Hemma kör jag Let’s Encrypt tillsammans med ACME för att säkra mina egna tjänster – automatiserat, smidigt och utan krångel. Allt bara rullar. Det här är inte en lyx för tekniknördar längre, det är ett sätt att sova bättre om natten – vare sig man skyddar ett fotoalbum eller driver en affärskritisk molntjänst.
Vad är det egentligen vi pratar om?
Det kan låta tekniskt – TLS, SSL, certifikat, OCSP, ACME – men det handlar om en enkel sak: att du som kund ska kunna lita på att din information inte hamnar i fel händer.
När du öppnar en webbsida som börjar med https:// sker en säker uppkoppling mellan din webbläsare och webbservern. Den kopplingen skyddas av ett certifikat, ungefär som ett digitalt pass. Det visar att servern är den den utger sig för att vara, och att kommunikationen är krypterad.
Men TLS används inte bara för webben. Det är också fundamentalt för säker kommunikation i en rad andra sammanhang:
- E-post (t.ex. SMTP, IMAP och POP3 över TLS)
- Fjärrinloggning och filöverföring (t.ex. FTPS och SMTPS)
- VPN-tjänster, särskilt OpenVPN, som använder TLS för att säkra nyckelutbyte och kontrollkanaler
- IoT-enheter och maskin-till-maskin-kommunikation där TLS används för att skydda integriteten i dataöverföring
- Interna API:er och mikrotjänstarkitektur, särskilt i molnmiljöer
Kort sagt: TLS är ryggraden i mycket av den moderna digitala infrastrukturen, långt bortom webben. Förr i tiden gällde dessa certifikat i flera år. Idag pratar vi om månader, i morgon veckor. Och det är bra.
SSL → TLS: en snabb tillbakablick
SSL (Secure Sockets Layer) föddes på 90-talet men ersattes snart av TLS (Transport Layer Security). Båda gör ungefär samma sak – säkrar kommunikationen mellan två enheter – men TLS är det som används idag. Senaste versionen är TLS 1.3 och det är standard i moderna system.
Varför kortare giltighetstid?
Tidigare kunde certifikat vara giltiga i flera år. Det gav lång stabilitet – men också stora risker. Om ett certifikat kom på villovägar (t.ex. vid en cyberattack) kunde det användas i månader innan någon märkte något. För att minska det fönstret har webbläsartillverkare och certifikatutgivare börjat korta livstiden drastiskt.
Från över 800 dagar till 398. Nu till 90. Snart till 47. Varför? För att skadan minskar om certifikatet inte gäller längre. Kortare giltighet minskar risken för att angripare kan utnyttja en stulen nyckel.
Men kan man inte bara återkalla ett certifikat?
Jo. Men det fungerar ofta dåligt i praktiken. De tekniska lösningarna för att återkalla certifikat – CRL (Certificate Revocation Lists) och OCSP (Online Certificate Status Protocol) – lider av flera problem:
- De är långsamma
- De kan blockeras av angripare
- Webbläsare använder “soft-fail” – det vill säga: om återkallelsen inte går att kontrollera, så antar man att allt är okej ändå
Det betyder att en angripare som kapat ett certifikat i praktiken ofta kan fortsätta använda det. Historiskt har detta lett till allvarliga incidenter, som vi ska titta närmare på.
Verkliga incidenter med stora konsekvenser
🧸 DigiNotar (2011) Den nederländska certifikatutfärdaren hackades, och angripare lyckades utfärda över 500 falska certifikat, bland annat för Google. Dessa användes för att övervaka Gmail-användare i Iran. Trots att certifikaten återkallades för sent, hann attackerna redan ske. DigiNotar förlorade all tillit och gick i konkurs.
🕵️♂️ Comodo (2011) En angripare lyckades lura systemet att utfärda falska certifikat för stora sajter som Yahoo, Skype, Google och Microsoft. De användes för att försöka genomföra man-in-the-middle-attacker.
🔐 Turktrust (2013) Turktrust råkade utfärda ett mellanliggande CA-certifikat till en turkisk myndighet, som sedan användes för att skapa ett falskt Google-certifikat. Webbläsare som Chrome och Firefox tvingades blockera hela certifikatkedjan.
🧬 Flame och MD5-kollisioner (2012) Flame-mjukvaran utnyttjade svagheter i MD5 för att skapa ett falskt Microsoft-certifikat som såg helt legitimt ut. Det användes för att sprida skadlig kod via Windows Update och tros ha varit en statligt sponsrad attack med koppling till cyberspionage i Mellanöstern.
💔 Heartbleed (2014) Den allvarliga Heartbleed-buggen i OpenSSL kunde användas för att läcka privata nycklar från servrar. Trots att certifikat borde ha återkallats i stor skala, visade statistik att mindre än hälften faktiskt återutfärdades inom en månad.
Vad är ACME?
Det är nu vi kommer till lösningen: automatisering. Och det är här ACME kommer in i bilden.
ACME står för Automatic Certificate Management Environment. Det är ett protokoll som gör det möjligt för en server att automatiskt beställa, installera, och förnya sina certifikat utan manuell handpåläggning.
Ett vanligt exempel är Let’s Encrypt, en gratis och öppen certifikatutgivare. Tillsammans med verktyg som Certbot kan du på ett säkert sätt låta dina certifikat förnyas automatiskt – ofta var 60:e dag, för att hinna innan de löper ut.
ACME och Road Runner – helt off topic
Du som minns Looney Tunes vet att ACME var företaget som sålde raketer, fjädrar och galna fällor till Wile E. Coyote – alltid med syftet att fånga den där förbaskade Road Runner.
Det ironiska? I Looney Tunes-världen fungerade ACME-produkterna sällan som utlovat – ofta exploderade de i ansiktet på Wile E. Coyote snarare än att fånga Road Runner. Men i IT-världen är det tvärtom. ACME-protokollet är just det som fungerar – varje gång.
Precis som i serien handlar det om att fånga något snabbt och svårfångat. Men i vårt fall är det inte en fågel som springer förbi i 300 km/h, utan säkerhetsproblem som annars kan smita undan. Genom att automatiskt bevaka, ersätta och förnya certifikat innan de blir en risk, sätter ACME en fälla som faktiskt slår igen – i rätt tid och på rätt plats. Och till skillnad från Coyotes raketer och katapultsystem: det här funkar. På riktigt.
Tripnets erfarenhet – och vårt erbjudande
På Tripnet arbetar vi varje dag med säkerhet för våra kunder. Vi ser stora fördelar med kortare certifikat och ökad automation. Vi hjälper gärna till att sätta upp ACME-baserad automatisering, oavsett om det gäller en offentlig webbplats eller interna system.
Vi tycker inte att man som kund ska behöva hålla koll på utgångsdatum för certifikat. Det ska bara fungera. Och det gör det – om man bygger med rätt verktyg, som ACME.
För oss handlar det om att bygga ett tryggt digitalt ekosystem, där du som kund kan fokusera på din verksamhet – inte på att uppdatera nycklar.
Sammanfattning
Certifikat har gått från att vara något man satte upp och glömde, till att bli en aktiv del av cybersäkerheten. Kortare livslängd är inte ett problem – det är en möjlighet. Och med hjälp av ACME och lite automation gör vi den möjligheten till en självklarhet.
Vill du veta mer, eller ha hjälp att komma igång? Vi på Tripnet finns här.
