Kas Internet läheb katki?

30. septembril 2021 aegub Let’s Encrypt „DST Root CA X3“ sertifikaat ja teeb nii mõndagi internetis katki!“ Sellised uudised on pannud muretsema ka Zone kliente, sest valdav enamus meie klientide veebilehti kasutab just Let’s Encrypt sertifikaate.

Ütleme kohe siin alguses ära, et kui sa enam kui viis aastat vana operatsioonisüsteemi (Windows, Android) ei kasuta, siis ei lähe sul katki mitte midagi.

Kes ja kui palju muretsema peab ning mis täpselt ikkagi katki läheb, sellele püüamegi alljärgnevalt veidi valgust heita.

Kõigepealt natuke sellest, mis asi on üldse serveri sertifikaat.

Kui klient (brauser, meiliklient või mõni muu rakendus) loob ühendust serveriga, siis tahab ta veenduda, et tegemist on tõepoolest selle serveriga, millega ühendust luua soovitakse. Et klient seda teha saaks, saadab server kliendile oma digitaalse tõendi (sertifikaadi), kus on põhimõtteliselt kirjas: „Käesolevaga tõendan, et selle sertifikaadi esitaja on tõepoolest server pank.ee.“

Kuid igaüks võib ju nii öelda? Nagu hunt kitsetalledele? Kuidas klient teab, et server ei valeta ja tegemist on tõepoolest pank.ee serveriga?

Sertifikaat, mida klient tegelikult usaldada saab, pole niisama tõend, vaid digitaalse notari (CA – Certificate Authority) poolt ka allkirjastatud. Kliendi usaldus rajaneb ainult sellel allkirjal – kui digitaalse notari allkiri serveri sertifikaadil on õige ja hetkel ka kehtiv, siis usaldab klient ka sertifikaadis olevat infot. Kui sertifikaadil puudub usaldusväärse notari allkiri või on see aegunud, sertifikaati ei usaldata ja ühendus katkestatakse.

Kuna usaldus rajaneb ainult notarite allkirjadele, siis on info usaldusväärsete notarite kohta ülihästi valvatud. See info (so notarite sertifikaadid) on tüüpiliselt kaasas iga op-süsteemiga ning notarite lisamine usaldusväärsete hulka on väga pikk ja keeruline protsess.

Oletame, et turule tuleb uus digitaalne notar ning läbib mõne aastaga ka sertifitseerimisprotsessi ning tema sertifikaat saab usaldusväärsete hulka lisatud. Millal kõik opsüsteemide tootjad selle info oma uuendustega kaasa panevad? See võib võtta omakorda aastaid ja see lahendab probleemi ainult nende süsteemidega, mis uuendusi ka saavad. Internetis on igapäevaselt kasutusel ka sadu miljoneid seadmeid, mis enam uuendusi ei saa ning selleks läheb omakorda aastaid kuni nende kasutamine lõpetatakse. Realistlikult peaks uus diginotar ootama ca 10 aastat, enne kui ideest teostuseni ehk sertifikaatide allkirjastamiseni jõuab.

Just selle probleemiga seisis silmitsi Let’s Encrypt, kui ta asutajad 2012. aastal tasuta sertifikaatide pakkumise idee realiseerimisega algust tegid. Ometi jõudsid nad sertifikaatide väljastamiseni juba 2015. aasta sügisel. Kuidas?

Let’s Encrypt kasutas ära juba olemasolevaid notareid. Kliendid on seni usaldanud Let’s Encrypt poolt allkirjastatud sertifikaate kahel juhul:

1) Neil on info, et Let’s Encrypt sertifikaat „ISRG Root X1“ ning sellega allkirjastatud serveri sertifikaadid on usaldusväärsed. Need on süsteemid, mis on saanud diginotarite info uuendusi pärast 2015. aastat.

2) Neil on info, et diginotarid, mis on allkirjastanud Let’s Encrypt sertifikaadi „IdentTrust DST Root CA X3“, on usaldusväärsed. Sellega tagati Let’s Encrypt sertifikaatide usaldusväärsus ka neile opsüsteemidele ja rakendustele, mida 2015. aastal enam ei uuendatudki.

Mis siis 30. septembril täpsemalt juhtub?

Valdava enamuse Zone klientide jaoks ei juhtu midagi. Siis aegub „IdentTrust DST Root CA X3“ sertifikaat ning sellega kaotavad kehtivuse kõik sellega antud allkirjad. Kõik kaasaegsed opsüsteemid, brauserid jm rakendused saavad Zones majutatud veebe ja muid rakendusi probleemivabalt edasi kasutada. Probleeme võib tekkida AINULT siis, kui soovitakse kasutada opsüsteeme või brausereid, mis pole pärast 2015. aastat uuendusi saanud.

