Flere af de offentlige hjemmesider i USA er nu helt eller delvist utilgængelige, fordi der ikke er nogen ansatte på arbejde til at opdatere TLS-certifikater som har nået deres udløbsdato.
Det skriver Netcraft, som torsdag i sidste uge havde registreret over 80 udløbede certifikater tilhørende .gov-domæner.
Blandt disse er hjemmesider, som tilhører offentlige virksomheder som Nasa, U.S. Court of Appeals og U.S. Department of Justice.
Streng sikkerhed
Værst er det med hjemmesider, som benytter sikkerhedsteknologien HTTP Strict Transport Security, og hvor domænet er inkluderet i HSTS preload-listen, som benyttes af Chrome og Firefox.
Dette har været anbefalet i flere år, netop fordi denne løsning er vanskelig at omgå.
Hvis sådanne hjemmesider har et ugyldigt certifikat, er der ingen måde at omgå advarslen på, andet end at benytte en browser uden en sådan funktionalitet. Microsoft Edge er blandt disse.
Sædvanligvis kan man komme videre ved at klikke på Avanceret-knappen i browseren og fortsætte på eget ansvar.
De fleste hjemmesider, som benytter HTTPS, omdirigerer brugere, som kommer ind via HTTP. Dermed er dette sjældent et alternativ, som fungerer.
Hjemmesider kunne have undgået dette problem ved at benytte en certifikattjeneste, som understøtter automatisk fornyelse og installation af TLS-certifikater.
Let's Encrypt, som indtil videre er gratis, understøtter netop dette. Så længe den tilhørende software fungerer, behøver man aldrig at tænke på, at certifikatet skal fornyes. Det sker fuldstændig uden brugerinvolvering.
Artiklen er fra digi.no.
