Datatilsynets hjemmeside i knæ efter udløbet SSL-certifikat

Jeg forstår ikke, at folk bliver ved med at købe dyre certifikater og bøvle med manuelle processer. LetsEncrypt leverer gratis certifikater og software der opdaterer dem automatisk en gang om måneden. Det giver en masse fordele med automatisk opdatering og at det sker ofte. Man får ikke mere sikkerhed bare fordi det koster penge.

Man får ikke mere sikkerhed bare fordi det koster penge.

Næh.. Men man får nogen man kan slå oven i hovedet hvis det pludselig ikke virker.

Kunne I ikke spørge datatilsynet om de godt nok mener at det ikke udgør en sikkerhedsrisiko at ignorere et certifikatfejl, som de har oplyst til Ekstrabladet?

https://ekstrabladet.dk/nyheder/samfund/stor-hjemmeside-brudt-ned-nogen-...

Letsencrypt udsteder kun "domain validation" certifikater.
Til mere alvorlige ting bør man bruge "organization validation" eller "Extended validation".

MAO tjekker Letsencrypt kun at den der har certifikatet har haft kontrol over domænet inden for den sidste måned.
De andre tjekker også at den de udsteder certifikatet til tilhører den organisation de påstår.

Mon ikke de har renew'et certifikatet og derved revoked det gamle?
(og så kun installeret det nye cert på det nye site)

At det ikke udgør en risiko at besøge det gamle site er rigtigt nok, deres selvbetjeningsløsninger er for længst nedlagt, men at man som tilsynsmyndighed på den måde træner besøgende i at ignore certifikatfejlen er uheldigt. Næste gang ukyndige ser den samme advarsel vil de kunne tro, at det er ok at fortsætte, selvom det i en anden kontekst vil kunne resultere i en kompromittering.

er at DataTilsynet siger at det er OK og sikkert at besøge en webside hvor der er certifikatfejl. Hermed lærer de borgerne at bypasse advarsler.

Dette burde som minimum koste bonus, evt omplacering uden betalt frokost.

At man siger vent til kl. 12, i stedet for at bruge 5 min på at smide et letsencrypt cert på, er typisk for det offentlige. De lever åbenbart ikke af de besøgende.

Kl. er nu over 12.
Første forsøg, fejl med zero size object.
Andet forsøg, og jeg kommer til http://datatilsynet.gobasic.org uden HTTPS. Så på det nye site har de heller ikke styr på det.

Hvis jeg tvinger HTTPS i URL'en, så får jeg certifikatfejl, da certifkatet er til oim.dk/*.oim.dk.

Så heller ingen styr på det i den nye løsning, der burde være testet.

GoBasic.org ejes af:

CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH

Nu 5 min senere, er der HTTPS redirect til www.datatilsynet.dk, men samme fejl på cert.

Så tydeligvis ikke testet, og masser af problemer. Tyder på at der er en masse outsourcede ydelser her, og ikke dem der kender løsningen der roder med det. Det er tydeligvis ikke testet før prod.

er at DataTilsynet siger at det er OK og sikkert at besøge en webside hvor der er certifikatfejl. Hermed lærer de borgerne at bypasse advarsler.

Det ville da være en katastrofe, men hvor har de sagt det?

(Jeg er med på, at masser af idiotiske myndigheder har sagt den slags)

https://ekstrabladet.dk/nyheder/samfund/stor-hjemmeside-brudt-ned-nogen-...

Her Har en Anders Due udtalt nedenstående:

• Vi har ikke forlænget certifikatet, da der går en ny hjemmeside i luften fra vores side af klokken 12.

• Der var vi dog ikke helt klar over, at det ville give noget knas med vores nuværende hjemmeside, lyder det fra Anders Due, der er pressemedarbejder hos Datatilsynet.

Sådan kommer du i kontakt med dem
Teknisk set kan man godt omgå det manglende sikkerhedscertifikat, men så begynder alarmklokkerne at ringe på din browser.

• Vores IT-folk har undersøgt sagen.

• De vurderer, at det ikke udgør en sikkerhedsrisiko at trykke videre ind på vores hjemmeside, siger pressemedarbejderen.

Nu har de da fået styr på http://, men https://?

