access.log.$(date +%Y%m%d).gz && cp [[$D2ND_A]]/logs/apache.ssl.access.log.1.gz [[$D2ND_A]]/logs-archive/apache.ssl-access.log.$(date +%Y%m%d).gz && find [[$D2ND_A]]/logs-archive/ -mtime +30 -delete

Alates PHP versioonist 7.0 logitakse meil sarnasel printsiibil ka PHP tegevust. Varasematesse PHP versioonidesse sellist logimise tuge meil ei tule, seega on viimane aeg PHP ‘retro’ versioonidest loobuda.

Vana korra järgi seadistatud klientidel on võimalik uuele logide kasutuskorrale üle minna vabatahtlikult Virtuaalserveri seadistuses tehtava valiku kaudu.

Uue logide haldamise korra opt-in

Ühel hetkel lõpetame vana korra toetamise ära, kuid see ajakava ei ole veel paigas.

UPDATE: Tasub veel ära mainimist, et muutunud on ka Apache vealogide (ErrorLog) nimetused on nüüd apache.error.log ja apache.ssl.error.log. Nende roteerimise kohta kehtib kõik ülaltoodu.

Brexiti ohvriks võib langeda üle 300 000 domeeni

Seal kus kohtuvad poliitikud ja internet, hakkavad reeglina laastud lendama. Seekord pillub pilpaid laiali protsess nimega “Brexit”.

Hetkest, mil keskmine Suurbritannia valija otsustas end Euroopa Liidu küljest lahti haakida ning saareriigi vööri ulgumere poole keerata, tekkis paljudel eurooplastest internetihuvilistel küsimus, mis saab brittide poolt registreeritud EU-lõpulistest domeeninimedest? Aluseks asjaolu, et Euroopa Komisjoni regulatsiooni Nr 733/2002 artikli 4(2)(b) järgi võivad .EU domeene registreerida vaid isikud, kes resideeruvad Euroopa Liidus.

Sel nädalal on Euroopa Komisjon otsustanud selleteemalistele oletustele lõpu teha. Nimelt on komisjon välja andnud kommünikee (https://ec.europa.eu/info/sites/info/files/notice_to_stakeholders_brexit_eu_domain_names.pdf), milles väljendatakse seisukohta, et Suurbritannia lahkumise järel Euroopa Liidust, 30. märtsil 2019, ei ole brittidel enam õigust registreerida või pikendada .EU domeeninimesid.

Brexit

Kui otsus puudutaks vaid uute domeenide loomist, oleks olukord küllalt sirgjooneline, kuid komisjon ütleb selgelt, et mõjutatud on ka eksisteerivad domeenid, mida samuti enam pikendada ei tohi. Britid va võrukaelad on aga registreerinud kõvasti üle 300 000 EU-lõpulise domeeninime, mis moodustab ca 8% kõigist .EU domeenidest. See on märkimisväärne number.

Mida brittidel selles olukorras teha, kus nende ettevõtte või organisatsiooni interneti-identiteet käest võetakse?

Esimene ja robustseim variant on kiiresti loobuda .EU domeeninime kasutamisest, kaks aastat on piisavalt pikk periood mille jooksul on võimalik uus identiteet edukalt kehtestada. Kui otsus tehtud, siis venitamine ei oleks kindlasti kasulik, kuna uue domeeninimede leitavusel ja usaldusväärsusel otsingumootorite silmis on kuuldavasti ka ajaline mõõde.

Teine variant on leida endale Euroopast partner, kelle nimele domeen ümber registreerida. On täiesti kindel, et sellist teenust on peagi valmis pakkuma nii mõnedki advokaadibürood või registripidajad.

Kolmas variant on oodata ja kannatada, sest poliitikutele kohaselt on komisjon loomulikult endale lahti jätnud taganemistee – otsust võivad mõjutada edasiste läbirääkimiste käigus sõlmitavad lepped. Ei ole sajaprotsendiliselt välistatud, et läbirääkimiste käigus astutakse suuremeelselt mõned sammud tagasi.

Neljas variant on pikendada oma domeen kohe 10-ks aastaks ära ja siis rahulikult oma võimalusi kaaluda. Isiklikult on mul raske ette kujutada, et domeene, mis on kümneks aastaks pikendatud, hakataks enne registreerimisperioodi lõppu kustutama.

Jätkame huviga kujuneva olukorra jälgimist.