Fem år gammelt TDC-certifikat er udløbet: Borger.dk gik i rødt

En manglende opdatering af et SSL-certifikat gav sikkerhedsadvarsler på Borger.dk, der er hovedindgangen til det offentlige på nettet.

Klokken 13.10 udløb et SSL-certifikat fra TDC, som i fem år er blevet brugt på statslige websider som Borger.dk.

Dermed blev besøgende mødt med advarsler fra browseren om, at siden kan være usikker. I Google Chrome sker det i form af en helt rød skærm med en advarsel, men måden at gøre det på varierer fra browser til browser.

Siger man ja til at gå videre, har det udløbne certifikat dog ingen konsekvenser for login med NemID, ud over nogle røde streger henover HTTPS-symbolet.

Miseren skyldes, at Borger.dk og en række andre offentlige websider bruger mellemcertifikater fra TDC, som udløber efter fem år, og at ikke alle har husket at forny deres certifikat. Mens der langsomt er ved at komme fokus på, at man skal huske at opdatere SSL-certifikaterne i browseren, som typisk udløber efter 1-3 år, har der ikke været samme opmærksomhed om resten af kæden af SSL-certifikater.

Det fortæller en læser, som kender til sagen, til Version2.

TDC har selv advaret brugerne om, at det fem år gamle certifikat udløb netop nu. Mellemcertifikater har også typisk en længere levetid, for eksempel 20 år, så man ikke skal bekymre sig om dem i lang tid, men TDC valgte altså tilbage i 2006 at holde levetiden på fem år.

At ikke alle har reageret på advarslen, skyldes måske, at meldingen fra DanID, som leverer loginløsningen med NemID, først kom den 26. september, og først blev videresendt af NemLogin-support om aftenen den 27. september. Det gav altså kun de hjemmeside-ejere, som ikke kendte til problemet fra anden side, en formiddag til at forny certifikatet. Se meddelelsen fra NemLogin-support herunder.

Kære Service Providere på NemLog-in, Nets DanID har i går, d.26. september, udsendt en e-mail angående udløb af en SSL kæde i morgen. E-mailen indeholdt oplysning om, at certifikatet TDC SSL Server CA udløber onsdag d. 28. september 2011 kl. 13.10.50. SSL-certifikatet anvendes af NemLog-in i to >wildcard certifikater for hhv. *.test-fobs.dk og *.fobs.dk. Den korte frist fra DanID er grunden til, at vi fra NemLog-in retter henvendelse til alle Service Providere, da vi vil sikre os at budskabet når frem til jer – og så I kan nå at handle inden ovenstående udløbstidspunkt. Rent praktisk betyder det at I som Serviceudbydere på NemLog-in har en kopi af ovennævnte certifikat installeret på jeres egne servere i common domain, og I skal hurtigst muligt og helst i morgen, d. 28. september inden udløbstiden, udskifte certifikatkæden på jeres produktionsservere (og derefter evt. på dem i test). I modsat fald og meget afhængig af webserver-fabrikat risikerer I at jeres webserver ikke vil starte, med udfald på login til følge! Det kan også være at brugeren blot får en advarsel.

Opdateret: Fejlen er tilsyneladende rettet på Borger.dk omkring kl. 15.30. Artiklen er desuden opdateret med information om det korte varsel, DanID gav.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Makholm Blogger

Ud fra et vedligeholdelsessynspunkt er 5 år efter min mening noget nær den værste levetid man kan vælge. Det er næsten med sikkerhed for kort tid til at systemet er erstattet og næsten med sikkerhed for lang tid til at man er motiveret for at lave en fast opdateringsprocedure som en del af idriftsættelsen.

Enten skal man vælge 13 måneder (og med det samme sørge for et væld af baladeovervågning når de 12 måneder er gået) eller også skal man vælge 30 år så alle involverede forlængst er gået på pension.

  • 14
  • 0
#2 Deleted User

Netop en sådan opgave skulle man mene, at en offentlig myndighed skulle kunne holde styr på. Men at det udløber viser jo netop at man ikke har et sted at lagre informationen om certifikater, der udløber. Måske skulle man udvide Den Fælles Offentlige Adressedatabase med en tabel, der indeholder hvilke myndigheder,der skal huske at opdatere og hvornår ;-)

  • 4
  • 1
#3 Jesper S. Møller

Smily eller ej -- udskiftning af certifikater bør være en opgave for driften, og kun driften, specielt når det er noget så banalt som webservercertifikater. De har altså være med os siden 1996, de burde ikke komme som en overraskelse.

Driften bør for dette ansvar til gengæld kræve at systemerne dokumenterer certifikaters placeringer, og helst også at de er rimelig nemme at udskifte og ikke kræver nedetid. Det kan være tricky ved klientcertifikater (fordi de kan være genkendt på forskellige nøgler i subject, eller i SAML metadata) men dog heller ikke nogen uoverskuelig opgave.

Altså i den perfekte verden...

  • 0
  • 0
#6 Jens Holm

Nu er TDC's brøler så løst med et certifikat udstedt den 25-3-2010.. Den kan man så tænke over.. Problemet har jo hele tiden været tdc's, da det er deres certifikat og ikke borger.dk's certifikat, der er udløbet..

Jeg undrer mig over at man udsteder certifikater, der har længere løbetid end det validerende certifikat..

  • 2
  • 1
Log ind eller Opret konto for at kommentere