30. juunist jõustub e-kaubanduse jaoks oluline HTTPS nõue

Käesolev blogipostitus on peatähtis läbi lugeda neil, kes tegelevad oma kodulehe vahendusel kaubandusega, kuid see on kindlasti oluline teadmiseks võtta ka teistele.

30. juunist ei luba Payment Card Industry Data Security Standard (PCI DSS) makseandmeid käsitlevate veebilehtede omanikel enam kasutada aegunud SSL/TLS turvastandardeid.

Selliste lehtede haldajad peaksid 30. juuniks veenduma, et nende HTTPS ühendused oleksid seadistatud järgmiselt:

1) SSL standardi kasutus peab olema täielikult keelatud;
2) kasutusel olev TLS protokoll peab olema vähemalt 1.1 või uuem.

Zone klientidel on hetkel seis selline:

1) SSL standardi kasutus on täielikult keelatud;
2) vaikimisi kasutusel olev TLS protokoll on 1.0 või uuem.

Rõhutan, jutt on konkreetselt SSL standardist! SSL-i terminit kasutatakse nii meil kui mujal (valesti) iseloomustamaks paljusid turvatud ühendusi, kuigi enamik neist põhineb tänapäeval juba TLS standardil.

Meie hoolsatel, turvateadlikel ja standardiga ühilduvust soovivatel klientidel on aga võimalus haldusliideses paari klikiga keelata vanemate TLS versioonide kasutamine. Selleks tuleb Virtuaalserveri haldusliideses Veebiserveri seadete alt muuta sätet “Luba aegunud TLS versioonide kasutamine”.

Võib kerkida küsimus, miks me TLS 1.0 kasutust üldiselt ära ei keela? Põhjus peitub selles, et interneti sügavustes eksisteerib veel mitu kihti internetti, üks neist on nö “asjade internet” ja teine “skriptide internet”. Need on internetikihid, millel püsib hoomamatu hulk meid ümbritsevaid protsesse ja milles iga suurem muudatus tähendab meie klientide jaoks ettearvamatuid tagajärgi.

Asjad, mis TLS 1.0 keelamisega võivad näiteks veebile ligipääsu kaotada:

* vanemad mobiiltelefonid;
* vanemad või odavamad käsiterminalid;
* vanemad või odavamad multimeediakeskused;
* vanemad operatsioonisüsteemid ja nende veebilehitsejad;
* vanemad skriptid ja programmid.

Ülevaatlikku tabelit erinevate seadmete TLS ühilduvusest üritab pakkuda muuhulgas GlobalSign.

Üks sarnane varasem iidvana protokolli toe lõpetamine on meie jaoks  näiteks lõppenud kõnega ühest logistikafirmast, mille käsiterminalid lõpetasid lennujaamas töö.

Erinevatel andmetel moodustab TLS 1.0 liiklus hetkel 5-11% kogu HTTPS-i abil turvatud ühenduste mahust.

Seetõttu oleme otsustanud, et jätame vanema TLS versiooni (TLS 1.0) kasutamise keelamise esialgu kliendi otsustada ning lükkame selle vaikimisi välja lülitamise veidi edasi, kuni teadlikkus on klientide hulgas veidi kasvanud.

Põhjus, miks PCI on otsustanud vanemate turvastandardite toetamise keelata peitub nende vanuses.

SSL (Secure Sockets Layer) on standardina olnud maha kantud juba tükk aega tagasi, kuid lühend ise elab turvatud ühendusi sümboliseeriva terminina inimeste teadvuses veel edasi. Reaalsuses lasti selle standardi viimane suurem versioon välja 1996. aastal ning aastast 2015 on selle kasutus sisuliselt keelatud (https://tools.ietf.org/html/rfc7568).

SSL-i asendas 1999. aastal standard TLS (Transport Layer Security) versiooniga 1.0 ning sellele on järgnenud versiooniuuendused 1.1 (2006 aastal) ja 1.2 (2008 aastal). 2018. aasta märtsist eksisteerib, peale pikka ja vaidlusterohket arendustööd, standardi mustandina ka TLS versioon 1.3, kuid selle laiemasse kasutusse jõudmine võtab veel veidi aega.

Mõlemad on olnud haavatavad tänu mitmetele nõrkustele, mis kandnud vahvaid nimesid nagu POODLE, BEAST, FREAK, BREACH, CRIME jt ning nende ja muude selliste aukude lappimine ei ole lihtsalt jätkusuutlik.

Google degradeerib Symanteci turvasertifikaatide taset

Seekordne blogipostitus räägib turvasertifikaatide maailmas toimuvast madinast Google ja Symanteci vahel ning sellest, kuidas see internetikasutajaid mõjutab.

Google annab teada, et maailma üks suurimaid sertifitseerimiskeskuste omanikke Symantec on teinud turvasertifikaatide väljastamisel niivõrd palju vigu, et Google kahandab märkimisväärselt oma veebilehitseja Chrome usaldust Symantec’i poolt kinnitatud sertifikaatide vastu.