Nej. Det er vel ikke nødvendigt. :-(

/Henning

Næh.. Men man får nogen man kan slå oven i hovedet hvis det pludselig ikke virker.

Men hvis din forretning stopper med at virke, kan du slå nok så meget i hovedet på andre: Din forretning virker stadig ikke. Det er ikke din kernekompetance at slå CAer i hovedet - det er ikke det du skal leve af. Detfor bør du finde den bedste løsning, uanset om du kan slå nogen i hovedet eller ej.

Til mere alvorlige ting bør man bruge "organization validation" eller "Extended validation".

Sikke en gang fis. For det første er der ingen normale mennesker der kender forskel på et DV og et EV certifikat, og hvordan de spotter forskellen. For det andet garanterer det ikke at organisationen er en lødig organisation. Så hvad vil du bruge det ekstra tjek til, udover at smide penge væk?

Desuden er der masser af store organisationer der bruger helt almindelige DV certifikater.

Vores IT-folk har undersøgt sagen. De vurderer, at det ikke udgør en sikkerhedsrisiko at trykke videre ind på vores hjemmeside, siger pressemedarbejderen.

Både ledelsen og it-medarbejderne er i så fald ikke dygtige nok til at arbejde for Datatilsynet - en myndighed med et formodet ansvar for datasikkerhed.

Vores IT-folk har undersøgt sagen. De vurderer, at det ikke udgør en sikkerhedsrisiko at trykke videre ind på vores hjemmeside, siger pressemedarbejderen.

Muligheden for at acceptere udløbne eller forkerte certifikater er kun til stede for personer (eller rettere browsere), der ikke har besøgt datatilsynets side inden for den karensperiode, der var sat i sitets HSTS header. Og kun fordi datatilsynet tilsyneladende har glemt at få HSTS preloaded i de gængse browsere.

Her til aften er der stadig ikke kommet styr på certifikatet. Så har man brug for at konsultere tilsynets hjemmeside her kort før GDPR går i luften, må man altså finde en ny datatilsyns-jomfruelig browser frem og klikke sig igennem advarslerne.

Det er ikke din kernekompetance at slå CAer i hovedet - det er ikke det du skal leve af.

Lige for Datatilsynet er det måske tættere på deres spidskompetencer end det er at drive forretning?

Vildt. De er stadig nede. Og nu virker selve siden heller ikke (når man er sluppet omkring HSTS), jeg får i hvert fald 404.

Det er lykkedes mig at logge på via en "jomfruelig" Firefox, men siderne loader meget langsomt. Chrome og Edge fungerer fortsat ikke, blokerer pga. en usikker forbindelse.

Det er lykkedes mig at logge på via en "jomfruelig" Firefox, men siderne loader meget langsomt. Chrome og Edge fungerer fortsat ikke, blokerer pga. en usikker forbindelse.

Jeg er kommet igennem HSTS spærringen (ved at slette entry i Chrome, men så det samme med en Firefox der ikke har set siden før), men jeg render bare ind i en 404 Not Found i stedet, i hvert fald på hovedsiden.

Hvordan kom du igennem? Direkte link til en underside du skulle bruge?

Jeg kunne logge på direkte fra hovedsiden, men det tager næsten et minut at få forsiden til at åbne. Og fortsat ingen https....

Alt ser endelig ud til at virke som det skal. :)

Alt ser endelig ud til at virke som det skal. :)

Det håber jeg ikke, siden er sløv som bare pokker på https.
Der er svartider på mange sekunder.

Der var samme udfordring i eftermiddags, efter du skrev dit indlæg, så det er ikke nyt her til aften.
https://i.imgur.com/7ZJcIHZ.png

Der er samme oplevelse i Edge, uden diverse add ons.

Taget i betragtning at PCI meget snart siger farvel til TLS1.0 er det temelig ringe at de ikke har strammet op for TLS i det her rod.

https://www.ssllabs.com/ssltest/analyze.html?d=datatilsynet.dk

weak ciphers og TLS1.0 + DH reuse

Men man får nogen man kan slå oven i hovedet hvis det pludselig ikke virker.

Helt aktuelt er der problemer med certifikater udstedt af Symantec. Hvad skulle man få ud af at slå Symantec oven i hovedet? Penge?