kramselund jereminsen

Single use domæner til officiel information fra det offentlige

Det officielle lydspor til dette indlæg er
https://open.spotify.com/track/3kubJ2b1Rad7NXZtnZAZmO?si=ob4z7alDTkqc90a...
Electric Eye Judas Priest, fordi det er en efterårsagtig halvvåd november dag hvor man godt kan bruge lidt tråd.

Nå, i sommer da jeg var på besøg hos min mor fik jeg registreret to domæner. I kender det, man får en ide, og det første man gør er altid at registrere domænerne!

Siden dengang stødte jeg på de sædvanlige problemer, som at Acme clienten til Lets Encrypt registrering osv havde skiftet API version osv osv.

Det lykkedes så netop nu, start november at indtaste noget kedeligt indhold, og indholdet er faktisk ikke det interessante. Det mest interessante ved mine to nye domæner, og det nye site er at det nu lyser "grønt" i diverse browsere.

Jeg har lavet mit nye site med:

  • DNSSEC, slået til, men slår vist ikke igennem
  • HTTPS med Lets Encrypt certifikat, som alle andre
  • Varianter med og uden www.
  • Varianter med det danske ø omskrevet til o og oe (har ikke registreret med ø)

Det lyder da fint!

Hvad er domænerne så?

Domænerne jeg har registreret er:

  • coronaprover.nu
  • coronaproever.nu

What?! Hedder det officielle site ikke coronaprover.dk?!

Tjoeh, det ... kan ... da ... godt ... være

Fortæl mig, quick, hvad heddet det officielle NemID domæne og hjemmeside!

Gættede du på nemid.dk eller nemid.nu, hvis du arbejder i digst så vidste du det måske allerede.

Single use domæner

Når man vælger at lave et web site med single-use domæne , aka købe/registrere et domæne til eet formål. Så er det på den ene side nemt, man kan nøjes med at promovere navnet, det passer fint i et tweet, på de sociale medier.

Det er fint, så længe det melodi grand prix 2020, elections 2020 eller lignende.

Der hvor jeg bliver irriteret er når det offentlige Danmark gang på gang vælger at lægge essentielle og vigtige informationer på et web site, på et nyregistreret domæne, som er fejlkonfigureret.

Det giver problemer med troværdigheden, ER det et officielt web site, ER det sundhedsinformation vi kan stole på, det giver en unødvendig byrde på opsætningen - som i forvejen er lidt forhastet.

Oveni dette er der en del sites i Danmark, som lægges på IKKE .dk. Det giver nogle juridiske problemer som jeg ikke vil gå længere ind i. Det siger sig selv, at det vil være nemmere at kontakte DK-Hostmaster, anlægge sager i Danmark omkring .dk domæner.

Spredhagl

I denne sag skyder jeg lidt med spredhagl, og det er måske endda næsten lidt forkert at inddrage smittestop . dk og coronaprover . dk - som jo netop ligger på .dk. Det vælger jeg at gøre, fordi de stadig illustrerer at der mangler en del indstillinger.

til en start kan man se på HTTP headers for coronaprover . dk, de får et fint F - flunked - på Mozilla Observatory.

https://observatory.mozilla.org/analyze/coronaprover.dk

Hvis de skulle finde på at ændre HTTP headers, HVAD DE BØR GØRE, så er her data fra idag:

HTTP Observatory Report: coronaprover.dk
 
Score Rule                       Description
  -50 subresource-integrity      Subresource Integrity (SRI) not implemented, and external scripts are loaded over HTTP or use protocol-relative URLs via src="//...".
  -25 content-security-policy    Content Security Policy (CSP) header not implemented.
  -20 cookies                    Cookies set without using the Secure flag or set over HTTP.
  -20 strict-transport-security  HTTP Strict Transport Security (HSTS) header not implemented.
  -20 x-frame-options            X-Frame-Options (XFO) header not implemented.
  -10 x-xss-protection           X-XSS-Protection header not implemented.
   -5 redirection                Initial redirection from HTTP to HTTPS is to a different host, preventing HSTS.
   -5 x-content-type-options     X-Content-Type-Options header not implemented.
 