Loe edasi “Google degradeerib Symanteci turvasertifikaatide taset”

HTTPS kõikides Virtuaalserveri teenuspakettides

Kui Vinton Cerf ja Robert Kahn alustasid 1970-ndatel aastatel tööd interneti alustalaks saanud TCP/IP protokollistiku kallal, olid nad tõsise küsimuse ees – kas TCP/IP protokollistik peaks vaikimisi sisaldama ühenduste krüpteerimist?

Kui Vinton Cerf ja Robert Kahn alustasid 1970-ndatel aastatel tööd interneti alustalaks saanud TCP/IP protokollistiku kallal, olid nad tõsise küsimuse ees – kas TCP/IP protokollistik peaks vaikimisi sisaldama ühenduste krüpteerimist?

Peale asjaolude kaalumist olid nad sunnitud TCP/IP protokollistikku krüptograafia vaikesättena sisse ehitamisest loobuma järgmistel põhjustel:

  • võrguliikluse krüpteerimine ja dekrüpteerimine nõudis ressursse, mida toonane riistvara ei olnud võimeline pakkuma;
  • ei olnud päris selge, kuidas jaotada võrgus osalejate vahel andmeside krüpteerimiseks vajalikke võtmeid (töö avalikel võtmetel põhineva krüptograafia arendamise kallal alles käis);
  • Ameerika Ühendriikide riiklik julgeolekuagentuur (NSA) omas äärmiseid reservatsioone krüptograafia avalikesse või kommertsvõrkudesse levimise suhtes.

Krüptograafia implementeerimine andmeside protokollistiku teistes kihtides oli hiljem küll võimalik, kuid tänu Cerfi ja Kahni otsusele ei saanud sellest esialgu interneti loomulikku osa.

Tänaseks oleme olukorras, kus:

  • keerukateks krüptograafilisteks operatsioonideks võimeline riistvara on nutiseadmete näol jõudnud tavakodanike taskutesse;
  • krüptovõtmete vahetamine on tänu paljudele avaliku võtme taristutele äärmiselt lihtne;
  • just tänu NSA-le on nii laiemal avalikkusel kui ka ärimaailmal äärmiselt suur huvi krüpteeritud andmeside vastu.

Seetõttu on täiesti loomulik, et krüptograafia teeb internetis just praegu oma pöördumatut võidukäiku ning selle kasutus on muutumas kõikide infotehnoloogiliste lahenduste eelduseks.

Lausa nii jõuliselt, et Google kavatseb peale üleminekuperioodi oma Chrome veebilehitseja aadressiribal hakata HTTP ühendusi tähistama järgmiselt:

chrome_http_warning
Pildi allikas: Google Online Security Blog

HTTPS turvalisusKõike eelnevat arvesse võttes on mul hea meel kuulutada avalikult välja see, mida mitmed insaiderid on juba tähele pannud: Zone.ee Virtuaalserveri kõik teenuspaketid toetavad turvalisi HTTPS tühendusi.

Lisaks on ka Virtuaalserveri I paketi kasutajatel võimalik saada osa Let’s Encrypt initsiatiivil tasuta väljastatavatest TLS sertifikaatidest, mida kliendi soovi korral väljastatakse, seadistatakse ja uuendatakse Zone serverites automaatselt.

Aga see pole veel kõik. Tavakasutajate mõeldes tegime ülemineku krüpteerimata HTTP ühendustelt turvalisematele HTTPS ühendusele ka senisest mugavamaks. Nimelt lisasime Virtuaalserveri haldusliidesesse täienduse, mis võimaldab ühe nupuvajutusega suunata kogu HTTP veebiliikluse ümber krüpteeritud HTTPS protokollile:

Selle käigus tehakse varasematest seadetest sõltuvalt kuni kolm muudatust, mille jõustumine võtab umbes 10 minutit:

  1. tellitakse Let’s Encrypt sertifikaat (kui seda varem polnud tellitud)
  2. lisatakse serverile SSL tugi ja seadistatakse see kasutama tellitud sertifikaati (kui seda varem polnud tehtud)
  3. suunatakse kogu liiklus HTTPS peale kasutades 301 redirect’i

Kasutaja teha jääb vaid oma veebirakenduses baasurli muutmine. Kui täis-automaatne protsess riskantne tundub, siis võib mõistagi ka lisada Let’s Encrypt sertifikaadi, veenduda ca 10 minuti pärast HTTPS toimimises, teha veebirakenduses muudatused ja seejärel lisada kogu liikluse suunamise:

Kui HTTPS aktiveeritud loe lisaks: Kuidas kontrollida, kas HTTPS peale suunamine on õigesti tehtud? ja HTTPS ja HSTS ehk Strict-Transport-Security

Ja et tordil oleks ka kirss peal, siis on mul hea meel välja hõigata, et veel käesoleva kuu jooksul plaanime alustada kõikide uute Virtuaalserverite vaikimisi HTTPS ühendusega varustamist.

Zone Virtuaalserveri platvormile tellitud serverid, millele on tehniliselt võimalik HTTPS tuge lisada, saavad selle endale peagi vaikimisi kaasa ja mingit eraldi seadistamise vajadust enam ei ole.

Head küberturvalisuse kuud!