VMG3927-B50A admin-paneelin SSL-sertifikaatti vanhenee 1.1.2025 klo 14 EEST

Jos sinulla ei ole tarvetta kytkeytyä modeemin hallintaan internetistä , vaan pelkästään kotiverkostasi , niin ei sillä sertifikaatilla ole merkitystä.

Ilmeisesti kytkeydyt modeemin hallintaan käyttäen https:// :ää ja se on ihan turhaa em. oletuksilla.

Voit ihan turvallisesti käyttää salaamatonta http://:tä osoitteessa http://192.168.10.1 , jolloin selain ei herjaa sertifikaatista.

Oletko tosissasi?

Oletat, että (1) minulla ei ole tarvetta hallita modeemia kuin paikallisverkosta, ja (2) modeemi on kotonani. Tietoturvahygieniasyistä en näitä maininnut tai mainitse.

Riippumatta siitä missä modeemia käytetään, päättyy sen SSL-sertifikaatti 1.1.2025, joka estää modeemin etähallinnan tietoturvallisesti ilman lisäkonfiguraatioiden tai laitteiden tekemistä tai järjestämistä.

Tästä johtuen kysyin, että onko modeemiin tulossa päivitys. Vastaus ei ole, että “ei sitä tarvitse päivittää”. Tämä on ihan tietoturva 101:stä.

Tällä hetkellä on menossa myös kyberturvallisuuskuukausi, josta on sivun ylälaidassa toast linkittäen artikkeliin [1], jossa kerrotaan myös että:

• Säännölliset & automaattiset päivitykset: Varmista, että käyttöjärjestelmät, sovellukset ja laitteet ovat ajan tasalla uusimpien tietoturvapäivitysten osalta. Ohjelmistopäivitykset sisältävät usein kriittisiä tietoturvaparannuksia.
• Tietoturvaohjelmisto: Pidä tietoturvaohjelmistosi huolta, ja varmista, että käytössä on ajantasainen virustorjunta ja palomuuri.

Sen lisäksi että jokainen voi itse lisätä digitaalista turvallisuuttaan, tekee Elisa operaattorina myös töitä kyberturvallisuuden eteen.

• Kyberturvakuukausi 2024 – turvallisella polulla KYBERTURVAKUUKAUSI

Ymmärrän.

Jos kyse on etähallitusta laitteesta kuten annat ymmärtää , niin tilanne on ihan toinen.

Laite on noin viisi vuotta vanha ja saattaa hyvinkin olla , että ainakaan Elisalta siihen ei enää päivityksiä tule. No sen tietää vain Elisa.

Suosittelen laittamaan kyselyä aspaan joko Oma Elisan kautta tai yhteyslomakkeella.

https://elisa.fi/asiakaspalvelu/yhteyslomake/

Laite on edelleen myynnissä Elisan verkkokaupassa, joten laitteen markkinoilletulovuodella ei liene merkitystä.

https://elisa.fi/kauppa/tuote/zyxel-vmg3927?deviceVariant=VMG3927

Ei kuitenkaan pitäisi olla asiakkaan asia huolehtia, että päivitykset tehdään. Tyypillisesti kuitenkin nämä sertifikaattiasiat tuppaavat unohtumaan it-toimijoilta, joten ajattelin kysyä näin etukäteen, että tarvitseeko asiakkaana varautua käyttökatkoon, vai päivitetäänkö sertifikaatti ajoissa.

Kohta alkaa olla jo kiire.

Mikäli Elisa ei toimittaisi päivitystä, reilu teko olisi purkaa operaattorilukko niin, että asiakas itse pystyy pitämään purkin ajan tasalla.

Noinhan se on , mutta kysymyksiisi voi vastata vain Elisa. Toivotaan , että elisalaiset kommentoivat asiaa täällä tai aspaan laittamiisi kysymyksiin.

Tartutaanpa tähän.

Jossain aiemmassa Arris-päivityksiä koskevassa ketjussa muistaakseni nostin esille kysymyksen laitteen myyjän (tässä tapauksessa Elisa) vastuun laiteohjelmistojen toimittamisesta kuluttajalle ja erityisesti sen, kuinka kauan myyjä on vastuussa laitteen päivityksestä. Korjatkaa, jos olen väärässä, mutta käsittääkseni nykyisen Kuluttajansuojalain mukaan laitteen myyjä on vastuussa ohjelmistopäivityksistä laitteen oletetun käyttöiän ajan. Eli niin kauan, kuin kaapelimodeemin tms. voi olettaa kestävän käytössä. 

Kauanko tämä sitten on? Raudan puolesta varmasti esim. 5 vuotta ei liene mikään mahdottomuus? Ja tässä siis ilmeisesti vielä kyseessä myynnissä oleva vehjes.

En usko, että KSL tuntee käsitettä "vanheneminen", mutta toisaalta en ole lakihenkilö.

En minäkään ole lakihenkilö. Sen verran kuitenkin ajattelen, että tuo “vanheneminen” olisi hyvä ottaa pikaisesti sanavarastoon. Jos peilataan nykytilanteeseen, missä “vanhoja” laitteita käytetään verkossa väärin, niin voisi olla paikallaan tätä termiä kailottaa isommin yleisölle. Ja kyllä, paljon eri tahojen toimesta voitaisiin varmasti tehdä tekohengitystä erinäisten laitteiden osalta, jos rahaa satsattaisiin isosti. Rauta on kuitenkin sellainen, mitä ohjelmistopäivityksillä ei saada taottua paremmaksi. Onko se kannattavaa? Enpä usko, ellei haluta tekniikan kehityksessä pysähtyä paikoilleen. ← Tämä ei nyt suoranaisesti sitten liity VMG3927 tilanteeseen vaan yleisesti. VMG3927 sertifikaatin osalta on jatkopyyntöä toivottu, Zyxel tätä tarkastelee parhaillaan. Aika siis näyttää tästä eteenpäin.

Onko liittymissä siis tapahtunut materiaalisesti sellaista, että asia pitää ratkaista päivittämällä hardis, eikä riitä että ohjelmiston pitää ajan tasalla tietoturvan osalta? Onko siis tämän laitteen prosessorin mikrokoodissa jokin paikkaamaton haavoittuvuus, josta pitäisi tietää? Ei kuulosta kovin ekologiselta. Ja miksi tätä purkkia myydään vielä, jos sitä ei mielestäsi pitäisi enää käyttää.

Kiitos, että olette välittäneet sertifikaattiasian eteenpäin.

Lähinnä tuohon Thunderin kysymykseen otin kantaa ja toin oman näkemykseni tuohon laitteen vanhenemiseen liittyen ja siitä, että kehitys kaikessa on hyväksi. Tässä siis puhuttiin yleisesti laitteista eikä liity suoranaisesti tähän VMG3927 laitteeseen kuten tuolla aiemmin totesinkin. Näkemys pohjautui lähinnä siihen, että tätäkin huomattavasti vanhempia laitteita on yhä käytössä. Pahoittelut, mikäli väärinkäsityksiä syntyi myös Zyxel VMG3927 osalta. Pidän peukut pystyssä, että saadaan VMG3927 sertifikaatille jatkoa. 😊