Certifikat-fejl stikker kæp i hjulet for digital signatur på boligejer.dk

Et forældet certifikat på boligejer.dk får de røde advarselslamper til at blinke i Firefox og Internet Explorer ved forsøg på login med digital signatur. Erhvervs- og Byggestyrelsen opfordrer brugerne til at ignorere fejlen.

I disse dage kræver det mere is i maven end normalt at logge ind med digital signatur på hjemmesiden boligejer.dk, der hjælper danskerne med at købe, sælge og bygge hus.

De brugere, der forsøger at logge ind på siden med digital signatur, bliver nemlig mødt af en advarsel i både Firefox og Internet Explorer, dér hvor brugeren burde være blevet præsenteret for en imødekommende login-side.

Fejlen skyldes, at SSL-certifikatet, der bruges til at identificere boligejer.dk som en sikker og pålidelig hjemmeside overfor brugeren, er forældet og dermed ikke længere er gyldigt som sikkerhedscertifikat.

Det betyder, at brugeren aktivt skal vælge at ignorere sikkerhedsadvarslen for at kunne logge ind på boligejer.dk med digital signatur.

Kendte ikke til problemet
Sikkerhedscertifikater udstedes normalt for en periode på eksempelvis et eller to år og skal herefter fornyes for fortsat at være gyldige.

Erhvervs- og Byggestyrelsen står bag boligejer.dk, men her var man ikke selv klar over problemet med det udløbne certifikat, da Version2 tager kontakt for at høre en forklaring på certifikatfejlen.

Erhvervs- og Byggestyrelsen kan dog rimeligt hurtigt konstatere, at der er tale om en menneskelig fejl, og ikke et leverandørproblem.

»Den ansvarlige udvikler for login-delen har ikke været opmærksom på, at certifikatet var udløbet, så det er helt og aldeles vores fejl,« siger projektleder på boligejer.dk, Hanne Groth.

Et nærmere kig på certifikatets oplysninger viser, at det er udstedt fra leverandøren Thawte Consulting 13. oktober 2008 og er udløbet 14. oktober 2009, altså onsdag i sidste uge.

Ifølge projektlederen foregår fornyelsen af certifikaterne ved, at den ansvarlige udvikler i Erhvervs ? og Byggestyrelsen kontakter leverandøren Thawte og beder om at få certifikatet fornyet.

Automatisk fornyelse af certifikat en mulighed
Men det er altså ikke sket i tide denne gang.

Har I overvejet, om fornyelsen af certifikaterne burde ske mere automatiseret, så det ikke skal være op til en udvikler at huske på det?

»Normalt volder det ikke nogen problemer for os, men her i huset har vi efterhånden rigtigt mange systemer kørende, og det er den slags, der kan ske, når tingene bliver mere og mere komplekse. Så derfor har jeg tænkt mig at snakke med Thawte (leverandøren, red.), om det kan lade sig gøre at lave det på en smartere måde, så fornyelsen sker automatisk,« siger Hanne Groth.

Er der nogen sikkerhedsmæssig risiko for brugerne af boligejer.dk ved at acceptere det forældede certifikat?

»Det siger vores udviklere, at der ikke er. Det er udelukkende et certifikat, der bruges under opstart af loginkomponenten, så man skal som bruger bare bede browseren om at godkende det ugyldige certifikat for at komme videre til login,« siger Hanne Groth.

Detaljerne for det forældede certifikat viser, at det er udløbet 14. oktober, altså onsdag i sidste uge. Hvorfor har I ikke opdaget det, før vi gør jer opmærksomme på det?

»Vi går jævnligt ind og tjekker, men har altså ikke selv opdaget det denne gang. Og vi har ikke fået nogle henvendelser fra brugerne, hvilket måske hænger sammen med, at det ikke er så mange brugere af siden, der benytter sig af login med digital signatur. Det bruges mest, når folk henter deres tilstandsrapporter,« siger Hanne Groth.

Hvornår regner I med at have løst problemet?

