PET’s hjemmeside dømt usikker af browseren: Bruger udløbet SSL-certifikat

Vil du informere Politiets Efterretningstjeneste gennem pet.dk, sker det lige nu på usikker grund. Tjenesten har ikke opdateret et udløbet SSL-certifikat.

Har du opdaget, at din overbo driver en terrorcelle, kan du informere Politiets Efterretningstjeneste gennem en kontaktformular på hjemmesiden pet.dk.

Men ligesom borger.dk og andre offentlige websider bruger PET et SSL-certifikat fra TDC, som efter fem års brug udløb onsdag den 28. september. Og derfor får man nu en fejlmeddelelse i browseren om sikkerhedsproblemer, hvis man klikker sig ind på PET’s kontaktformular.

Læs også: Fem år gammelt TDC-certifikat er udløbet: Borger.dk gik i rødt

SSL-certifikaterne bruges til at kryptere datatrafikken, så andre ikke kan lytte med, men hvis et af dem er udløbet, vil en browser som udgangspunkt ikke stole på sikkerheden i løsningen. Det udløser en advarsel, som afhængigt af browseren kan være ret voldsom.

TDC-certifikatet er et mellemcertifikat, som normalt har en længere løbetid, og som derfor normalt ikke får meget opmærksomhed.

Da certifikatet, som også bruges til NemID-login, blev forældet onsdag klokken 13.10, havde DanID sendt en advarsel ud til offentlige brugere – men det skete først mandag den 26. september. NemLogin-support sendte beskeden videre til de enkelte offentlige websider sent tirsdag, så der kun var en formiddag til at rette op på problemet.

Det korte varsel var ikke meningen, forklarer Nets DanID, der driver NemID.

»Det havde været bedre, hvis vi havde gjort det en uge før, men vi sendte beskeden ud, så snart vi selv var klar over problemet. Man skal også selv huske at holde øje med de certifikater, man bruger. Men det er god service fra vores side at gøre opmærksom på det i god nok tid,« siger Jette Knudsen, kommunikationschef hos Nets DanID.

Problemet med det forældede certifikat kan løses hurtigt ved at skifte til et nyere.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Trust kæden er

  • PET certifikat udstedt af TDC SSL Server CA (udløb 16-2-2012)
  • TDC SSL Server CA har certifikat udstedt af TDC internet root CA
  • TDC internet root CA har certifkat udstedt af Etrust

På Ubuntu Natty har Firefox 6.0 cachet TDC certifikater med udløb i hhv. 2014 og 2021, og da PETs certifikat har udløb i 2012, kommer der ikke nogen fejl.

Opera og Chrome (og wget) har åbenbart ikke cachet disse TDC certifikater, og her rapporteres udløb i 2011, altså fejl.

Om ikke andet viser eksemplet at den SSL-verden som man ser afhænger af browser øjnene :-)

Silas Hansen

Jeg synes ikke at man kan klandre andre end TDC/DanID i den her sag.
DanID sender en påmindelse EN DAG før udløb af derses CA certifikat, det er så dårlig service som det næsten kan være.

Come on, vi betaler tusindevis af kroner for et certifikat som er tæt på gratis at oprette, så kan man vel i det mindste forvente at servicen er i orden.

Thue Kristensen

Tag et kik på https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Fwww.pet.dk%2F

Blandt andet:

Renegotiation Insecure Renegotiation Supported INSECURE ( http://it.slashdot.org/story/09/11/16/2327230/SSL-Renegotiation-Attack-B... )

Understøttelse af diverse svage Cipher Suites.

Understøtter kun usikre protokoller, for eksempel SSL 2.0 ( http://en.wikipedia.org/wiki/Transport_Layer_Security#SSL_1.0.2C_2.0_and... ). De eneste protokoller som er sikre er TLS 1.1 og TLS 1.2, men dem understøtter de ikke. ( http://www.h-online.com/security/news/item/First-solutions-for-SSL-TLS-v... )

Amatører :).

Log ind eller Opret konto for at kommentere