Konsulent: Dårlig praksis at se stort på forældede certifikater

Erhvervs- og Byggestyrelsen beder brugere af boligejer.dk om at ignorere advarslen om et forældet sikkerhedscertifikat ved login med digital signatur. Dårlig praksis, mener sikkerhedskonsulent.

Det er ikke god stil, når brugere af boligejer.dk opfordres til at ignorere advarsler i Firefox og Internet Explorer om et udløbet sikkerhedscertifikat på hjemmesiden. Sådan lyder vurderingen fra sikkerhedskonsulent, der har set på sagen.

Men det er lige nøjagtig, hvad Erhvervs- og Byggestyrelsen, der står bag rådgivningssiden boligejer.dk, opfordrer sine brugere til at gøre, efter Version2 mandag gjorde styrelsen opmærksom på problemet.

Brugere af boligejer.dk er siden onsdag den 14. oktober blevet mødt af en advarsel i både Firefox og Internet Explorer i stedet for et login-vindue, når de forsøger at logge ind på siden med digital signatur.

Erhvervs- og Byggestyrelsen kunne i dag ved halv elleve-tiden meddele Version2, at det udløbne certifikat nu er blevet fornyet.

Advarslen skyldtes et udløbet sikkerhedscertifikat, som normalt bruges til at identificere boligejer.dk som en troværdig og sikker hjemmeside over for brugeren, og de røde advarselslamper er derfor helt på sin plads, fortæller sikkerhedskonsulent Claus Nørklit Roed, Pricewaterhousecoopers, til Version2.

**Dårlig opdragelse af brugeren **
Derfor bør man heller ikke opfordre brugeren til at se stort på advarslen.

»Det er bestemt ikke god praksis at gøre det, for hvad sker der næste gang, brugeren oplever det samme på et andet site? Brugeren bør følge de fornuftige anvisninger om sikkerheden, som browseren kommer med, og derfor er det generelt en dårlig idé at opfordre til at ignorere den type fejl,« siger Claus Nørklit Roed.

Ifølge sikkerhedskonsulenten handler det ikke så meget om de potentielle sikkerhedsproblemer ved boligejer.dk, som det handler om at opdrage brugeren til at respektere den slags fejl generelt.

»Brugeren bør uddannes til ikke at falde for fristelsen til at omgå den slags fejl ved at trykke "Fortsæt til dette websted", for konsekvenserne kan potentielt være alvorlige. Hvis man ignorerer advarslen i browseren, kan der jo være risiko for, at det er et phishing-site, som forsøger at omdirigere brugeren,« siger Claus Nørklit Roed.

Virksomheder glemmer certifikaterne
I arbejdet som sikkerhedskonsulent ser han ofte, at virksomheder ikke har styr på certifikatfornyelserne.

Han påpeger, at der ifølge best practice-værktøjet ITIL ikke findes nogle specifikke processer, der kan sikre fornyelsen af certifikatet, men kun rettesnore for, hvilken person der er ansvarlig for opgaven med at forny certifikatet.

Hos Erhvervs- og Byggestyrelsen var det netop den ansvarlige udvikler for login-komponenten, der havde glemt at bede om fornyelse af certifikatet.

»Desværre ser vi ofte, at indkøb og vedligehold af server-certifikater ikke har den opmærksomhed, som det burde have, og det skyldes nok manglende fokus på, at opdateringen af certifikaterne også er en del af it-infrastukturen, som skal underlægges den almindelige change management procedure,« siger Claus Nørklit Roed.

Boligejer.dk principielt enig i kritikken
Projektleder på boligejer.dk, Hanne Groth, fastholder overfor Version2, at der ikke er nogen sikkerhedsmæssig risiko for brugerne ved at ignorere sikkerhedsadvarslen.

»Fejlen opstår udelukkende på ebstsaml.dk, som er den fælles 'kanal', der fører videre til Nemlogin (login med digital signatur, red.). Selve Nemlogin-siden er ikke berørt, og jeg tror heller ikke, at de lige glemmer at forny deres certifikater,« siger Hanne Groth.

Men er du enig i, at man ikke bør opfordre brugere til at ignorere den slags advarsler?

»Jeg er enig rent principielt, men det er også en afvejning af, om man skal hjælpe brugerne til at komme videre på hjemmesiden, eller man skal forhindre dem i det, indtil problemet er løst. Og så har vi heller ikke stærkt personfølsomme data liggende,« siger Hanne Groth.

Det ét-årige sikkerhedscertifikat på boligejer.dk udløb 14. oktober, men er altså i dag tirsdag blevet fornyet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Flemming Frandsen

Det er umådeligt ringe at have et udløbent certifikat på en offentlig synlig server.