Score: 0
Grade: F
 
Full Report Url: https://observatory.mozilla.org/analyze.html?host=coronaprover.dk

Vi kan også checke opsætningen af email:
https://dmarcian.com/domain-checker/?domain=coronaprover.dk

Den siger:
"Well done! Your domain is protected against abuse by phishers and spammers"

Det skyldes at der er sat en DMARC record:

v=DMARC1; p=reject; pct=100; adkim=r; aspf=r

Med SPF:

v=spf1 mx ip4:87.54.27.55 -all

som er:

inetnum:        87.54.27.0 - 87.54.27.255
netname:        DATAGRUPPEN-MULTIMED-APS-NET
descr:          Datagruppen Multimed Aps
descr:          Storhaven 12
descr:          7100 Vejle
country:        DK

Det er en fin SPF, der er kun een adresse og hard fail med minus til sidst. Dejligt!

Det er super fedt at der ER en DMARC record, det sikrer at de store email leverandører kan checke en email der påstår den kommer fra domænet. Desværre mangler der RUA og RUF email adresser i DMARC, se https://en.wikipedia.org/wiki/DMARC

Det betyder at man IKKE får rapportering hvis domænerne forsøges misbrugt, det vil ellers være en god måde at holde lidt øje.

Det er lidt magert, men dog i den gode ende.

Typisk ser vi at løsningerne lanceres uden DMARC, uden SPF, uden nogen af de mest almindelige, og dermed forventede sikringsforanstaltninger.

Hvad betyder det om du bruger et nyt domæne?

Når man opsætter et web site, og tilhørende domæner i 2020 er der en DEL ting man skal overveje og gøre. Til en start er ting du skal checke/gøre på nye domæner:

  • Opsætning af email servere
  • Opsætning af DNS DNSSEC
  • Opsætning af DNS NS Name Server
  • Opsætning af DNS MX Mail Exchanger
  • Opsætning af DNS DMARC, SPF, DKIM - anti-spam, anti-abuse
  • Opsætning af web server
  • Opsætning af web konfiguration - HTTPS/TLS, algoritmer, SSLv2/v3 TLS 1.0,1.1, 1.2, 1.3
  • Opsætning af web konfiguration - HTTPS certifikat
  • Opsætning af web konfiguration - HTTPS HSTS header Strict Transport
  • Opsætning af web konfiguration - HTTP Headers, herunder CORS, XSS protection, Content Security Policy
  • Opsætning af web konfiguration - HTTP cookies flag, HttpOnly, Secure flag

Det er før der overhovedet er kommet indhold på siden! NB: Dette er ikke en udtømmende liste.

Hvorfor påtage sig den store byrde, gentagne gange!

Sker der misbrug af domæner, lol ja

Selvfølgelig sker det hele tiden misbrug. Der er scam og phishing kampagner igang konstant mod danskere

Det kan man læse om eksempelvis hos sundhedsstyrelsen:
https://www.sst.dk/da/Om-os/Databeskyttelsespolitik/SMS-misbrug-_-phishi...

eller hos Statens Serum Institut

Jeg husker det som at kort tid efter jeg registrerede ovenstående .nu domæner blev der forsøgt snydt med coronaprover . net - og lur mig, om ikke de ville have valgt .nu hvis de kunne!

I min optik er det altså dybt uansvarligt at vælge nye single-use domæner til så vigtige samfundsfunktioner.

Jeg forstår det ikke, og det er måske også godt nok. Jeg kan sende tilbud på at teste hvert af de nye sites, og jeg har jo lige købt nyt hus der skal sættes istand ...

Hattip h/t

Tak til DK-hostmaster og de sponsorer der har medvirket til opsætning af den nye test portal, https://xn--sikkerpnettet-vfb.dk/

Det er altid rart med lidt fokus på sikkerhed og få testet/verificeret indstillinger. PLUS sitet tester for IPv6.

