Petteri Pyyny
23. joulukuuta, 2022 16:35
Kaikki nettiin kytketyt laitteet kärsivät yhdestä massiivisesta ongelmasta, johon tulemme vuosien mittaan törmäämään yhä useammin ja useammin. Kyseinen ongelma juontuu Internetin ja salatun verkkoliikenteen rakenteesta.
Ongelman taustalla on se, että joskus 2010-luvulla maailma siirtyi vihdoinkin käyttämään pääasiassa salattua tietoliikennettä, myös WWW-sivuilla ja muussa HTTP-pohjaisessa liikenteessä.
SSL-salaus pohjautuu pohjimmillaan salausavaimiin ja koko kokonaisuuden aivan keskiössä ovat root certificatet (vakiintunutta suomennosta ei taida olla, joten kutsutaan niitä juurivarmenteiksi). Nämä ovat julkisten ja luotettujen tahojen myöntämiä salausavaimia, jotka sijaitsevat yleensä tietokoneen käyttöjärjestelmässä.
Lähes kaikki selaimet ja käytännössä kaikki mahdolliset sovellukset luottavat siihen, että laitteella on lista juurivamenteita, joiden avulla voidaan varmistaa vaikkapa verkkosivuston salauksen aitous. Jos verkkosivu käyttää https:// -alkua osoitteessaan, mutta sen varmenne (sertifikaatti) on vanhentunut tai sen myöntäjän vastinetta ei löyty käyttäjän tietokoneelta, selain herjaa sivua vaaralliseksi ja oletusarvoisesti estää sivulle pääsyn.
Ongelmalliseksi tilanteen tekee se, että juurivarmenteita ei voi yleensä päivittää itse - tai se vaatii syvällisempää osaamista kuin mihin valtaosalla käyttäjistä on taitoja. Lisäksi kaikilla juurivarmenteilla on olemassa viimeinen voimassaolopäivä. Eli vaikka varmenne sinänsä olisikin edelleen luotettava, se vanhenee jossain vaiheessa - ja vaatii tilalle uuden varmenteen.
Käyttöjärjestelmissä juurivarmenteet päivitetään tyypillisesti käyttöjärjestelmäpäivitysten yhteydessä. Tässä piilee ongelma, sillä etenkin Android-maailmassa useissa puhelimissa käyttöjärjestelmän päivityksiä on tarjolla vain muutaman vuoden ajan kullekin puhelinmallille.
Toki päivitysten pituus on parantunut, mm. OnePlus lupaa tuleville huippumalleilleen jo viiden vuoden tietoturvapäivitykset ja tuo aika kattaa myös juurivarmenteiden päivitykset.
Mutta kännyköitä - ja tableteita - käytetään nykyisin usein huomattavasti tuotakin kauemmin. Ja kun aikanaan juurivarmenteet vanhentuvat ja viimeisestäkin käyttöjärjestelmäpäivityksestä on kulunut jo vuosia, alkavat yhteydet nettiin katkeilemaan. Sovellukset eivät pääse enää taustajärjestelmiin, selaimet eivät osaa avata enää kaikkia sivustoja ja niin edelleen.
Tähän ongelmaan on vihdoin tulossa ratkaisu Android 14 -käyttöjärjestelmän myötä. Puhelimet, jotka saavat Android 14 -päivityksen tulevat samalla saamaan elämänlangan, joka pidentää niiden teoreettista käyttöikää huomattavasti.
Google aikoo siirtää juurivarmenteiden päivityksen omaksi palvelukseen. Siirtymä on osa Androidin Project Mainline -hanketta, jossa yhä isompi osa käyttöjärjestelmän osista siirtyy Google Playn kautta päivitettäviksi paloiksi. Muutoksen jälkeen käyttöjärjestelmää itsessään ei tarvitse päivittää, vaan juurivarmenteet voidaan päivittää suoraan Google Playn kautta, vaikka käyttöjärjestelmä itsessään olisi jo vanhentunut vuosia sitten.
Olemme aiemmin käyneet läpi ongelmia, joita syntyy jos Androidin jättääkin päivittämättä. Juurivarmenteiden päivitysten siirto erilliseen jakeluun ratkaisee näistä ongelmista isoimman, muttei kuitenkaan kaikkia.
Android 14 tullaan julkaisemaan syksyllä 2023. Muutos juurivarmenteiden jakeluun tulee käyttöön kaikissa niissä puhelimissa, joille Android 14 tullaan julkaisemaan. Puhelinmallit joille Android 14 ei tule joutuvat elämään nykyisen tilanteen kanssa - eli niiden kohdalla "mätäneminen" tulee alkamaan jossain kohtaa laitteen elinkaarta.