Lad os få noget fornuftig offentlig IT

Der en offentlig IT tjeneste jeg simpelthen ikke fatter at vi ikke har: Et dansk, offentlig CA.

Staten burde selv køre det CA som signerer alle offentlige hjemmesiders og services SSL certifikater.

På den måde kunne man som sikkerhedsbevidst person fjerne alle andre root-CA'er fra en maskine og stadig have adgang til at være dansker.

Prøv engang at tage en maskine, disable alle root-CA'er i browseren og enable dem så, et dusin efter et andet efterhånden som du besøger offentlige hjemmesider.

Det er et ufatteligt antal firmaer, langt uden for dansk jurisdiktion der "på tro og love" forsikrer en om at man har fat i den rigtige server.

Det siger sig selv at det ville være en totalt indlysende service at tilbyde alle med et CPR eller CVR nummer en stats-signatur på SSL certifikater, hvilket kunne gøre en masse B2B kommunikation væsentlig mere troværdig.

Jeg kan ikke forstille mig, at der ikke er nogen der har fået denne ide før, ikke mindst må den ligge lige til højrebenet når sikkerhedsfolkene hos Statens IT eller CfCS sidder og spiser kage.

Så hvorfor er det aldrig blevet til noget ?

Ved samme lejlighed bør man lave et gov.dk domæne hvor man samler alle offentlige services, således at fiaskoer som "nemid.nu" ikke gentager sig.

phk

Kommentarer (28)
Flemming Riis

Mon ikke man kunne lave en aftale med LetEncrypt om at få en Sub-CA under dem som kun kan issue

gov.dk certificater

Så er man ude om device trust er på plads

alternativ skal man ud og fange device/os leverandør for at få device trust

Povl H. Pedersen

TDC havde da en CA til den gamle digitale signatur. Så det er ikke noget nyt.

Spørgsmålet er bare, om nogen vil stole på en regerings CA udviklet, implemementeret og driftet af de absolut billigste medarbejdere man kan finde globalt ?

Eller også er staten nødt til at se på det som kritisk infrastruktur og ansætte herboende personer til det. Men det vil man nok ikke, da det er imod principperne om at det er bedre at få noget skidt billigt med store efterregninger, end det man ønsker til den rette pris.

Claus Juul

gov.dk certificater

Som Flemming Riss skriver, hvorfor stole på andres CA funktion. Ideen med at have et TLD, der styres af det offentligt og kun kan være offentlige myndigheders sider er god.

så et .dkoff (ellet noget andet) TLD og en offentlig CA der kun evt kun udsteder certifikater til dette domæne og så skal alle offentlige sider være HTTPS og TLS 1.2 uden brug af RC4, DES, export, kryptering under 256 bit osv.

Thomas Dynesen

Man kan stadig få et certifikat tilknyttet sit NemID. Du har ikke den private nøgle, men hva' fan. Det er udstedt af nogen der kalder sig TRUST2408 OCES Primary CA, ja det lyder jo som nogle hackere. Rodcertifikatet er selvunderskrevet og det eneste der antydningsvis viser at det er noget der har danske offentlige myndigheders tillid er at der i Certification Path står Nets DanID. Jeg troede egentlig at det var ejet af TDC, men det er åbenbart Nets.
Hollænderne nationaliserede deres CA funktion efter at DigiNotar blev hacket af iranerne.

Martin Bøgelund

Sagen om en dansk, offentlig CA er en klar vindersag for os borgere.
Folk i det offentlige med forstand på disse sager, herunder de der nævnes som ramte af den nuværende situation, vil også kunne se fordelene.

Så eneste grund til at vi ikke har en dansk, offentligt CA, må være at de relevante beslutningstagere ikke er bekendte med enten problemet eller den foreslåede løsning.

Hvem kan oversætte blog-indlægget til noget en politiker kan forstå? Eneste der så mangler er at Poul-Henning trykker "send" til Sophie Løhde, evt. med et bundt af os andre der i tilgift bomber hende med "What he said"-beskeder, og så kører bussen.

Sværere behøver politik ikke at være.

Daniel Korsgaard

Og så skulle der være en lille simpel portal hvor man kunne logge ind med sit dansker-id (nemid eller andet), og så kunne trække diverse certifikater som var det en slik-automat.

Der er dog så lige den hage, at det naturligvis stadig ville være muligt for idioter at sælge disse certifikater til udlandet, men det må man jo så bare få en lov omkring, at det giver 200 års fængsel, eller 12 milliarder i bøde.

Ole Kaas

Jeg har også undret mig over vi ikke har en dansk offentlig CA - og et gov.dk (el. lign.) domæne til alle hjemmesider fra det offentlige. Endvidere skal der kun udstedes certifikater til gov.dk. fra dette rod-certifikat. Hvis man vil hjælpe borgere, danske virksomheder osv, med andre domæner, skal det gøres fra særskilte rod-certifikater.

