USA’s ‘shutdown’ medfører forældede webcertifikater og utilgængelige hjemmesider

Illustration: Paul Brady/Bigstock
De offentlige hjemmesider, det drejer sig om, burde måske have valgt Let's Encrypt.
I Firefox er det ikke muligt at komme ind på denne hjemmeside, fordi certifikatet er udløbet, og det benytter nyere sikkerhedsteknologi. Illustration: Screendump, digi.no

Flere af de offentlige hjemmesider i USA er nu helt eller delvist utilgængelige, fordi der ikke er nogen ansatte på arbejde til at opdatere TLS-certifikater som har nået deres udløbsdato.

Det skriver Netcraft, som torsdag i sidste uge havde registreret over 80 udløbede certifikater tilhørende .gov-domæner.

Blandt disse er hjemmesider, som tilhører offentlige virksomheder som Nasa, U.S. Court of Appeals og U.S. Department of Justice.

Streng sikkerhed

Værst er det med hjemmesider, som benytter sikkerhedsteknologien HTTP Strict Transport Security, og hvor domænet er inkluderet i HSTS preload-listen, som benyttes af Chrome og Firefox.

Dette har været anbefalet i flere år, netop fordi denne løsning er vanskelig at omgå.

Hvis sådanne hjemmesider har et ugyldigt certifikat, er der ingen måde at omgå advarslen på, andet end at benytte en browser uden en sådan funktionalitet. Microsoft Edge er blandt disse.

Sædvanligvis kan man komme videre ved at klikke på Avanceret-knappen i browseren og fortsætte på eget ansvar.

De fleste hjemmesider, som benytter HTTPS, omdirigerer brugere, som kommer ind via HTTP. Dermed er dette sjældent et alternativ, som fungerer.

Hjemmesider kunne have undgået dette problem ved at benytte en certifikattjeneste, som understøtter automatisk fornyelse og installation af TLS-certifikater.

Let's Encrypt, som indtil videre er gratis, understøtter netop dette. Så længe den tilhørende software fungerer, behøver man aldrig at tænke på, at certifikatet skal fornyes. Det sker fuldstændig uden brugerinvolvering.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Ideen med certificates til offentlige myndigheder er ikke kun at kommunikation skal krypteres men også at brugeren skal have en mulighed for at vurdere om websitet er legitimt.

Hvis ft.dk er signeret af sammen instans som signerer folketinget.dk ... hvordan skal jeg så vide hvilken jeg kan stole på?

Hele root certificate processen er broken og letsencrypt certificater er et skridt i den gale retning (hvis man ser bort fra pesodobehovet for at kryptere alting). Ideen med autoopdaterende certificater er også "interessant" indtil noget hacker processen og laver certificater til dem selv. Grundlæggende bør udstedelse af certificater kommunikeres af en anden kanal end den trafik man ønsker at beskytte.

  • 3
  • 2
Tobias Tobiasen

Hele root certificate processen er broken og letsencrypt certificater er et skridt i den gale retning (hvis man ser bort fra pesodobehovet for at kryptere alting). Ideen med autoopdaterende certificater er også "interessant" indtil noget hacker processen og laver certificater til dem selv. Grundlæggende bør udstedelse af certificater kommunikeres af en anden kanal end den trafik man ønsker at beskytte.


Man har heldigvis mulighed for at opdage om "noget hacker processen og laver certificater til dem selv".
Du kan overvåge hvilke certifikater der er udstedt til dine domæner med http://www.certificate-transparency.org/ så er du rimeligt godt kørende. Så vil man kunne opdage at nogen udsteder certifikater og få dem blokeret.
Det er et udemærket forsøg på at kommunikere certifikater af en anden kanal en den traffic man sender.

  • 0
  • 0
Lars Petersen

Hvis man går ind på en hjemmeside, dagen før certifikatet udløber, så er det 100% gyldigt. Dagen efter er det 100% ugyldigt.
Dette gælder både for et certifikat med 3 måneders løbetid og med 2 års løbetid.
Jeg syntes diverse browsere er lidt for kritiske/ukritiske med de certifikater de møder. Der mangler en logisk forklaring.

  • 0
  • 1
Hans Nielsen

Jeg syntes diverse browsere er lidt for kritiske/ukritiske med de certifikater de møder. Der mangler en logisk forklaring.


Forklaringen er logisk

0 - Fejl - certifikater er ikke godkendt eller ugyldigt.
1- Ok - certifikater er godkendt og gyldigt

:-)

Men forstår godt meningen med dit sprøgsmål, hvorfor lukkes alt ned, hvis der er en simple fejl i et certifikat.

Grunden til dette er, at websider bør have styr på dette. Og vi som (måske uviden) bruger, skal ikke tage stilling til om noget er ok, en fejl eller et forsøg på svindel.

