Microsoft patcher, så britiske myndigheds-domæner kan tilgås uden HTTPS

Henover weekenden har Microsoft frigivet patches, så det atter er muligt at komme på gov.uk via Edge og Internet Explorer 11, selvom domænet ikke understøtter HTTPS.

/jm tip@version2.dk Tirsdag, 21. maj 2019 - 5:257

Microsoft har frigivet opdateringer henover weekenden, så domæner, der slutter på gov.uk, igen skulle kunne tilgås uden problemer via Edge og Internet Explorer 11

Det oplyser Bleeping Computer.

Domænet, der bruges af de britiske myndigheder, blev i forbindelse med en tidligere Windows-opdatering føjet til en forudindlæst liste over domæner med HTTP Strict Transport Security (HSTS).

HSTS tilsiger, at der kun kan kommunikeres via sikrede HTTPS-forbindelser til et website. Men da ikke alle gov.uk-domæner rent faktisk understøtter HTTPS, bevirkede opdateringen, at nogle domæner blev utilgængelige via Edge og Internet Explorer 11.

For at løse problemet har Microsoft udgivet opdateringer til Windows 7, 8.1 og forskellige udgaver af Windows 10.

Sponseret indholdSådan udfordrer DevOps din sikkerhed – og sådan løser du problemet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Kommentarer (7)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

Povl H. Pedersen Tirsdag, 21. maj 2019 - 8:21

Problemet

Er vel at man kører Microsoft på serverne. Hvis man bruger Linux er det let at lade Lets Encrypt udstede gratis certifikater. Hvis man bruger CloudFlare, så udsteder Cloudflare gratis certifikater. Amazon hosting kan også udstede.

Men Microsoft er ikke helt oppe på beatet med det her nymoderne pjat med kryptering og certifikater.

Jens Beltofte Tirsdag, 21. maj 2019 - 8:36

Re: Problemet

Hvem siger at de kører på Microsoft-servere?

Hvis du kigger på gov.uk benytter de nginx med Fastly (Varnish) foran.

Kunne det tænkes at det kunne være på applikationsniveau at problemet ligger og ikke blot udstedelsen af certifikaterne?

Hvis det er ældre websites hvor HTTPS ikke er tænkt ind, kan det sagtens kræve en større overhaling for at få HTTPS understøttet.

Når det er sagt, så undrer det mig at offentlige myndigheder ikke prioriterer at få deres website bag HTTPS.

Andreas Plesner Tirsdag, 21. maj 2019 - 8:39

Re: Problemet

LE virker fint med IIS. Måske skulle du pakke fordommene væk og undersøge tingene?

Simon Rigét Tirsdag, 21. maj 2019 - 13:35

Anti kryptering

Kunne det tænkes at have noget at gøre med at det britiske parlament, har foreslået at forbyde kryptering?

( For at hjælpe befolkningen til at blive bedre overvåget, så de blive næsten 0.001% mere sikker på ikke at blive udsat for terror! )

Det er vel rimeligt at offentlige sites går forrest, også med deres mere tåbelige forslag :)

Det sagt, er det en pest at MS nu er blevet så hellige, at man ikke kan regne med sende post til hotmail, hvis man bruger en mindre udbyder, der ikke er helt oppe på beatet, med spam fighting.

Rasmus Larsen Tirsdag, 21. maj 2019 - 13:36

De har nok fulgt deres eget råd

Mon ikke det der er sket, er at de har sat en HSTS header som de selv anbefaler her, uden at forstå konsekvenserne:

https://www.gov.uk/service-manual/technology/using-https

Det magiske her er "includeSubDomains; preload;". Det betyder at værdien kan bruges til alle subdomæner under gov.uk og at browserne gerne må distribuere den information.

Der er ingen tvivl om at det er en super god ide, men indstillinger giver det resultat de har fået her, hvis ikke alle gov.uk siden anvender TLS.

Michael Fjeldsted Tirsdag, 21. maj 2019 - 18:46

Re: Problemet

Men Microsoft er ikke helt oppe på beatet med det her nymoderne pjat med kryptering og certifikater.

Stop nu det Microsoft-bashing når ikke du ved noget om emnet og ikke gider bruge 10 sekunder på google. Se fx hvad lets encrypt selv siger: https://letsencrypt.org/docs/client-options/

Kører man i Microsoft azure cloud som har 2 datacentre i uk - så har både deres cdn og frontdoor automatisk ssl på dit eget domæne på ligefod med fx cloudflare.

Michael Cederberg Onsdag, 22. maj 2019 - 11:33

Re: Problemet

Hvis man bruger Linux er det let at lade Lets Encrypt udstede gratis certifikater.

Hvis jeg tilgik et offentligt website og det havde et Let's Encrypt signet certificat, så ville jeg blive meget mistænkelig. Let's Encrypt er løsning på et meget lille problem. Desværre spildes der meget tid på netop det.

Det første grundlæggende spørgsmål man kan stille sig omkring Let's Encrypt er: Hvorfor er der grund til at stole på et Let's Encrypt signeret certifikat?

Log ind eller Opret konto for at kommentere