Bugzillassa kysytyn juurivarmenteen suojauksen pohjalta olen päättänyt kirjoittaa siitä tähän ja katsoa jos muilla olisi kehitysehdotuksia asian suhteen.

Tällä hetkellä on käytössä 2 pääpalvelinta, joista toinen on webbipalvelin ja toinen juurivarasto. Ne on yhdistetty toisiinsa vain sarjakaapelilla ja kommunikointiprosessia ajetaan normaalina käyttäjänä.

Jos juurivarasto havaitsee epäkelvon pyynnön, se olettaa webbipalvelimelle murtaudutun ja sulkee itsensä.

Jos juurivarasto ei saa vastausta ping-kyselyyn sarjaportin kautta tiettyyn aikaa, se olettaa että webbipalvelimelle on murtaudutta ja sammuttaa itsensä

Boottijuttuja lukuunottamatta kaikki kaikki tieto sijaitsee kryptatulla osiolla juuripalvelimella ja vain käsin tapahtuva väliintulo käynnistysprosessissa antamalla salasana aloittaa sen jälleen.

Juurivarastoon lähetettävät pyynnöt tallennetaan tiedostoon, jonka toinen ajastettu prosessi lukee, allekirjoittaa ja lopulta lähettää vastauksen webbipalvelimelle. Näin asiat hoidetaan eri käyttäjätunnusten alla, joka on yksi helppo turvamekanismi. Joten jos joku pystyisi hakkeroimaan sarjaporttiohjelmat siitä seuraisi pahimmillaan vain epäturvallisia varmenteita, mutta juurivarmenne pysyisi kuitenkin turvassa piilossa.

Miksi käyttää sarjaporttia? Varmennepyynnöt eivät vaadi paljoa kaistaa ja myöskin yksinkertaiset järjestelmät ovat vähemmän alttiita turva-aukoille sekä sarjaporttikoodi on erittäin testattua ja toivottavasti kaikki reiät on löydetty ja korjattuan kauan sitten.

Uuden esitetyn juurivarmennepolitiikan mukaan tulisi uusi juurivarmenne, jolla allekirjoitettaisiin ainakin yksi alijuuri ja sitten pääjuurivarmenteen salainen avain talletettaisiin pankkiholviin ja kaikki allekirjoitukset tehtäisiin alijuurella. Toinen mahdollisuus olisi pitää kahta alijuurta, joista toista käytettäisiin palvelinvarmenteiden ja toista yksilövarmenteiden allekirjoittamiseen. Tällä tavalla tehtynä jos alijuuret kaapattaisiin, ne voitaisiin yksinkertaisesti poistaa käytöstä ja tehdä uudelleen.

Ajan kuluessa voimme lisätä enemmän turvakerroksia, esimerkiksi 4 webbipalvelinta, jotka keskustelevat 2 välipalvelimen kanssa, jotka taasen keskustelevat juuripalvelimen kanssa. Kaikki koneet toimivat rengasverkkomallin mukaan ja jos havaitaan jotain ongelmia, seuraava kone sammuttaa heti itsensä. Koska mahdollisia polkuja juuripalvelimelle on monia, tämä ei haittaisi palvelun toimintaa, koska toinen reitti olisi vielä turvallinen ja käytettävissä.