Eelmise aasta septembris avastati turvaauk süsteemis mida kasutatakse ID-kaardiga veebis autentimiseks. Mainitud turvaauk on dokumenteeritud siin. Lehelt leiab ka palju linke erinevale infole ja nimekirja tarkvaradest/platvormidest, mis on sellest mõjutatud.

Kirjeldatud turvaauk teeb võimalikuks MiTM (Man-in-The-Middle) tüüpi ründe autentimise süsteemi vastu, ning on klassifitseeritud kui madala riski-astmega. Täpsema kirjelduse, kuidas viga ekspluateerida saab, leiab siit.

Internet Engineering Task Force (IETF) pakkus vea parandamiseks välja järgmise muudatuse: http://tools.ietf.org/html/rfc5746 . Põhiliseks ideeks on siin keelata serveri poolne renegotiation request. Selle saavutamiseks peaks autentimise osa asuma eraldi hosti peal (näiteks idautentimine.firmanimi.ee). See puudutab ülemineku perioodi kuni muudetakse renegotiation turvaliseks.

Selline lahendus sobib hästi, kui on tegu uusimate veebiserverite versioonidega, mis toetavad SSL/TLS “virtual hoste”. Vanemate versioonide puhul tekib vajadus lisa IP-aadressi järgi, kuna neil peab host olema eraldi IP peal. Paljudel juhtudel on juba praegu ID-kaardiga autentimine eraldi hosti peal (näiteks kõik Eesti interneti pangad).

Kui ID-kaardiga autentimine ei ole eraldi hosti peal, on vajalik SSL sertifikaadi lisamine või uuendamine teisele aadressile, et vältida vigase sertifikaadi teatist kliendi veebilehitsejas.
Sertifitseerimiskeskus kirjutas samal teemal põgusalt eelmisel aastal: http://www.arvutikaitse.ee/?p=2772. Siis polnud tõesti veel vajadust midagi kohe muutma hakata. Nüüdseks aga on kõik veebilehitsejate tootjad veaparanduse sisse viinud (praegusel hetkel seda veel küll vaikimisi peale ei sunnita välja arvatud erandjuhud (unixi-laadsed süsteemid), kus lehitseja kasutab süsteemipõhist OpenSSL paketti nagu näiteks kõige uuem Ubuntu 10.04 LTS) ja rakenduste ning operatsioonisüsteemide haldajad on välja andnud vastavad veaparandused.  

Varem või hiljem muutub olukord selliseks, et vaikeväärtused muudetakse lehitsejates ära (hetkel hinnanguliselt 90% servereid lappimata ja seetõttu seda veel ei tehta) ja kasutusel on korraga väga palju paigatud ja paikamata süsteeme/lehitsejaid. Sellel üleminekuperioodil on antud lahendus kõige lihtsam moodus jätkata ilma katkestusteta ID-kaardi lahenduse kasutamist oma rakendustes.

Toon siinkohal ka välja mõningad serveripoolsed veaparanduste paketid mis on vahepeal välja lastud, ja mida tihtipeale juba ka vaikimisi installeerida soovitatakse:
http://support.microsoft.com/kb/977377
http://support.apple.com/kb/HT4004
https://rhn.redhat.com/errata/RHSA-2010-0162.html
http://sunsolve.sun.com/search/document.do?assetkey=1-77-1021752.1-1
https://developer.mozilla.org/NSS_3.12.6_release_notes
http://www.apache.org/dist/httpd/patches/apply_to_2.2.14/CVE-2009-3555-2.2.patch

Tegu ei ole täieliku nimekirjaga, aga asi on sealmaal, et enamikule asjadele on paigad olemas ja julgustatakse veaparandusi sisse viima.

Eeltooduga seoses soovitab MicroLink oma klientidel veaparandusi paigaldama hakata. Mõningatel juhtudel võib olla vajalik lisa-IP tellimine oma serverile või eraldi SSL sertifikaadi lisamine. Kindlasti tuleks konsulteerida oma veebirakenduste (mis kasutavad ID-kaardiga autentimist) arendajatega juhuks, kui peaks tekkima vajadus teha muudatusi rakendustes. MicroLink on valmis kõiki oma kliente üleminekul aitama, et muutused võimalikult valutud oleksid.