NB! Täpsemat infot probleemsete opsüsteemide ja rakenduste kohta leiab aadressilt https://letsencrypt.org/docs/certificate-compatibility/ – KÕIK süsteemid, mis on üles loetletud sektsioonis “Platforms that trust ISRG Root X1”, saavad probleemivabalt ühendust Let’s Encrypt sertifikaate kasutatavate serveritega ka pärast 30. septembrit.

Küll aga pole Let’s Encrypt sertifikaadid enam usaldusväärsed süsteemidele, mis ei tea „ISRG Root X1“ sertifikaadist midagi – so peamiselt vanad opsüsteemid, mis pole pärast 2015. aastat uuendusi saanud. Mida teha, kui on soov sellise süsteemiga Zones asuvat serverit edasi kasutada?

Kui sul on selline süsteem ja soovid Let’s Encrypt sertifikaadiga veebilehti ja -rakendusi edasi kasutada, siis on võimalus lisada „ISRG Root X1“ ise käsitsi süsteemi. Täpsemad juhised sõltuvad süsteemist ja veebiotsing võtmesõnadega “add root ca” koos sinu süsteemi või rakenduse nimega aitab kindlasti.

Kui sa oled Zones serveris asuva veebi omanik, kasutad praegu Let’s Encrypt sertifikaati, kuid sinu klientidel või sul endil on millegi pärast palju selliseid vanu süsteeme, siis on võimalik loobuda Let’s Encrypti kasutamisest ja võtta kasutusele mõne teise diginotari sertifikaat. Need on küll tasulised, kuid neid usaldavad ka vanemad seadmed.

Kui jääd hätta, siis abistab sind meie klienditugi.

Let’s Encrypt nüüd “government grade” ka Eestis

Mullu septembris alustas Let’s Encrypt oma visiooni “Krüptime kogu veebiliikluse!” teostamist, Zone liitus beetaga detsembris – ja alates 12. aprillist on tegemist juba “päris asjaga”: Let’s Encrypt Leaving Beta, New Sponsors.

Kuna meie kaudu tellitud ja kehtivatest sertifikaatidest on tänase seisuga ca 20% Let’s Encrypt omad oli ka meil viimane aeg menüüst “beeta”-märkus maha võtta.

Täiendav tõuge selleks tuli otse ministeeriumist:

mkm-letsencrypt

Olgu lisatud, et tänu Let’s Encrypt-ile käib ka MKM’i IT-l HTTPS toe lisamine nende serverites olevatele saitidele ilma pikema jututa – muuseas poetatud vihje, et üks sait näeks rohelise tabalukuga kenam välja, sai lõunaks vastuse “Vajalikud HTTPS-i sertifikaadid genereeritud [ja paigaldatud]”. Tavapäraselt oleks hakatud kaaluma kas ikka on väga vaja, kas eelarves on raha ning koguma kooskõlastusi. Respekt ja tervitused kaasvõitlejatele!

Zone virtuaalserverite puhul saab Let’s Encrypt serdi tellida ja serverile lisada nii:

Nagu näha on ilma HTTPS toeta ehk Pakett I kasutava virtuaalserveri puhul Let’s Encrypt tellimise lehel ka nupp “Värskenda teenuspaketti” mis võimaldab ühe klikiga teha upgrade Pakett II peale – see annab muideks ka 2x rohkem paralleeltööühikuid ehk maakeeles “protsessori jõudu”. Tõsi, paketivahetuseks peab olema sisse loginud serveri omaniku ZoneID või sellega seotud identiteediga (delegeerimisest ei piisa).

Igaks juhuks ka pikem selgitus koos sellega, mida tuleks näiteks WordPressi ja Magento puhul muuta liikluse suunamiseks HTTPS peale.

Let’s Encrypt BETA ja tasuta SSL sertifikaat on kohal

lets-encrypt-700x180

Krüptime kogu veebiliikluse – sellise julge eesmärgi on endale seadnud Electronic Frontier Foundation-i (EFF) ellukutsutud ja Internet Security Research Group-i (ISRG) poolt veetav avatud sertifitseerimiskeskus Let’s Encrypt.

Täna on mul hea meel öelda, et ka Zone annab oma panuse Let’s Encrypt-i, EFF-i ja ISRG missiooni täitmisele ja aitab murda olemasolevaid paradigmasid. Nimelt pakub Zone oma kasutajatele võimalust võtta osa Let’s Encrypt-i avalikust beetaperioodist – saada oma virtuaalserveri käsutusse tasuta ja automaatselt uuenev SSL/TLS sertifikaat ning lülitada mõne klahvivajutusega sisse oma kodulehe kogu liikluse krüpteerimine.

Continue reading “Let’s Encrypt BETA ja tasuta SSL sertifikaat on kohal”