PET’s hjemmeside dømt usikker af browseren: Bruger udløbet SSL-certifikat
Har du opdaget, at din overbo driver en terrorcelle, kan du informere Politiets Efterretningstjeneste gennem en kontaktformular på hjemmesiden pet.dk.
Men ligesom borger.dk og andre offentlige websider bruger PET et SSL-certifikat fra TDC, som efter fem års brug udløb onsdag den 28. september. Og derfor får man nu en fejlmeddelelse i browseren om sikkerhedsproblemer, hvis man klikker sig ind på PET’s kontaktformular.
SSL-certifikaterne bruges til at kryptere datatrafikken, så andre ikke kan lytte med, men hvis et af dem er udløbet, vil en browser som udgangspunkt ikke stole på sikkerheden i løsningen. Det udløser en advarsel, som afhængigt af browseren kan være ret voldsom.
TDC-certifikatet er et mellemcertifikat, som normalt har en længere løbetid, og som derfor normalt ikke får meget opmærksomhed.
Da certifikatet, som også bruges til NemID-login, blev forældet onsdag klokken 13.10, havde DanID sendt en advarsel ud til offentlige brugere – men det skete først mandag den 26. september. NemLogin-support sendte beskeden videre til de enkelte offentlige websider sent tirsdag, så der kun var en formiddag til at rette op på problemet.
Det korte varsel var ikke meningen, forklarer Nets DanID, der driver NemID.
»Det havde været bedre, hvis vi havde gjort det en uge før, men vi sendte beskeden ud, så snart vi selv var klar over problemet. Man skal også selv huske at holde øje med de certifikater, man bruger. Men det er god service fra vores side at gøre opmærksom på det i god nok tid,« siger Jette Knudsen, kommunikationschef hos Nets DanID.
Problemet med det forældede certifikat kan løses hurtigt ved at skifte til et nyere.
Kommentarer (9)
Dog synes jeg ikke man skal klandre PET for at TDCs certifikat er udløbet.
Det er jo ikke www.pet.dk certifikatet der er udløbet, men "TDC SSL Server CA".
-
0 -
0
Trust kæden er
- PET certifikat udstedt af TDC SSL Server CA (udløb 16-2-2012)
- TDC SSL Server CA har certifikat udstedt af TDC internet root CA
- TDC internet root CA har certifkat udstedt af Etrust
På Ubuntu Natty har Firefox 6.0 cachet TDC certifikater med udløb i hhv. 2014 og 2021, og da PETs certifikat har udløb i 2012, kommer der ikke nogen fejl.
Opera og Chrome (og wget) har åbenbart ikke cachet disse TDC certifikater, og her rapporteres udløb i 2011, altså fejl.
Om ikke andet viser eksemplet at den SSL-verden som man ser afhænger af browser øjnene :-)
-
0
-
0
Hvor svært kan det være at holde nogle certifikater opdateret? Jeg forstår simpelthen ikke at en så simpel opgave ikke kan løses tilfredsstillende på nogen som helst måde.
-
1
-
1
- At de har åbent for SSLv2 og en række weak ciphers
- At de tillader insecure negotiation
- At de med det samme man tilgår https://www.pet.dk redirecter til http for alt undtaget enkelte sider
- At de kører på en nærmest antik IIS version (eller også sender de en forkert serverversion med vilje, det håber jeg lidt)
-
2
-
0
Jeg synes ikke at man kan klandre andre end TDC/DanID i den her sag.
DanID sender en påmindelse EN DAG før udløb af derses CA certifikat, det er så dårlig service som det næsten kan være.
Come on, vi betaler tusindevis af kroner for et certifikat som er tæt på gratis at oprette, så kan man vel i det mindste forvente at servicen er i orden.
-
5
-
0
Tag et kik på https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fwww.pet.dk%2F
Blandt andet:
Renegotiation Insecure Renegotiation Supported INSECURE ( http://it.slashdot.org/story/09/11/16/2327230/SSL-Renegotiation-Attack-B... )
Understøttelse af diverse svage Cipher Suites.
Understøtter kun usikre protokoller, for eksempel SSL 2.0 ( http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and... ). De eneste protokoller som er sikre er TLS 1.1 og TLS 1.2, men dem understøtter de ikke. ( http://www.h-online.com/security/news/item/First-solutions-for-SSL-TLS-v... )
Amatører :).
-
0
-
0
Tilføj kommentar
