Microsoft patcher, så britiske myndigheds-domæner kan tilgås uden HTTPS

21. maj 2019 kl. 05:257
Microsoft patcher, så britiske myndigheds-domæner kan tilgås uden HTTPS
Illustration: Bigstock.
Henover weekenden har Microsoft frigivet patches, så det atter er muligt at komme på gov.uk via Edge og Internet Explorer 11, selvom domænet ikke understøtter HTTPS.
person
/jm tip@version2.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
/jm tip@version2.dk

Microsoft har frigivet opdateringer henover weekenden, så domæner, der slutter på gov.uk, igen skulle kunne tilgås uden problemer via Edge og Internet Explorer 11

Det oplyser Bleeping Computer.

Domænet, der bruges af de britiske myndigheder, blev i forbindelse med en tidligere Windows-opdatering føjet til en forudindlæst liste over domæner med HTTP Strict Transport Security (HSTS).

HSTS tilsiger, at der kun kan kommunikeres via sikrede HTTPS-forbindelser til et website. Men da ikke alle gov.uk-domæner rent faktisk understøtter HTTPS, bevirkede opdateringen, at nogle domæner blev utilgængelige via Edge og Internet Explorer 11.

Artiklen fortsætter efter annoncen

For at løse problemet har Microsoft udgivet opdateringer til Windows 7, 8.1 og forskellige udgaver af Windows 10.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Michael Cederberg
22. maj 2019 kl. 11:33

Hvis man bruger Linux er det let at lade Lets Encrypt udstede gratis certifikater.

Hvis jeg tilgik et offentligt website og det havde et Let's Encrypt signet certificat, så ville jeg blive meget mistænkelig. Let's Encrypt er løsning på et meget lille problem. Desværre spildes der meget tid på netop det.

Det første grundlæggende spørgsmål man kan stille sig omkring Let's Encrypt er: Hvorfor er der grund til at stole på et Let's Encrypt signeret certifikat?

  • more_vert
    • insert_linkKopier link
6
Michael Fjeldsted
21. maj 2019 kl. 18:46

Men Microsoft er ikke helt oppe på beatet med det her nymoderne pjat med kryptering og certifikater.

Stop nu det Microsoft-bashing når ikke du ved noget om emnet og ikke gider bruge 10 sekunder på google. Se fx hvad lets encrypt selv siger: https://letsencrypt.org/docs/client-options/

Kører man i Microsoft azure cloud som har 2 datacentre i uk - så har både deres cdn og frontdoor automatisk ssl på dit eget domæne på ligefod med fx cloudflare.

  • more_vert
    • insert_linkKopier link
5
Rasmus Larsen
21. maj 2019 kl. 13:36

Mon ikke det der er sket, er at de har sat en HSTS header som de selv anbefaler her, uden at forstå konsekvenserne:

https://www.gov.uk/service-manual/technology/using-https

Det magiske her er "includeSubDomains; preload;". Det betyder at værdien kan bruges til alle subdomæner under gov.uk og at browserne gerne må distribuere den information.

Der er ingen tvivl om at det er en super god ide, men indstillinger giver det resultat de har fået her, hvis ikke alle gov.uk siden anvender TLS.

  • more_vert
    • insert_linkKopier link
4
Simon Rigét
21. maj 2019 kl. 13:35

Kunne det tænkes at have noget at gøre med at det britiske parlament, har foreslået at forbyde kryptering?

( For at hjælpe befolkningen til at blive bedre overvåget, så de blive næsten 0.001% mere sikker på ikke at blive udsat for terror! )

Det er vel rimeligt at offentlige sites går forrest, også med deres mere tåbelige forslag :)

Det sagt, er det en pest at MS nu er blevet så hellige, at man ikke kan regne med sende post til hotmail, hvis man bruger en mindre udbyder, der ikke er helt oppe på beatet, med spam fighting.

  • more_vert
    • insert_linkKopier link
3
Andreas Plesner
21. maj 2019 kl. 08:39

LE virker fint med IIS. Måske skulle du pakke fordommene væk og undersøge tingene?

  • more_vert
    • insert_linkKopier link
2
Jens Beltofte
21. maj 2019 kl. 08:36

Hvem siger at de kører på Microsoft-servere?

Hvis du kigger på gov.uk benytter de nginx med Fastly (Varnish) foran.

Kunne det tænkes at det kunne være på applikationsniveau at problemet ligger og ikke blot udstedelsen af certifikaterne?

Hvis det er ældre websites hvor HTTPS ikke er tænkt ind, kan det sagtens kræve en større overhaling for at få HTTPS understøttet.

Når det er sagt, så undrer det mig at offentlige myndigheder ikke prioriterer at få deres website bag HTTPS.

  • more_vert
    • insert_linkKopier link
1
Povl H. Pedersen
21. maj 2019 kl. 08:21

Er vel at man kører Microsoft på serverne. Hvis man bruger Linux er det let at lade Lets Encrypt udstede gratis certifikater. Hvis man bruger CloudFlare, så udsteder Cloudflare gratis certifikater. Amazon hosting kan også udstede.

Men Microsoft er ikke helt oppe på beatet med det her nymoderne pjat med kryptering og certifikater.

  • more_vert
    • insert_linkKopier link