Datatilsynets hjemmeside i knæ efter udløbet SSL-certifikat

Illustration: Screenshot fra datatilsynet.dk
Samme dag som Datatilsynet lancerer et nyt design af sin hjemmeside, er SSL-certifikatet udløbet.

Her en uge før den nye persondataforordning træder i kraft, er Datatilsynets hjemmeside svær at tilgå for mange brugere.

Flere læsere har fredag morgen gjort Version2 opmærksomme på den røde streg over hængelåsen, der pryder Datatilsynets hjemmeside.

SSL-certifikatet er udløbet pr. 18. maj 2018 01:59, og derfor vil browsere som Chrome, Firefox og Edge ikke umiddelbart lade brugerne fortsætte ind på sitet.

Det har endnu ikke været muligt at få en kommentar fra Datatilsynet om årsagen til det manglende SSL-certifikat, og hvornår problemet forventes at være løst.

Til Ekstra Bladet udtaler kommunikationskonsulent hos Datatilsynet Anders Due:

»Vi har ikke forlænget certifikatet, da der går en ny hjemmeside i luften klokken 12. Der var vi dog ikke helt klar over, at det ville give noget knas med vores nuværende hjemmeside,« lyder det fra Anders Due til Ekstra Bladet.

Privatlivsaktivisten Christian Pantons bud på en forklaring af det manglende SSL-certifikat lyder sådan her:

Læs også: HTTPS: Skat lover krypteret forbindelse fra 1. juli

Tilbage i januar havde læsere af Ingeniøren og Version2 også udsigt til en rød streg over hængelåsen, da SSL-certifikatet på de to sites også var udløbet.

Her var forklaringen, at leverandøren, som hoster Mediehuset Ingeniørens sites, var blevet købt af et andet selskab, og i den forbindelse har der ikke været styr på alle processer.

Læs også: Udløbet SSL-certifikat sendte Ingeniøren og Version2 i sort

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
Simon Mikkelsen

Jeg forstår ikke, at folk bliver ved med at købe dyre certifikater og bøvle med manuelle processer. LetsEncrypt leverer gratis certifikater og software der opdaterer dem automatisk en gang om måneden. Det giver en masse fordele med automatisk opdatering og at det sker ofte. Man får ikke mere sikkerhed bare fordi det koster penge.

Jens Christian Gram

Letsencrypt udsteder kun "domain validation" certifikater.
Til mere alvorlige ting bør man bruge "organization validation" eller "Extended validation".

MAO tjekker Letsencrypt kun at den der har certifikatet har haft kontrol over domænet inden for den sidste måned.
De andre tjekker også at den de udsteder certifikatet til tilhører den organisation de påstår.

Ditlev Schwann

Mon ikke de har renew'et certifikatet og derved revoked det gamle?
(og så kun installeret det nye cert på det nye site)

At det ikke udgør en risiko at besøge det gamle site er rigtigt nok, deres selvbetjeningsløsninger er for længst nedlagt, men at man som tilsynsmyndighed på den måde træner besøgende i at ignore certifikatfejlen er uheldigt. Næste gang ukyndige ser den samme advarsel vil de kunne tro, at det er ok at fortsætte, selvom det i en anden kontekst vil kunne resultere i en kompromittering.

Povl H. Pedersen

er at DataTilsynet siger at det er OK og sikkert at besøge en webside hvor der er certifikatfejl. Hermed lærer de borgerne at bypasse advarsler.

Dette burde som minimum koste bonus, evt omplacering uden betalt frokost.

At man siger vent til kl. 12, i stedet for at bruge 5 min på at smide et letsencrypt cert på, er typisk for det offentlige. De lever åbenbart ikke af de besøgende.

Kl. er nu over 12.
Første forsøg, fejl med zero size object.
Andet forsøg, og jeg kommer til http://datatilsynet.gobasic.org uden HTTPS. Så på det nye site har de heller ikke styr på det.

Hvis jeg tvinger HTTPS i URL'en, så får jeg certifikatfejl, da certifkatet er til oim.dk/*.oim.dk.

Så heller ingen styr på det i den nye løsning, der burde være testet.

GoBasic.org ejes af:

CSL Computer Service Langenbach GmbH d/b/a joker.com a German GmbH

Nu 5 min senere, er der HTTPS redirect til www.datatilsynet.dk, men samme fejl på cert.

Så tydeligvis ikke testet, og masser af problemer. Tyder på at der er en masse outsourcede ydelser her, og ikke dem der kender løsningen der roder med det. Det er tydeligvis ikke testet før prod.

Povl H. Pedersen

https://ekstrabladet.dk/nyheder/samfund/stor-hjemmeside-brudt-ned-nogen-...

Her Har en Anders Due udtalt nedenstående:

  • Vi har ikke forlænget certifikatet, da der går en ny hjemmeside i luften fra vores side af klokken 12.

  • Der var vi dog ikke helt klar over, at det ville give noget knas med vores nuværende hjemmeside, lyder det fra Anders Due, der er pressemedarbejder hos Datatilsynet.

Sådan kommer du i kontakt med dem
Teknisk set kan man godt omgå det manglende sikkerhedscertifikat, men så begynder alarmklokkerne at ringe på din browser.

  • Vores IT-folk har undersøgt sagen.

  • De vurderer, at det ikke udgør en sikkerhedsrisiko at trykke videre ind på vores hjemmeside, siger pressemedarbejderen.

Simon Mikkelsen

Næh.. Men man får nogen man kan slå oven i hovedet hvis det pludselig ikke virker.

Men hvis din forretning stopper med at virke, kan du slå nok så meget i hovedet på andre: Din forretning virker stadig ikke. Det er ikke din kernekompetance at slå CAer i hovedet - det er ikke det du skal leve af. Detfor bør du finde den bedste løsning, uanset om du kan slå nogen i hovedet eller ej.

Martin Pedersen

Til mere alvorlige ting bør man bruge "organization validation" eller "Extended validation".


Sikke en gang fis. For det første er der ingen normale mennesker der kender forskel på et DV og et EV certifikat, og hvordan de spotter forskellen. For det andet garanterer det ikke at organisationen er en lødig organisation. Så hvad vil du bruge det ekstra tjek til, udover at smide penge væk?

Desuden er der masser af store organisationer der bruger helt almindelige DV certifikater.

Henrik Biering Blogger

Vores IT-folk har undersøgt sagen. De vurderer, at det ikke udgør en sikkerhedsrisiko at trykke videre ind på vores hjemmeside, siger pressemedarbejderen.

Muligheden for at acceptere udløbne eller forkerte certifikater er kun til stede for personer (eller rettere browsere), der ikke har besøgt datatilsynets side inden for den karensperiode, der var sat i sitets HSTS header. Og kun fordi datatilsynet tilsyneladende har glemt at få HSTS preloaded i de gængse browsere.

Her til aften er der stadig ikke kommet styr på certifikatet. Så har man brug for at konsultere tilsynets hjemmeside her kort før GDPR går i luften, må man altså finde en ny datatilsyns-jomfruelig browser frem og klikke sig igennem advarslerne.

Dennis Krøger

Det er lykkedes mig at logge på via en "jomfruelig" Firefox, men siderne loader meget langsomt. Chrome og Edge fungerer fortsat ikke, blokerer pga. en usikker forbindelse.

Jeg er kommet igennem HSTS spærringen (ved at slette entry i Chrome, men så det samme med en Firefox der ikke har set siden før), men jeg render bare ind i en 404 Not Found i stedet, i hvert fald på hovedsiden.

Hvordan kom du igennem? Direkte link til en underside du skulle bruge?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017