  • 0
  • 0
Lars Tranke

imho - autorenewal af certificates gir ingen praktisk mening - kadot for ham der skrev at det kan knækkes undervejs og det er en udvikling i den gale retning - lad istedet folk få styr på processen og tage stilling til kryptering, og vælge det rigtige certificate til det gældende formål.

drop letsencrypt hvis du vil vide hvad du laver, eller brug det til weirdo hosting af ligegyldigheder - det er hvad det har format til. Professionel hosting - NEJ TAK til LE.
shop dine certificates hos forskellige udbydere, få styr på dine CSR og få styr på dine metadata i certifikaterne. Kør gerne HSTS hvis din applikation og dine forventede klienter understøtter det. Sammensæt din ciphersuite så den yder maksimal kryptering til klienterne, og samtidig ikke introducerer fx unødig hård kryptering eller kompromitterede protokoller eller algoritmer - en slags "hvor gærdet er fornuftigt lavt".

ps. DOJ er igang med at rense korruption ud af deres organisation, så måske websites ikke lige har været det skarpeste fokus på det seneste..

  • 2
  • 1
Michael Cederberg

I praksis har jeg lille tillid til de ca. 50 root certificater i diverse browsere og letsencrypt ligger langt nede på tillidslisten.

Det som der er brug er at folk selv vælger hvem de vil stole på. Derfor har vi brug for en dansk CA - en som er bundet sammen med nemid eller andre metoder til at sikre at certificater udstedes til de rigtige og at de er dem de udgiver sig for.

På den måde kan jeg som dansker stole mest på de CA'er jeg kender. Og det er naturligt at jeg stoler mest på et dansk CA. En amerikaner vil have det anderledes og det samme med en japaner, en australier eller andre. Det giver ingen mening at browseren er forudkonfigureret med certificater for alle på kloden hvor google, microsoft, apple vælger hvem vi stoler på.

De services som jeg tilgår hvor jeg har behov for stor sikkerhed - både mht. kryptering men også mht. forståelse af hvem modparten er - de er normalt danske. Det er typisk banken, staten, sundhedsvæsnet, etc. Derfor en dansk CA.

Jeg ønsker således at browseren har en række trustniveauer. Når jeg tilgår et site skal trustniveauet være meget synligt. Og jeg vil selv kunne vælge hvem der skal placeres på hvilket niveau. I dag ville man kunne gøre det for hvert enkelt website, men det vil være for bøvlet. Desværre er det sådan at indtil CA'erne bliver mere målrettede fx. geografisk kan vi ikke bruge dem til ret meget.

(Nogen vil nok sige ovenstående er meget mere kompliceret end systemet i dag. Det er rigtigt. Men systemet i dag fungerer ikke. Tilliden er væk.)

  • 0
  • 0
Hans Nielsen

en som er bundet sammen med nemid eller andre metoder til at sikre at certificater udstedes til de rigtig


Nu har jeg så ikke meget tillid til Nemid og Danske Myndigheder.

Synes at Chrome og Firefox gør det godt, med hensyn til at udbrede sikkerhed på Internetet, og tager et ansvar ved at øge sikkerheden.

Hvis et webside ikke har styr på CA, så har de sikkert heller ikke styr på så meget andet. Så det er helt fint, det som standart bliver lukket for adgang til så usikkere steder.

Men ja det burde være et åben fri sikkerheds lag til betaling og andet. Hvor der blev "hard wired" i browser, at kun vise hjemmesider kunne bruges til betaling, validereing og ligende.

  • 0
  • 0
Henning Wangerin

Det som der er brug er at folk selv vælger hvem de vil stole på. Derfor har vi brug for en dansk CA - en som er bundet sammen med nemid eller andre metoder til at sikre at certificater udstedes til de rigtige og at de er dem de udgiver sig for.

Så er vi jo igen ude i om man kan stole på dem?

På den måde kan jeg som dansker stole mest på de CA'er jeg kender. Og det er naturligt at jeg stoler mest på et dansk CA. En amerikaner vil have det anderledes og det samme med en japaner, en australier eller andre.

Hvad får dig til at tro at en dansk CA skulle være mere troværdig end alle de andre.
Og i særdelshed hvis den skal fedtes ind i nemid og myndighederne, mister jeg hurtigt tiltroen til dem.

Det giver ingen mening at browseren er forudkonfigureret med certificater for alle på kloden hvor google, microsoft, apple vælger hvem vi stoler på.

Der har du så tilgengæld 100% ret. Vi kan selvfølgelig også skifte over til en web-of-trust a'la PGP, men vi kommer jo ikke ud over at vi er nød til at stole på nogen, hvis vi skal være sikre på at data ikke sendes via en mellemmand, eller nogen andre som lytter med.

/Henning

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize