Webin HTTPS-salauksen käyttö ja käyttöönotto on edennyt valtavin harppauksin viimeisen viiden vuoden aikana. Teknologia itsessään on ollut olemassa jo kaksi ja puoli vuosikymmentä, mutta sen käyttöönotto oli pitkään varsin verkkaista. Mozillan keräämän datan perusteella webin salattujen sivulatausten osuus on noussut vuoden 2015 n. 32% tasosta vuoden 2020 yli 80% tasoon. Isona katalyyttinä tälle kehitykselle on toiminut alusta asti automaatioon, ilmaisuuteen ja läpinäkyvyyteen nojaava Let’s Encrypt ja IETF:n standardoima protokolla ACME (Automated Certificate Management Environment).
Yksi ACME-protokollan käyttämistä tavoista verkkotunnuksen omistajuuden todentamiseen on DNS-tietueen muokkaus. Tämä on myös nykyisistä todentamistavoista ainoa joka mahdollistaa tunnuksen omistajuuden varmistamisen tasolla, jonka nk. wildcard-sertifikaattien myöntäminen vaatii. DNS-validaation automatisointiin sisältyy kuitenkin tietoturvaongelmia liittyen tapoihin automatisoida DNS-tietueiden päivitys. Tyypillisimmillään tämä tarkoittaa nimipalveluiden muokkaamiseen tarvittavien tunnusten säilyttämistä TLS.varmennetta tarvitsevalla palvelimella. Tietoturvan näkökulmasta tällainen toteutus on katastrofaalinen johtuen nimipalveluiden roolista internetin infrastruktuurissa.
Näitä kipukohtia poistaakseen Joona Hoikkala kehitti vuoden 2016 lopulla MIT-lisensoidun avoimen lähdekoodin palvelinsovelluksen nimeltä acme-dns. Sovellus toimii rajoitettuna ja tarkoitusta varten räätälöitynä DNS-palvelimena poistaen nimipalveluiden delegaatiotekniikoita käyttäen tarpeen tallentaa koko verkkotunnuksen (tai ikävimmässä tapauksessa usean) hallinnointiin käyttäviä tunnuksia palvelimille. Samaan aikaan acme-dns mahdollistaa DNS-validaation käyttöönoton verkkotunnuksilla, jotka muutoin eivät taivu automatisointiin erinäisistä syistä.
Palvelintoteutus on siis jo olemassa, mutta helposti käytettävä asiakasohjelma on toistaiseksi tältä sovellukselta puuttunut. Asiakasohjelman toteuttaminen avaa oven julkisen acme-dns palvelun tarjoamiselle mahdollistaessaan käyttäjien ohjaamisen tietoturvallisiin konfiguraatioihin palvelun käyttöönoton yhteydessä. Olennaisimpana osana tätä on DNS CAA – tietueen ACME-laajennusten käyttöön ohjaaminen ja tämän konfiguraation tarkastaminen.
Kehitettävä asiakasohjelma mahdollistaa julkisen palvelun turvallisen käytön lisäksi myös helpon integraation olemassaoleviin ACME-asiakassovelluksiin sekä acme-dns:n käytön pilvipalveluissa ja moderneissa työnkuluissa. Olennaisimpina etuina on tunnuksien ja tietueiden esigenerointi ja hallinta.
Apuraha kattaa myös julkisen acme-dns -palvelun ylläpitokustannukset lähitulevaisuuden osalta.
Fuugin säätiö on ollut jo aikaisemmin mukana edistämässä webin tietoturvaa ja yksityisyyttä tukemalla apurahan saajaa ACME-asiakasohjelma Certbotin kehitystyössä. Lisää aiheesta:
Lisää aiheesta:
- DNS validaation implementaatioiden tietoturva- ja käytettävyysongelmia avattuna teknisemmällä tasolla (englanniksi): https://www.eff.org/deeplinks/2018/02/technical-deep-dive-securing-automation-acme-dns-challenge-validation
- Konferenssipresentaatio acme-dns palvelinsovelluksesta (Disobey 2018, englanniksi): https://www.youtube.com/watch?v=Xu6SQLZ7gm8