PET’s hjemmeside dømt usikker af browseren: Bruger udløbet SSL-certifikat

29. september 2011 kl. 14:409
Vil du informere Politiets Efterretningstjeneste gennem pet.dk, sker det lige nu på usikker grund. Tjenesten har ikke opdateret et udløbet SSL-certifikat.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Har du opdaget, at din overbo driver en terrorcelle, kan du informere Politiets Efterretningstjeneste gennem en kontaktformular på hjemmesiden pet.dk.

Men ligesom borger.dk og andre offentlige websider bruger PET et SSL-certifikat fra TDC, som efter fem års brug udløb onsdag den 28. september. Og derfor får man nu en fejlmeddelelse i browseren om sikkerhedsproblemer, hvis man klikker sig ind på PET’s kontaktformular.

SSL-certifikaterne bruges til at kryptere datatrafikken, så andre ikke kan lytte med, men hvis et af dem er udløbet, vil en browser som udgangspunkt ikke stole på sikkerheden i løsningen. Det udløser en advarsel, som afhængigt af browseren kan være ret voldsom.

TDC-certifikatet er et mellemcertifikat, som normalt har en længere løbetid, og som derfor normalt ikke får meget opmærksomhed.

Artiklen fortsætter efter annoncen

Da certifikatet, som også bruges til NemID-login, blev forældet onsdag klokken 13.10, havde DanID sendt en advarsel ud til offentlige brugere – men det skete først mandag den 26. september. NemLogin-support sendte beskeden videre til de enkelte offentlige websider sent tirsdag, så der kun var en formiddag til at rette op på problemet.

Det korte varsel var ikke meningen, forklarer Nets DanID, der driver NemID.

»Det havde været bedre, hvis vi havde gjort det en uge før, men vi sendte beskeden ud, så snart vi selv var klar over problemet. Man skal også selv huske at holde øje med de certifikater, man bruger. Men det er god service fra vores side at gøre opmærksom på det i god nok tid,« siger Jette Knudsen, kommunikationschef hos Nets DanID.

Problemet med det forældede certifikat kan løses hurtigt ved at skifte til et nyere.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
29. september 2011 kl. 17:03

Tag et kik på https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fwww.pet.dk%2F

Blandt andet:

Renegotiation Insecure Renegotiation Supported INSECURE ( http://it.slashdot.org/story/09/11/16/2327230/SSL-Renegotiation-Attack-Becomes-Real )

Understøttelse af diverse svage Cipher Suites.

Understøtter kun usikre protokoller, for eksempel SSL 2.0 ( http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and_3.0 ). De eneste protokoller som er sikre er TLS 1.1 og TLS 1.2, men dem understøtter de ikke. ( http://www.h-online.com/security/news/item/First-solutions-for-SSL-TLS-vulnerability-1349813.html )

Amatører :).

8
29. september 2011 kl. 16:47

Jeg synes ikke at man kan klandre andre end TDC/DanID i den her sag. DanID sender en påmindelse EN DAG før udløb af derses CA certifikat, det er så dårlig service som det næsten kan være.

Come on, vi betaler tusindevis af kroner for et certifikat som er tæt på gratis at oprette, så kan man vel i det mindste forvente at servicen er i orden.

7
29. september 2011 kl. 15:47
  • At de har åbent for SSLv2 og en række weak ciphers
  • At de tillader insecure negotiation
  • At de med det samme man tilgår https://www.pet.dk redirecter til http for alt undtaget enkelte sider
  • At de kører på en nærmest antik IIS version (eller også sender de en forkert serverversion med vilje, det håber jeg lidt)
5
29. september 2011 kl. 15:17

Hvor svært kan det være at holde nogle certifikater opdateret? Jeg forstår simpelthen ikke at en så simpel opgave ikke kan løses tilfredsstillende på nogen som helst måde.

4
29. september 2011 kl. 15:10

Trust kæden er

  • PET certifikat udstedt af TDC SSL Server CA (udløb 16-2-2012)
  • TDC SSL Server CA har certifikat udstedt af TDC internet root CA
  • TDC internet root CA har certifkat udstedt af Etrust

På Ubuntu Natty har Firefox 6.0 cachet TDC certifikater med udløb i hhv. 2014 og 2021, og da PETs certifikat har udløb i 2012, kommer der ikke nogen fejl.

Opera og Chrome (og wget) har åbenbart ikke cachet disse TDC certifikater, og her rapporteres udløb i 2011, altså fejl.

Om ikke andet viser eksemplet at den SSL-verden som man ser afhænger af browser øjnene :-)

3
29. september 2011 kl. 15:07

Dog synes jeg ikke man skal klandre PET for at TDCs certifikat er udløbet. Det er jo ikke www.pet.dk certifikatet der er udløbet, men "TDC SSL Server CA".

1
29. september 2011 kl. 14:42

Er det breaking news hver gang et certifikat udløber?

2
29. september 2011 kl. 14:52

Ja, hvis det er pet.dk eller borger.dk, så synes jeg faktisk at det er.