Vieraskynä: Miksi joku päätyy kaupalliseen sertifikaattiin ja toinen Let’s Encryptiin? – Hackrfi Oy
15.9.2020
Let’s Encryptin DV-varmenteet herättävät edelleen keskustelua. Lokakuussa vastasimme asiakkaalle kysymykseen ”Kerros nyt miksi teitä ja Entrustia kannattaa käyttää, kun sertejä saisi ilmaiseksi mm. Let’s Encrypt:ltä?” ja saimme luvan julkaista keskustelun. Tällä kertaa asiaa tarkastelee tekniseltä kannalta yksi tietoturvan huippuammattilaisista. Thomas Malmberg esittäytyy alla Hackrfi Oy:n puitteissa, mutta itse olen tavannut hänet ensi kerran muistaakseni 2012, jolloin hän toimi Aktian IT Security Managerina. Yhteytemme säilyi ja minulla on ilo vaihtaa hänen kanssaan näkemyksiä tietoturvan ja erityisesti finanssimaailman tietoturvan tilanteesta vuosittaisen lounastapaamisemme puitteissa. Thomasin asema Mintsecurityn ja Hackrfin toimitusjohtajana antaa hänelle erityisen näköalapaikan. Tässä Thomas, olkaa hyvä!
<** Thomasin oma teksti alkaa tämän jälkeen **>
Hackrfi on pieni ja ketterä toimija, joka voisi käyttää Let’s Encryptia
Teemme bug bounty -ohjelmia rajatulla markkina-alueella. Infrastruktuurimme ei ole monimutkainen, mutta sitä on kuitenkin sen verran että sitä voidaan kutsua perustellusti infrastruktuuriksi. Kokonaisuutemme rakentuu IaaS:in päälle. Olemme valinneet SSL-terminointiratkaisuksi vaihtoehdon, joka tukee natiivisti ACMEa – eli suomeksi, meillä on kyvykkyyttä hyvin yksinkertaisella ja luotettavalla tavalla automatisoida Let’s Encrypt sertifikaattien hallinta ja uusiminen. Täysin ilmaiseksi ja täysin ilman manuaalista työtä.
Päädyimme hankkimaan kaupallisen wildcard-sertifikaatin. Miksi näin?
Alkuun on hyvä ymmärtää, että kaikki sertifikaatit – mukaan lukien self-signed sertifikaatit – ovat ”kryptaukseltaan” täysin samankaltaiset. Yhden avainparin tuottama suojaus on kryptografisesti siis aivan yhtä pätevä kuin minkä tahansa toisen, jos sertitikaattien bittisyvyys on sama.
Uskottavuus ja luottamuksellisuus
Edellisessä kohdassa korostin kryptografista samankaltaisuutta. Esitän tässä kuitenkin väittämän, että sertifikaattien tehtävä ei ole tuottaa vain kryptografista vahvuutta, vaan hallinnollista vahvuutta. Tällä tarkoitan sitä, että sertifikaatin myöntämisen takana olevalla hallinnollisella ja teknisellä prosessilla on suurempi liiketoiminnallinen merkitys, kuin kryptografisella vahvuudella. Jos joku joskus kysyy, mikä on DV (Domain Validated) ja OV (Organization Validated) sertifikaattien ero, on se nimenomaan tämä edellä mainittu.
Let’s Encryptin heikkous on se, että kuka tahansa pystyy hakemaan firma.com domainin ja voi esittää edustavansa sen takana oleva firmaa sertifikaattia myöten. Kaupallisessa sertifikaatissa voimallisuus syntyy siitä, että kolmas osapuoli vahvistaa sen, että firma.com on Firma Oy.
Automaattiset sertifikaatit?
