USA’s ‘shutdown’ medfører forældede webcertifikater og utilgængelige hjemmesider

14. januar 2019 kl. 11:079
USA’s ‘shutdown’ medfører forældede webcertifikater og utilgængelige hjemmesider
Illustration: Paul Brady/Bigstock.
De offentlige hjemmesider, det drejer sig om, burde måske have valgt Let's Encrypt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

I Firefox er det ikke muligt at komme ind på denne hjemmeside, fordi certifikatet er udløbet, og det benytter nyere sikkerhedsteknologi.

Flere af de offentlige hjemmesider i USA er nu helt eller delvist utilgængelige, fordi der ikke er nogen ansatte på arbejde til at opdatere TLS-certifikater som har nået deres udløbsdato.

Det skriver Netcraft, som torsdag i sidste uge havde registreret over 80 udløbede certifikater tilhørende .gov-domæner.

Blandt disse er hjemmesider, som tilhører offentlige virksomheder som Nasa, U.S. Court of Appeals og U.S. Department of Justice.

Streng sikkerhed

Værst er det med hjemmesider, som benytter sikkerhedsteknologien HTTP Strict Transport Security, og hvor domænet er inkluderet i HSTS preload-listen, som benyttes af Chrome og Firefox.

Artiklen fortsætter efter annoncen

Dette har været anbefalet i flere år, netop fordi denne løsning er vanskelig at omgå.

Hvis sådanne hjemmesider har et ugyldigt certifikat, er der ingen måde at omgå advarslen på, andet end at benytte en browser uden en sådan funktionalitet. Microsoft Edge er blandt disse.

Sædvanligvis kan man komme videre ved at klikke på Avanceret-knappen i browseren og fortsætte på eget ansvar.

De fleste hjemmesider, som benytter HTTPS, omdirigerer brugere, som kommer ind via HTTP. Dermed er dette sjældent et alternativ, som fungerer.

Hjemmesider kunne have undgået dette problem ved at benytte en certifikattjeneste, som understøtter automatisk fornyelse og installation af TLS-certifikater.

Let's Encrypt, som indtil videre er gratis, understøtter netop dette. Så længe den tilhørende software fungerer, behøver man aldrig at tænke på, at certifikatet skal fornyes. Det sker fuldstændig uden brugerinvolvering.

Artiklen er fra digi.no.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
21. januar 2019 kl. 17:42

Det som der er brug er at folk selv vælger hvem de vil stole på. Derfor har vi brug for en dansk CA - en som er bundet sammen med nemid eller andre metoder til at sikre at certificater udstedes til de rigtige og at de er dem de udgiver sig for.

Så er vi jo igen ude i om man kan stole på dem?

På den måde kan jeg som dansker stole mest på de CA'er jeg kender. Og det er naturligt at jeg stoler mest på et dansk CA. En amerikaner vil have det anderledes og det samme med en japaner, en australier eller andre.

Hvad får dig til at tro at en dansk CA skulle være mere troværdig end alle de andre. Og i særdelshed hvis den skal fedtes ind i nemid og myndighederne, mister jeg hurtigt tiltroen til dem.

Det giver ingen mening at browseren er forudkonfigureret med certificater for alle på kloden hvor google, microsoft, apple vælger hvem vi stoler på.

Der har du så tilgengæld 100% ret. Vi kan selvfølgelig også skifte over til en web-of-trust a'la PGP, men vi kommer jo ikke ud over at vi er nød til at stole på nogen, hvis vi skal være sikre på at data ikke sendes via en mellemmand, eller nogen andre som lytter med.

/Henning

8
16. januar 2019 kl. 15:35

en som er bundet sammen med nemid eller andre metoder til at sikre at certificater udstedes til de rigtig

Nu har jeg så ikke meget tillid til Nemid og Danske Myndigheder.

Synes at Chrome og Firefox gør det godt, med hensyn til at udbrede sikkerhed på Internetet, og tager et ansvar ved at øge sikkerheden.

Hvis et webside ikke har styr på CA, så har de sikkert heller ikke styr på så meget andet. Så det er helt fint, det som standart bliver lukket for adgang til så usikkere steder.

Men ja det burde være et åben fri sikkerheds lag til betaling og andet. Hvor der blev "hard wired" i browser, at kun vise hjemmesider kunne bruges til betaling, validereing og ligende.

7
15. januar 2019 kl. 14:43

I praksis har jeg lille tillid til de ca. 50 root certificater i diverse browsere og letsencrypt ligger langt nede på tillidslisten.

Det som der er brug er at folk selv vælger hvem de vil stole på. Derfor har vi brug for en dansk CA - en som er bundet sammen med nemid eller andre metoder til at sikre at certificater udstedes til de rigtige og at de er dem de udgiver sig for.

På den måde kan jeg som dansker stole mest på de CA'er jeg kender. Og det er naturligt at jeg stoler mest på et dansk CA. En amerikaner vil have det anderledes og det samme med en japaner, en australier eller andre. Det giver ingen mening at browseren er forudkonfigureret med certificater for alle på kloden hvor google, microsoft, apple vælger hvem vi stoler på.