Og så kunne jeg godt tænke mig at offentlige hjemmesider blev pålagt selv at hoste deres scripts (jquery osv). Så kan min NoScript tage en slapper når jeg besøger offentlige hjemmesider. Og ja - så kan man jo ikke køre Google Analytics, have en FB "like" knap og alt muligt andet gøgl. Det har efter min mening heller ike noget at gøre på en hjemmeside fra det offentlige.

Michael Cederberg

... hvordan får man fru Olsen til at lægge den et root certificat ind på den nye computer der er købt hos El-giganten? Jeg gætter på at det ikke er helt nemt at få Microsoft, Google og Apple til at tage endnu et root-certificat ind (selvom jeg ikke ved noget om det).

Men principielt burde en ny computer starte op med spørgsmålet "Who do you trust?". Eller mere præcist ”Who do you trust and how much do you trust them?”. For det er spørgsmålet som alle der tilgår privat information på internettet bør stille sig selv. Man bør i øvrigt adskille det offentlige, virksomheder med begrænset juridisk ansvar og private personer fra hinanden. Og der bør være forskel på processen (og dermed) prisen på et certificat til Lego og et til cykelsmeden på hjørnet.

Det store spørgsmål er hvem der har ansvaret hvis skidtet bliver hacket og/eller myndighederne laver fejl. For ligesom danske pas er værdifulde, så vil et certificat underskrevet af den danske Dronning sikkert være ganske værdifuldt. Kan Lego sagsøge staten hvis den kommer til at udstede et certificat på lego.dk til en nigeriansk prins? Jeg tror det vil være det springende punkt.

Jesper Louis Andersen

Det er rart at se de gamle mennesker efterhånden er kommet på de samme tanker som de yngre kom på i 2011:

https://www.version2.dk/comment/168380#comment-168380

Jeg har ikke ændret holdning siden da. Vi skal have et CA i statsregi og det skal drives af staten. Det skal ikke udliciteres til en eller anden random privat virksomhed. Det er det alt for vigtigt til som infrastruktur i det moderne samfund.

Poul-Henning Kamp Blogger

... hvordan får man fru Olsen til at lægge den et root certificat ind på den nye computer der er købt hos El-giganten?

Man bruger den procedure der findes for at komme med i standard listen af rod-ceritifikater i de fire browsere der reelt findes. Dermed er 99% af problemet løst ?

Den sidste 1% kan finde ud af at installere rod-certs og foretrækker formodentlig at gøre det selv.

Michael Cederberg

Her er Mozillas side om emnet:

Tusind tak. Det ser ud til at det er nemt at rulle ud. Men det vil vel tage nogen år at rulle ud? Der er masser af devices derude der ikke bliver opdateret og som således ikke har vil få dette root certificat, med mindre fru Olsen selv installerer det.

I praksis vil man nok være nødt til at vente 4-5 år fra det er udstedt, til (næsten) alle har det.

Magnus Jørgensen

Det offentlige vil jo få et firma som TDC, KMD eller CSC til at gøre arbejdet. Den største forskel vil være at det offentlige ejer løsningen. På sin vis kan jeg godt se ideen i det, men jeg synes bare at man skal komme med et eksempel på at et firma der ejer root CA ikke kan gøre arbejdet med at sikre det godt nok, hvor regeringen skulle kunne gøre det bedre.

Det kan jo også være at der menes at regeringen skal hyre sine egne drift folk og købe egen hardware, som så står på offentligt ejet egendom. Når man så kan se hvordan SKAT har drevet sin forretning, så kan jeg ikke se hvorfor at en regerings drevet CA skulle være bedre end et privat firma. I det mindste kan et privat firma udskiftes hvis de fejler, hvor en offentligt drevet CA ikke bare kan fyres.

Michael Cederberg

Uhm, nu er et CA ikke en hvilken somhelst bolsjebutik og det er ikke bare nogle servere der skal flyttes fra et sted til et andet.

Man kunne godt lade driften outsource (selvom servere logisk eller fysisk blev stående hos staten). Jeg er sikker på at der er virksomheder der sagtens kunne gøre det billigere og bedre. Desværre sker der ofte det at outsourcing bliver synonymt med at man ikke behøver stille krav til og tage ansvar for sikkerhed, funktioner, processer, etc.

Frithiof Jensen

Desværre sker der ofte det at outsourcing bliver synonymt med at man ikke behøver stille krav til og tage ansvar for sikkerhed, funktioner, processer, etc.


Det ligger sådan set indbygget i hele konceptet fra starten: "Vi" outsourcer funktioner som ikke er "kärne-forretningen", d.v.s. Alt det man er ligeglad med eller der ikke er nogle bonusrelaterede KPI'er på.

Log ind eller Opret konto for at kommentere