Det koster trods alt kun 50 kr og 10 minutter om året at have et https certifikat som alle browserne vil kendes ved (se: namecheap).

Man burde faktisk slet ikke kunne ignorere certifkat fejl som dette, for det gør det alt for nemt at narre brugeren, jf. sslsniff / sslstrip.

Det er ikke et teoretisk problem at banditter kan lave et MITM angreb, hvis man kan komme til at køre kode på en maskine der har adgang til brugerens lokalnet så kan man nemt lave et MITM med arp og dns spoofing.

I det hele taget er https ikke sikkert og sjusk som det her gør det kun værre.

Det eneste der rigtigt kan gøres er at rulle dnssec ud ASAP og indføre en record i DNS som indikerer for browseren at den aldrig må snakke http med et site, så kan man ved samme lejlighed bruge DNS til at distribuere sitets public key og lade browseren nægte alle workarounds hvis sitet ikke bruger denne nøgle.

  • 0
  • 0
#3 Hans Peter Nielsen

Godt nok skal vi tage højde for laveste fællesnævner, men jeg synes nu, at der ligger en god overdrivelse i at forvente, at brugerne sætter lighedstegn mellem et specifikt certifikat på et offentligt website, der var gyldigt indtil i sidste uge og så alle fremtidige certifikat-advarsler, de vil blive udsat for.

I mine øjne er det derfor i orden, når EBST melder ud, at deres brugere kan få adgang til systemet ved i dette og kun dette tilfælde at ignorere fejlbeskeden. Og så samtidig få løst det bagvedliggende problem så hurtigt som muligt.

  • 0
  • 0
#4 Flemming Frandsen

NEJ! Det er fandensparkeme aldrig nogen sinde i orden at dressere brugere til at ignorere advarsler om certifikater, for de vil aldrig nogen sinde kunne kende forskel på "certifikatet for skod-nakke.dk er ikke længere gyldigt, men det var det i sidste uge" og "certifikatet for skod-nakke.dk har aldrig været til at stole på".

At opdrage brugere til at se bort fra problemer med certifikater skader sikkerheden på alle sites der bruger https, ikke kun på det ene discount site der ikke gider at købe et rigtigt certifikat.

  • 0
  • 0
#6 Hans Peter Nielsen

Jeg har lige været offline et par dage, og derfor kommer svarene lidt forsinket.

de vil aldrig nogen sinde kunne kende forskel på "certifikatet for skod-nakke.dk er ikke længere gyldigt, men det var det i sidste uge" og "certifikatet for skod-nakke.dk har aldrig været til at stole på".

Det ville de, hvis de kunne læse indenad på fejlmeddelelsen, men jeg vil medgive, at dette kan man ikke nødvendigvis forvente.

At opdrage brugere til at se bort fra problemer med certifikater skader sikkerheden på alle sites der bruger https

Det er denne pointe, jeg er uenig i. Der ligger efter min mening ingen opdragelse i, at EBST melder ud, at hvis du /lige nu/ har et behov for at få adgang til deres site, så kan du i dette specifikke tilfælde vælge at ignorere advarslen. Knappen "Fortsæt til dette websted" eksisterer jo i både Internet Explorer og Firefox, og hvis vi endelig taler opdragelse af brugere, giver det netop mening at opdrage dem i at gøre sig overvejelser omkring knappen og tage stilling til risikoen ved at bruge den. Hvis det fra offentlig myndighed er meldt ud i IT-pressen, at netop dette domæne har et problem med certifikatet som det for nuværende er sikkert at ignorere, ja så tror jeg godt at langt de fleste af de berørte brugere kan skelne det fra andre certfikat-advarsler, de skulle være uheldige at løbe ind i. De brugere der ikke kan det, vil alligevel heller ikke kunne skelne en certifikat-advarsel fra en vilkårlig anden advarsel.

Hans Peter Nielsen, hvordan opfatter du så den omvende situation?

Pointen er jo, at hvis man kan gøre sig troværdig på anden måde end med certifikatet, så eksisterer sikkerhedsproblemet ikke for det pågældende tilfælde. Det er næppe teknisk muligt, men man kunne antage at EBST gerne ville åbne midlertidigt op for en fejlbehæftet signatur, hvis man dukker op hos EBST med sit pas og siger, at man har behov for at få adgang.

I samme analogi skulle man jf. holdningen her være bange for, at EBST derefter blindt ville tillade samtlige efterfølgende fejlbehæftede signaturer uden at validere identiteten på anden vis.

  • 0
  • 0
Log ind eller Opret konto for at kommentere