Mikä voisi olla käytännöllisempää kuin täydellisesti automatisoitu ja ilmainen ratkaisu? Itse asiassa käytännöllisyys vähänkin monimutkaisemmassa (jota meillä ei kuulemma ole…) infrassa on muutakin. Let’s Encryptin haaste automatiikassa on teknisesti itse validointi. Jokainen validoitava domain on oltava internetistä saavutettavissa, jotta automatiikka toimii. Suomeksi – jos haluat sertifikaatin sisainenjasalainen.hackr.fi -domainille on tämä julkistettava ulospäin siten, että a) tieto domainista löytyy DNS-palvelimesta ja b) domain on saavutettavissa teknisin keinoin (http) Let’s Encryptin validointilaitteistosta.
Tässäpä se onkin. Meidän ”sisainenjasalainen” ei enää olekaan sisäinen eikä salainen kun edellä olevat ehdot täytetään.
Sisäverkon sertifikaatit
”Ei sisäverkossa tarvita mitään sertifikaatteja – tai sitten käytetään self-signed menetelmää”, joku sanoo. Itse asiassa tämä ei käy. Tämä ei käy siitä yksinkertaisesta syystä, että nykyisessä API-maailmassa, jossa käytetään CI/CD -putkia työkalut itsessään vaativat verifioitavissa olevia sertifikaatteja. Verifiointi tarkoittaa sitä, että jos työkalu ei pysty sertifikaattia verifioimaan, oksentaa se virhelokille mystisen ilmoituksen, jota sitten selvitetään. Sitten vietetään Googlessa tunteja ja päiviä selvittäessä, miten systeemin saisi toimimaan self signed -sertifikaateilla. Ja kun se on selvinnyt, oksentaa seuraava askel putkessa samankaltaisen virheen. Ja homma jatkuu. Liiketoiminnallisesti, ei kovin järkevää.
Kaupallisella sertifikaatilla ”it just works”.
Monimutkaisuus ja suoraviivaisuus
Mainitun API-maailman lisäksi on olemassa konttimaailma. Siellä palveluita ja endpointeja syntyy kuin sieniä sateella – koska se on helppoa ja automatisoitua. Kun endpointeja syntyy, syntyy myös domain-nimiä. Ja kun kaikki on helppoa, syntyy erilaisia testiympäristöjä ja staging-ympäristöjä. Jokaiselle pitää saada sertifikaatti. Ainoa järkevä malli on wildcard. Tukeeko Let’s Encrypt wildcardeja? Tukee. Mutta – jotta wildcardin saa toimimaan, pitääkin verifiointi tehdä DNS-tietueilla. Meidän infrassamme ei ole tähän soveltuvaa automatiikkaa. Se ei ole vieläkään niin mainstreamia, että sellaiseen ryhdyttäisiin. Jotta Let’s Encrypt -wildcardit saa toimimaan, olisi suoritettava manuaalista DNS-ronklaamista ja lisäksi tietenkin sertifikaattien manuaalista asentamista. Jatkuvasti ja säännöllisesti. Liiketoiminnallisesti, ei kovin järkevää. Henkilökohtaisesti, ei kovin herkullista.
Lopputulos
Lopputulos on siis se, että kaupallinen wildcard sertifikaatti täyttää kaikki liiketoiminnalliset tarpeet, joihin kuuluu luotettavuus, luottamuksellisuus, sisäverkon salaisuus sekä modernien työkalujen vaatimukset. Aikaa ei hukata ihmeellisiin selvittelyihin ja virheilmoituksiin. Tekniset ratkaisut ovat koestettuja ja luotettavia – eivät kotikutoisia virityksiä, jotka vaativat huoltoa ja hoitoa. Lopputulos on myös se, että jos tarve on lisätä firma.com lisäksi myös firmakampanja.com sisäänheittosivusto, tehdään se nopeasti ja ketterästi Let’s Encryptillä juuri siinä hetkessä kun kampanja keksitään. Let’s Encryptillä on siis paikkansa ja se on tehnyt paljon hyvää työtä sen eteen, että salauksesta on tullut uusi normi – eikä mikään ekslusiivisuus. Yrityksen ja it:n näkökulmasta vaarana on kuitenkin se, että kun vasara on kerran otettu käteen, liiketoiminta ja infra näyttää pelkiltä nauloilta.
Lisätietoja Thomasilta: thomas(at)hackr.fi tai https://hackr.fi/