Fem år gammelt TDC-certifikat er udløbet: Borger.dk gik i rødt

28. september 2011 kl. 15:046
En manglende opdatering af et SSL-certifikat gav sikkerhedsadvarsler på Borger.dk, der er hovedindgangen til det offentlige på nettet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Klokken 13.10 udløb et SSL-certifikat fra TDC, som i fem år er blevet brugt på statslige websider som Borger.dk.

Dermed blev besøgende mødt med advarsler fra browseren om, at siden kan være usikker. I Google Chrome sker det i form af en helt rød skærm med en advarsel, men måden at gøre det på varierer fra browser til browser.

Siger man ja til at gå videre, har det udløbne certifikat dog ingen konsekvenser for login med NemID, ud over nogle røde streger henover HTTPS-symbolet.

Miseren skyldes, at Borger.dk og en række andre offentlige websider bruger mellemcertifikater fra TDC, som udløber efter fem år, og at ikke alle har husket at forny deres certifikat. Mens der langsomt er ved at komme fokus på, at man skal huske at opdatere SSL-certifikaterne i browseren, som typisk udløber efter 1-3 år, har der ikke været samme opmærksomhed om resten af kæden af SSL-certifikater.

Artiklen fortsætter efter annoncen

Det fortæller en læser, som kender til sagen, til Version2.

TDC har selv advaret brugerne om, at det fem år gamle certifikat udløb netop nu. Mellemcertifikater har også typisk en længere levetid, for eksempel 20 år, så man ikke skal bekymre sig om dem i lang tid, men TDC valgte altså tilbage i 2006 at holde levetiden på fem år.

At ikke alle har reageret på advarslen, skyldes måske, at meldingen fra DanID, som leverer loginløsningen med NemID, først kom den 26. september, og først blev videresendt af NemLogin-support om aftenen den 27. september. Det gav altså kun de hjemmeside-ejere, som ikke kendte til problemet fra anden side, en formiddag til at forny certifikatet. Se meddelelsen fra NemLogin-support herunder.

>Kære Service Providere på NemLog-in,
>
>Nets DanID har i går, d.26. september, udsendt en e-mail angående udløb af en SSL kæde i morgen. E-mailen indeholdt oplysning om, at certifikatet TDC SSL Server CA udløber onsdag d. 28. september 2011 kl. 13.10.50. SSL-certifikatet anvendes af NemLog-in i to >wildcard certifikater for hhv. *.test-fobs.dk og *.fobs.dk.
>
>Den korte frist fra DanID er grunden til, at vi fra NemLog-in retter henvendelse til alle Service Providere, da vi vil sikre os at budskabet når frem til jer – og så I kan nå at handle inden ovenstående udløbstidspunkt.
>
>Rent praktisk betyder det at I som Serviceudbydere på NemLog-in har en kopi af ovennævnte certifikat installeret på jeres egne servere i common domain, og I skal hurtigst muligt og helst i morgen, d. 28. september inden udløbstiden, udskifte certifikatkæden på jeres produktionsservere (og derefter evt. på dem i test).
>
>I modsat fald og meget afhængig af webserver-fabrikat risikerer I at jeres webserver ikke vil starte, med udfald på login til følge! Det kan også være at brugeren blot får en advarsel.

Opdateret: Fejlen er tilsyneladende rettet på Borger.dk omkring kl. 15.30. Artiklen er desuden opdateret med information om det korte varsel, DanID gav.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
29. september 2011 kl. 12:45

Nu er TDC's brøler så løst med et certifikat udstedt den 25-3-2010.. Den kan man så tænke over.. Problemet har jo hele tiden været tdc's, da det er deres certifikat og ikke borger.dk's certifikat, der er udløbet..

Jeg undrer mig over at man udsteder certifikater, der har længere løbetid end det validerende certifikat..

5
29. september 2011 kl. 11:06

...kan overvåge den slags (og meget andet). Meget nemt at sætte op.

2
28. september 2011 kl. 16:47

Netop en sådan opgave skulle man mene, at en offentlig myndighed skulle kunne holde styr på. Men at det udløber viser jo netop at man ikke har et sted at lagre informationen om certifikater, der udløber. Måske skulle man udvide Den Fælles Offentlige Adressedatabase med en tabel, der indeholder hvilke myndigheder,der skal huske at opdatere og hvornår ;-)

3
28. september 2011 kl. 20:53

Smily eller ej -- udskiftning af certifikater bør være en opgave for driften, og kun driften, specielt når det er noget så banalt som webservercertifikater. De har altså være med os siden 1996, de burde ikke komme som en overraskelse.

Driften bør for dette ansvar til gengæld kræve at systemerne dokumenterer certifikaters placeringer, og helst også at de er rimelig nemme at udskifte og ikke kræver nedetid. Det kan være tricky ved klientcertifikater (fordi de kan være genkendt på forskellige nøgler i subject, eller i SAML metadata) men dog heller ikke nogen uoverskuelig opgave.

Altså i den perfekte verden...

1
28. september 2011 kl. 15:21

Ud fra et vedligeholdelsessynspunkt er 5 år efter min mening noget nær den værste levetid man kan vælge. Det er næsten med sikkerhed for kort tid til at systemet er erstattet og næsten med sikkerhed for lang tid til at man er motiveret for at lave en fast opdateringsprocedure som en del af idriftsættelsen.

Enten skal man vælge 13 måneder (og med det samme sørge for et væld af baladeovervågning når de 12 måneder er gået) eller også skal man vælge 30 år så alle involverede forlængst er gået på pension.