*.edu.hel.fi -varmenne pudotti Helsingin Wilman 13.8. – on parempikin tapa hallita wildcard SSL-varmenteita
16.8.2018
Helsingin Sanomat julkaisi 13.8. artikkelin ”Koululaisten Wilma-järjestelmän ongelmat aiheuttivat kaaosta helsinkiläiskodeissa – Joku unohti tehdä elintärkeän päivityksen”
Kyseessä oli vanhentunut wildcard-tyyppinen SSL-varmenne *.edu.hel.fi
Kun nyt ongelman ratkaisun jälkeen katsoo sivulle päivitettyä varmennetta niin huomaa, että se on itse asiassa tehty jo 15.6.2018.
Se on ilmeisesti vain unohtunut päivittää Wilma-sivuille.
Tämä tapahtuma näyttää, kuinka haavoittuva wildcard-varmenne voi olla, jos sitä vain kopioidaan palvelimelta toiselle. Jos wildcard-varmenteita halutaan käyttää, niin onneksi on olemassa uusikin tapa. Tällöin jokaiselle palvelimelle syntyy oma maksuton varmennekopio (duplikaatti), jolloin hallintakonsolilta myös näkyy, minne wildcard-varmenteet on asennettu ja missä ne ovat vanhenemassa.
Asiakas ottaa yleensä käyttöön wildcard-tyyppisen varmenteen (esim. *.wesentra.com) kun halutaan yhdellä varmenteella verifioida erilaisia palvelimia tai palveluita (kuten https://www.wesentra.com, kauppa.wesentra.com, portaali.wesentra.com, …).
Aiemmin tämä tehtiin luomalla salainen avain ensimmäisellä palvelimella ja asentamalla wildcard-varmenne sille. Sitten kopioitiin salainen avain ja varmenne salasanalla suojattuun .pfx -tiedostoon, jota jaeltiin muille palvelimille. Ja tässä on menetelmän kaksi heikkoutta: 1) Aina ei muisteta kirjata ylös kaikkia palvelimia, joille paketti on asennettu, jolloin varmenne voi vahingossa vanhentua ja pudottaa palvelun ja 2) jos paketti joutuu vääriin käsiin, voi hakkeri luoda esim. SSL-verifioidun phishing-palvelun.
Osa varmentajista pystyy tarjoamaan uuden toimintatavan, jossa jokaisella wildcard-varmennetta tarvitsevalla palvelimella luodaan oma salainen avain ja palvelimelle asennetaan maksuton duplikaatti. Menetelmällä on useita etuja: a) jokainen varmenteen saanut palvelin näkyy hallintakonsolissa ”omana rivinään” ja niistä tulevat myös vanhentumishälytykset, b) salaisia avaimia ei kopioida palvelinten välillä ja 3) jos yksittäisen varmennetun palvelimen tietoturva murretaan, riittää kyseisen duplikaattivarmenteen revokointi.
Otan vielä esille yhden wildcard-varmenteen ominaisuuden, joka hieman jakaa mielipiteitä:
- Osa SSL-varmenteiden käyttäjistä toteaa: ”On mainiota, kun palvelimella on wildcard-varmenne. Voin luoda palvelimille uusia erilaisia palveluja samalle root-domainin nimelle ja saan ne saman tien https:n piiriin. Varmenteeseen ei tarvitse koskea.”
- ja osa sanoo: ”En halua palvelimelleni wildcardia, koska sen jälkeen kuka tahansa admin voi luoda minkä tahansa https-palvelun palvelimelle siten, että se on heti varmennettu. Käytän mieluummin multi-domain -varmennetta, jossa on täsmälleen määritetty, mitkä domain-nimet on suojattu SSL-varmenteella.”
Ehkä tarinan opetus lopulta on, että jos organisaatiosi käyttää wildcard-varmenteita, varmista, että kaikki asennetut varmenteet ovat valvonnan piirissä ja niistä tulee vanhenemishälytykset.
Lisää tietoa: info@wesentra.com tai https://www.wesentra.com