»Det er ikke noget, som Thawte bare lige gør. Men vi lægger en tekst ud på hjemmesiden, der beskriver problemet, indtil det er blevet rettet,« siger Hanne Groth.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Bach

Har lidt svært ved at forstå, at de ikke er opmærksom på problemet. Vores udbyder af certifikater sender mails til os allerede 3 måneder før certifikaterne udløber, så vi har mulighed for at være på forkant med det. Derefter følger emails 2 måneder før, 1 måned før, 14 dage osv.... Og det tager på normal vis mindre end en halv time at få opdateret.

Så det undrer mig, at de ikke ved, at problemet er der. Og at de heller ikke får gjort noget ved det noget hurtigere.

  • 0
  • 0
Pascal Geuns

Hvis man kun skal bruge certifikatet for at køre SSL (https), hvorfor øger det så sikkerheden at certifikatet er signeret af f.eks. Thawte? Krypteringen foregår jo alligevel. Eller hvad?

Da findes 2 slags SSL certifikater, et domænevalideret og et fuldvalideret SSL certifikat. Begge SSL certifikater muliggør kryptering og sikrer data integritet.

Men ved et fuldtvalideret SSL certifikat få man også autentifikation, fordi certifikatudbyderen kontrollerer at det firma som beder om at få udstedet et SSL certifikat kan bevise, via dokumentation, at det firmanavn og den adresse som de angiver er korrekt og at de ejer det domænenavn som de vil bruge certifikatet med.

Når et fuldvalideret certifikat bliver udstedet, så siger certifikatudbyderen god for adressinformationen, som også bliver del af certifikatet og som kan bringes frem ved at klikke på låsen i browservinduet.

Og det er her dit spørgsmål bliver besvaret, fordi ved at en tredje part (certifikatudbyderen) som du stoler på (via rodcertifikatet i din browser) har signeret (udstedet) et fuldvalideret SSL certifikat kan du være sikker på at den adressinformation, som du finder i certifikatet, er blevet kontrolleret og dermed giver dig mulighed til at stole på at websitet tilhører det firma som de siger de er.

Mvh Pascal Geuns http://www.qualityssl.com/dk/

  • 0
  • 0
Sanne Rasmussen

Vores udbyder af certifikater sender mails til os allerede 3 måneder før certifikaterne udløber, så vi har mulighed for at være på forkant med det. Derefter følger emails 2 måneder før, 1 måned før, 14 dage osv....

Det er helt normalt, det gør vi bl.a. også for samtlige SSL produkter vi sælger. Dog er det op til leverandøren af SSL certifikatet om de tilbyder denne service.

Det er muligt at de har købt deres certifikat fra en billig leverandør som ikke har denne service, derved vil det være meget let at "komme til" at glemme at fornye sit certifikat, når man har mange server systemer at vedligeholde. Det er ihvertfald noget vores kunder har udtrykt som meget positivt at få disse "husk" e-mails.

Hvornår regner I med at have løst problemet?

»Det er ikke noget, som Thawte bare lige gør. Men vi lægger en tekst ud på hjemmesiden, der beskriver problemet, indtil det er blevet rettet,« siger Hanne Groth.

Derudover tager det typisk under en time at fornye og installere et SSL certifikat på en server. En sådan besked på websitet burde altså være fuldstændig unødvendig.

Og man bør aldrig stole på en side der kommer med en SSL certifikat fejl, uanset om der stadig kan være kryptering. Når først der er en fejl, kan der ikke længere garanteres at serveren tilhører den man tror og der vides ikke længere hvem der modtager informationerne man sender til serveren.

Mvh Sanne https://www.FairSSL.dk

  • 0
  • 0
Dennis Krøger

Det er ihvertfald noget vores kunder har udtrykt som meget positivt at få disse "husk" e-mails.

Imponerende. I registrerede domænet i August, og der er allerede kunder hvis certifikat er ved at løbe ud?

Tråden er forøvrigt oldgammel nu, og har ikke mere interesse... Udover måske til... Lidt reklame?

  • 0
  • 0
Log ind eller Opret konto for at kommentere