Google degradeerib Symanteci turvasertifikaatide taset

Seekordne blogipostitus räägib turvasertifikaatide maailmas toimuvast madinast Google ja Symanteci vahel ning sellest, kuidas see internetikasutajaid mõjutab.

Google annab teada, et maailma üks suurimaid sertifitseerimiskeskuste omanikke Symantec on teinud turvasertifikaatide väljastamisel niivõrd palju vigu, et Google kahandab märkimisväärselt oma veebilehitseja Chrome usaldust Symantec’i poolt kinnitatud sertifikaatide vastu.

Loe edasi “Google degradeerib Symanteci turvasertifikaatide taset”

HTTPS kõikides Virtuaalserveri teenuspakettides

Kui Vinton Cerf ja Robert Kahn alustasid 1970-ndatel aastatel tööd interneti alustalaks saanud TCP/IP protokollistiku kallal, olid nad tõsise küsimuse ees – kas TCP/IP protokollistik peaks vaikimisi sisaldama ühenduste krüpteerimist?

Kui Vinton Cerf ja Robert Kahn alustasid 1970-ndatel aastatel tööd interneti alustalaks saanud TCP/IP protokollistiku kallal, olid nad tõsise küsimuse ees – kas TCP/IP protokollistik peaks vaikimisi sisaldama ühenduste krüpteerimist?

Peale asjaolude kaalumist olid nad sunnitud TCP/IP protokollistikku krüptograafia vaikesättena sisse ehitamisest loobuma järgmistel põhjustel:

  • võrguliikluse krüpteerimine ja dekrüpteerimine nõudis ressursse, mida toonane riistvara ei olnud võimeline pakkuma;
  • ei olnud päris selge, kuidas jaotada võrgus osalejate vahel andmeside krüpteerimiseks vajalikke võtmeid (töö avalikel võtmetel põhineva krüptograafia arendamise kallal alles käis);
  • Ameerika Ühendriikide riiklik julgeolekuagentuur (NSA) omas äärmiseid reservatsioone krüptograafia avalikesse või kommertsvõrkudesse levimise suhtes.

Krüptograafia implementeerimine andmeside protokollistiku teistes kihtides oli hiljem küll võimalik, kuid tänu Cerfi ja Kahni otsusele ei saanud sellest esialgu interneti loomulikku osa.

Tänaseks oleme olukorras, kus:

  • keerukateks krüptograafilisteks operatsioonideks võimeline riistvara on nutiseadmete näol jõudnud tavakodanike taskutesse;
  • krüptovõtmete vahetamine on tänu paljudele avaliku võtme taristutele äärmiselt lihtne;
  • just tänu NSA-le on nii laiemal avalikkusel kui ka ärimaailmal äärmiselt suur huvi krüpteeritud andmeside vastu.

Seetõttu on täiesti loomulik, et krüptograafia teeb internetis just praegu oma pöördumatut võidukäiku ning selle kasutus on muutumas kõikide infotehnoloogiliste lahenduste eelduseks.

Lausa nii jõuliselt, et Google kavatseb peale üleminekuperioodi oma Chrome veebilehitseja aadressiribal hakata HTTP ühendusi tähistama järgmiselt:

chrome_http_warning
Pildi allikas: Google Online Security Blog

HTTPS turvalisusKõike eelnevat arvesse võttes on mul hea meel kuulutada avalikult välja see, mida mitmed insaiderid on juba tähele pannud: Zone.ee Virtuaalserveri kõik teenuspaketid toetavad turvalisi HTTPS tühendusi.

Lisaks on ka Virtuaalserveri I paketi kasutajatel võimalik saada osa Let’s Encrypt initsiatiivil tasuta väljastatavatest TLS sertifikaatidest, mida kliendi soovi korral väljastatakse, seadistatakse ja uuendatakse Zone serverites automaatselt.

Aga see pole veel kõik. Tavakasutajate mõeldes tegime ülemineku krüpteerimata HTTP ühendustelt turvalisematele HTTPS ühendusele ka senisest mugavamaks. Nimelt lisasime Virtuaalserveri haldusliidesesse täienduse, mis võimaldab ühe nupuvajutusega suunata kogu HTTP veebiliikluse ümber krüpteeritud HTTPS protokollile:

Selle käigus tehakse varasematest seadetest sõltuvalt kuni kolm muudatust, mille jõustumine võtab umbes 10 minutit:

  1. tellitakse Let’s Encrypt sertifikaat (kui seda varem polnud tellitud)
  2. lisatakse serverile SSL tugi ja seadistatakse see kasutama tellitud sertifikaati (kui seda varem polnud tehtud)
  3. suunatakse kogu liiklus HTTPS peale kasutades 301 redirect’i

Kasutaja teha jääb vaid oma veebirakenduses baasurli muutmine. Kui täis-automaatne protsess riskantne tundub, siis võib mõistagi ka lisada Let’s Encrypt sertifikaadi, veenduda ca 10 minuti pärast HTTPS toimimises, teha veebirakenduses muudatused ja seejärel lisada kogu liikluse suunamise:

Kui HTTPS aktiveeritud loe lisaks: Kuidas kontrollida, kas HTTPS peale suunamine on õigesti tehtud? ja HTTPS ja HSTS ehk Strict-Transport-Security

Ja et tordil oleks ka kirss peal, siis on mul hea meel välja hõigata, et veel käesoleva kuu jooksul plaanime alustada kõikide uute Virtuaalserverite vaikimisi HTTPS ühendusega varustamist.

Zone Virtuaalserveri platvormile tellitud serverid, millele on tehniliselt võimalik HTTPS tuge lisada, saavad selle endale peagi vaikimisi kaasa ja mingit eraldi seadistamise vajadust enam ei ole.

Head küberturvalisuse kuud!