Time-based expiration problem of the SSL/TLS certificates

Abstract

Luottamuksellisen datan määrä verkkopalveluissa nousee jatkuvasti, joka asettaa vaatimukset datan salaukselle siirron aikana ja palvelimen tunnistamiselle. Vakiintunut ratkaisu edellämainittuihin vaatimuksiin on Transport Layer Security (TLS). Teknisesti TLS vaatii toimiakseen X.509 varmenteen. Vaikka X.509 varmenteet ovat hyvin ymmärrettyjä, niiden implementointi usein aiheuttaa hämmennystä pääkäyttäjille ja kehittäjille, jonka seurauksena virheet implementoinneissa ovat yleisiä. Tämän lisäksi varmenteilla on voimassaolo päivämäärä, joka tarkoittaa että varmenteet tulee uusia ajoittain. Varmenteiden uusiminen voi unohtua tai se jätetään tarkoituksella tekemättä, joka aiheuttaa usein yhteys ongelmia verkko-palveluihin. Tämä tutkimus tuottaa tietoa vanhentuneiden varmenteiden käytöstä ja niiden yleisyydestä. Tämän lisäksi, tämä tutkimus tuottaa tietoa liittyen palveluihin ja liiketoimintaan, jotka tyypillisimmin kärsivät vanhentuneista varmenteista. Lisäksi tutkimus luokittelee yleisimmät virhetilanteet TLS implementoinneissa. Tutkimuksen tulokset osoittavat, että varmenteiden vanhemeninen on yleinen ongelma, josta kärsivät kaiken tyyppiset verkko-palvelut aina valtioiden verkkosivuista verkkokauppoihin.

The amount of confidential data in web services is continuously rising, which sets requirements for data encryption during transmission and server authenti-cation. The commonly adopted solution is Transport Layer Security (TLS), which solves both requirements presented above. Technically TLS relies on X.509 certificates to provide features. While X.509 certificates are well-understood topic, the implementation often confuses the domain administra-tors and errors during the configuration are common. On top of this, certificates have an expiration date, which means that the certificates need to be renewed from time to time. Often, the renewal is either forgotten or neglected by the administrators, which leads to connection issues. This study provides insight on expired certificates and their usage. In addition, this study provides insight on what type of services and businesses are impacted by expired certificates. Most common error cases in TLS implementations were also extracted from the data. The results of this paper indicate that certificate expiration is a common problem, that affects all types of online services, ranging from governmental online services to online shops.