De services som jeg tilgår hvor jeg har behov for stor sikkerhed - både mht. kryptering men også mht. forståelse af hvem modparten er - de er normalt danske. Det er typisk banken, staten, sundhedsvæsnet, etc. Derfor en dansk CA.

Jeg ønsker således at browseren har en række trustniveauer. Når jeg tilgår et site skal trustniveauet være meget synligt. Og jeg vil selv kunne vælge hvem der skal placeres på hvilket niveau. I dag ville man kunne gøre det for hvert enkelt website, men det vil være for bøvlet. Desværre er det sådan at indtil CA'erne bliver mere målrettede fx. geografisk kan vi ikke bruge dem til ret meget.

(Nogen vil nok sige ovenstående er meget mere kompliceret end systemet i dag. Det er rigtigt. Men systemet i dag fungerer ikke. Tilliden er væk.)

6
15. januar 2019 kl. 11:38

imho - autorenewal af certificates gir ingen praktisk mening - kadot for ham der skrev at det kan knækkes undervejs og det er en udvikling i den gale retning - lad istedet folk få styr på processen og tage stilling til kryptering, og vælge det rigtige certificate til det gældende formål.

drop letsencrypt hvis du vil vide hvad du laver, eller brug det til weirdo hosting af ligegyldigheder - det er hvad det har format til. Professionel hosting - NEJ TAK til LE. shop dine certificates hos forskellige udbydere, få styr på dine CSR og få styr på dine metadata i certifikaterne. Kør gerne HSTS hvis din applikation og dine forventede klienter understøtter det. Sammensæt din ciphersuite så den yder maksimal kryptering til klienterne, og samtidig ikke introducerer fx unødig hård kryptering eller kompromitterede protokoller eller algoritmer - en slags "hvor gærdet er fornuftigt lavt".

ps. DOJ er igang med at rense korruption ud af deres organisation, så måske websites ikke lige har været det skarpeste fokus på det seneste..

5
15. januar 2019 kl. 11:13

Jeg syntes diverse browsere er lidt for kritiske/ukritiske med de certifikater de møder. Der mangler en logisk forklaring.

Forklaringen er logisk

0 - Fejl - certifikater er ikke godkendt eller ugyldigt. 1- Ok - certifikater er godkendt og gyldigt

:-)

Men forstår godt meningen med dit sprøgsmål, hvorfor lukkes alt ned, hvis der er en simple fejl i et certifikat.

Grunden til dette er, at websider bør have styr på dette. Og vi som (måske uviden) bruger, skal ikke tage stilling til om noget er ok, en fejl eller et forsøg på svindel.

4
14. januar 2019 kl. 21:29

Hvis man går ind på en hjemmeside, dagen før certifikatet udløber, så er det 100% gyldigt. Dagen efter er det 100% ugyldigt. Dette gælder både for et certifikat med 3 måneders løbetid og med 2 års løbetid. Jeg syntes diverse browsere er lidt for kritiske/ukritiske med de certifikater de møder. Der mangler en logisk forklaring.

3
14. januar 2019 kl. 15:18

Hele root certificate processen er broken og letsencrypt certificater er et skridt i den gale retning (hvis man ser bort fra pesodobehovet for at kryptere alting). Ideen med autoopdaterende certificater er også "interessant" indtil noget hacker processen og laver certificater til dem selv. Grundlæggende bør udstedelse af certificater kommunikeres af en anden kanal end den trafik man ønsker at beskytte.

Man har heldigvis mulighed for at opdage om "noget hacker processen og laver certificater til dem selv". Du kan overvåge hvilke certifikater der er udstedt til dine domæner med http://www.certificate-transparency.org/ så er du rimeligt godt kørende. Så vil man kunne opdage at nogen udsteder certifikater og få dem blokeret. Det er et udemærket forsøg på at kommunikere certifikater af en anden kanal en den traffic man sender.

2
14. januar 2019 kl. 11:50

Ideen med certificates til offentlige myndigheder er ikke kun at kommunikation skal krypteres men også at brugeren skal have en mulighed for at vurdere om websitet er legitimt.

Hvis ft.dk er signeret af sammen instans som signerer folketinget.dk ... hvordan skal jeg så vide hvilken jeg kan stole på?

Hele root certificate processen er broken og letsencrypt certificater er et skridt i den gale retning (hvis man ser bort fra pesodobehovet for at kryptere alting). Ideen med autoopdaterende certificater er også "interessant" indtil noget hacker processen og laver certificater til dem selv. Grundlæggende bør udstedelse af certificater kommunikeres af en anden kanal end den trafik man ønsker at beskytte.

1
14. januar 2019 kl. 11:17

At man ikke kan komme ind på https://ows2.usdoj.gov/ skyldes da vist ikke shutdown, da certifikatet udløb den 17 december og shuthown var først fra den 22.

Er det her egentig en artikel eller en reklame for LetsEncrypt ?