Tietoturva Nyt!
Verkkosivujen varmennepalvelu Let's Encryptin sisäisessä käytännössä on ollut virhe, jonka vuoksi tiettyjen varmennepyyntöjen kelpoisuutta ei ole tarkastettu oikein. Virhe on korjattu 29.2.2020. Varmenteiden myöntäjien toimintaohjeiden mukaisesti Let's Encrypt perui (englanniksi "revoke") osan väärin myönnetyistä varmenteista (englanniksi "certificate"). Loputkin väärin myönnetyistä varmenteista saatetaan vielä perua. Peruttujen varmenteiden haltijoiden tulee itse hankkia uudet.
Tarkasta, käyttääkö sivustosi peruttua tai väärin myönnettyä varmennetta
Let's Encrypt aloitti väärin myönnettyjen varmenteiden perumisen 4.3.2020 kello 20.00 UTC. Varmenteiden myöntäjien yhteisteen toimintaohjeiden mukaan varmenteet on peruttava viiden vuorokauden kuluessa virheen havaitsemisesta eli tässä tapauksessa viimeistään 5.3.2020 kello 3.00 UTC.
Alkuperäisen arvion mukaan peruttavia varmenteita olisi noin kolme miljoonaa kappaletta. Vajaa vuorokausi ennen määräajan umpeutumista Let's Encrypt arvioi, että yli miljoona varmennetta oli edelleen uusimatta. Let's Encrypt päätti, että niitä ei toistaiseksi peruta ja että niiden perumisesta päätetään myöhemmin.
Jos verkkosivustosi käyttää sille tulevan selailuliikenteen salausta eli sivustosi osoitteet alkavat "https://", niin tarkasta heti, onko sivustosi varmenne peruttavien joukossa. Tarkastuksen voit tehdä sivustolla https://checkhost.unboundtest.com/ (Ulkoinen linkki). Kaikkien peruttavien varmenteiden listan saa sivulta https://letsencrypt.org/caaproblem/ (Ulkoinen linkki).
Hanki tarvittaessa uusi varmenne
Jos omistamasi sivuston varmenne on jo peruttu tai myönnetty väärin, hanki sen tilalle uusi varmenne. Let's Encrypt on jo korjannut virheelisesti myönnettyihin varmenteisiin johtaneen sisäisen käytäntönsä, joten uudet sen myöntämät varmenteet ovat turvallisia. Uuden varmenteen voi halutessaan hankkia muualtakin.
Väärin myönnetyn tai perutun varmenteen käyttö on riski
Väärin myönnetyn varmenteen käyttö voi mahdollistaa salatun verkkoliikenteen sisällön paljastumisen pahantahtoiselle taholle.
Kun varmenne on peruttu, verkkosivulla vierailevien ihmisten verkkoselaimet voivat näyttää varoituksen, että sivuston varmenne ei ole luotettu tai että varmenne ei ole enää hyväksytty. Kyberturvallisuuskeskus suosittelee, että käyttäjät uskovat verkkoselaimen antamaa varoitusta eivätkä salli epäluotettujen varmenteiden käyttöä. Kun käyttäjä ei salli epäluotetun varmenteen käyttöä, hän ei voi käyttää kyseistä verkkosivustoa. Sivuston omistajan tulee hankkia uusi varmenne, jotta käyttäjät voivat jälleen käyttää sivustoa.
Lisätietoja
- Let's Encryptin keskustelufoorumi: Revoking certain certificates on March 4 (Ulkoinen linkki)
- Let's Encryptin keskustelufoorumi: 2020.02.29 CAA Rechecking Bug (Ulkoinen linkki)
- BBC: Millions of websites face 'insecure' warnings (Ulkoinen linkki)
- Mozilla Firefoxin ohje: Tämä yhteys ei ole suojattu -varoitus (Ulkoinen linkki)
- CA/Browser forum: Baseline Requirements Documents (SSL/TLS Server Certificates)
Kaikkia väärin myönnettyjä varmenteita ei peruttu vielä 5.3.2020, mutta ne saatetaan perua myöhemmin.