English summary for my usual audience: Previously it was
impractical to get a publicly trusted TLS certificate for an iki domain (e.g.
hsivonen.iki.fi). Thanks to Let’s Encrypt performing validation
on a per-hostname basis, it’s now practical to get a publicly trusted
certificate for an iki domain.
Aiemmin ikidomainille,
kuten hsivonen.iki.fi, on ollut vaikeaa saada julkisesti
luotettua TLS-varmennetta (SSL-sertifikaattia) esim. https-palvelinta varten.
(Julkisesti luotettu varmenne on varmenne, joka ketjuuntuu Mozillan,
Microsoftin, Applen ja Androidin juuritaltioissa mukana olevaan juureen tai
juuriin.) Tämä johtui siitä, että varmentajat (engl. certificate
authority eli CA) ovat tyypillisesti halunneet tarkistaa
verkkotunnuksen iki.fi hallinnan edellytyksenä varmenteen
saamiseksi .iki.fi-loppuiselle nimelle.
Uusi voittoa tavoittelematon varmentaja Let’s Encrypt toimii toisin ja tarkistaa
isäntänimen (hostname) hallinnan. Siispä ikidomainille
hsivonen.iki.fi saa varmenteen (ilmaiseksi!) osoittamalla
kontrolloivansa isäntää hsivonen.iki.fi eikä
iki.fi:n hallinnalla ole väliä.
Rajallisen allekirjoittamiskapasiteetin vuoksi Let’s Encrypt rajoittaa,
kuinka monta varmennetta per verkkotunnus saa hakea tietyssä aikaikkunassa.
Tukifoorumin mukaan verkkotunnuksen määritelmä aikarajoitusta varten on
julkinen suffiksi plus yksi pisteellä erotettu nimen osa. Koska
iki.fi on julkinen
suffiksi ei ikidomainien pitäisi haitata toisiaan aikaperusteisten
määrärajoitusten vuoksi.
Koska varmenteiden voimassaolon peruminen (eli sulkeminen, engl. revocation) ei oikeasti toimi, Let’s Encrypt rajoittaa varmenteiden voimassaoloaikaa, jotta paljastuneesta salaisesta avaimesta johtuva haitta-aika lyhenisi. Tämän vuoksi Let’s Encryptiä käytettäessä pitää varmenteiden uusiminen käytännössä automatisoida. Itse olen ollut hyvin tyytyväinen Hugo Landaun acmetooliin.
Tässä on tietenkin se riski, että kun ikidomaineille saa varmenteita vain yhdestä paikasta, ei ole mihin vaihtaa, jos se yksi paikka menee jotenkin rikki. Toivottavasti ei mene rikki. Lisäys 2016-04-02: Certificate Transparency paljastaa, että pari jäsentä on saanut ikidomaineilleen varmenteet GeoTrustin RapidSSL-brändiltä. Näyttäisi siltä, että homma onnistuu SSLMaten kautta, jos on määritellyt ikidomainilleen MX-tietueen avulla ylläpitopostilaatikon.
Toinen teoreettinen riski on se, että IKI ry voisi kieltää Let’s Encryptin
käytön julkaisemalla iki.fi:n DNS:ssä CAA-tietueen, joka ei
sallisi Let’s Encryptin käyttöä. En tosin tiedä, pelastaisiko julkinen
suffiksi tässä. Toivon, että IKI ry päättää olla julkaisematta Let’s Encryptin
kieltävää (eli sallimatta jättävää) CAA-tietuetta. Lisäys 2016-04-02: Asia on nyt kirjattu yhdistyksen vuoden 2016 toimintasuunnitelmaan.