Jeg fik selv checket nogle domæner og rettet op på småting, så mit firmas hjemmeside/domæne nu lander på 100%, fedt.
<3 from me

DMARC for domæner der ikke bruges til email

Hvis du har nogle domæner som ikke bruges aktivt til email, så skynd dig lige at tilføje følgende to records, SPF og DMARC:

v=spf1 -all
v=DMARC1; p=reject;

Kilder:
https://en.wikipedia.org/wiki/DMARC
https://en.wikipedia.org/wiki/Sender_Policy_Framework
https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://en.wikipedia.org/wiki/Content_Security_Policy
https://en.wikipedia.org/wiki/Cross-origin_resource_sharing
https://observatory.mozilla.org/ lækkert test site til HTTP headers

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Johan S. Larsen

Måske var det en idé med også en dansk tekst, side om side, med den engelske på dine to corona-domæner, siden det nu er danske myndigheder (journalister og borgere) du forsøger at råbe op. Også til folk der evt. husker forkert og får skrevet .nu, og kan få sig lidt at tænke over..

Har du overvejet at kontakte en af de store medier? Der var jo også en del oppe da feriepengene gik til udbetaling mht. snyd, så opmærksomheden mod snyd på nettet er der jo, og det at lægge det under et eksisterende domæne er jo en meget nem (og billig) måde at gøre det sværere for luskede typer. (Selvom jeg mener at feriepengene faktisk ikke havde en single use side)

  • 6
  • 0
#2 Christian Nobel

Hvis man nu i Danmark ikke tillod toplevel domæner, og derfor havde reserveret .stat.dk, .region.dk, .kommune,dk, .politi.dk, osv. osv til brug for det offentlige, og kun tilladt private at have domæner under f.eks. .privat.dk, .firma.dk osv., så ville man have haft et meget renere billede.

Men desværre sov "foregangs Danmark" i timen (også her, ligesom vi endnu ikke har en ægte digital signatur).

  • 11
  • 9
#7 Anders Lorensen

Det er vel ligegyldigt om det hedder coronaprover.dk, coronaprover.borger.dk, coronaprover.stat.dk eller coronaprover.gov.dk - det er alt sammen nye domainer/sub-domainer. Der skal vel stadigvæk sættes det samme op fra bunden af i forhold til f.eks. email.

Man skal lave det som borger.dk/coronaprover eller lign, så man kommer ud over domain problematikken....

  • 3
  • 4
#9 Henrik Kramselund Jereminsen Blogger

Jeg tænkte mere på et screenshot med NemID login boksen og så et stort fedt FAKE "stempel" henover.

Det er en god ide med dansk tekst, men uden kan man jo håbe at der er nogle der ringer til dem og bruger supporten. Så koster det dem lidt at bruge single use domæner, og tænker måske næste gang over det. Lol, jeg er lidt naiv indimellem.

  • 4
  • 0
#10 Thomas Kjeldsen

external scripts [snip] or use protocol-relative URLs via src="//..."

Af ren nysgerrighed, kan nogen forklare hvad der er farligt ved protocol relative URLs som Mozilla Observatory nævner? Når sitet loades over HTTPS bliver ressourcer med protocol-relative URLs jo også loadet over HTTPS...

  • 2
  • 0
#14 Henrik Kramselund Jereminsen Blogger

Det er vel ligegyldigt om det hedder coronaprover.dk, coronaprover.borger.dk, coronaprover.stat.dk eller coronaprover.gov.dk - det er alt sammen nye domainer/sub-domainer. Der skal vel stadigvæk sættes det samme op fra bunden af i forhold til f.eks. email.

Nej?!

Til at starte med kan du bruge lidt længere tid til at opsætte DNSSEC første gang og det vil alle applikationer på samme domæne få glæde af. Dvs du sparer registrering af NS records, betaling osv.

Samme med DMARC, policy gælder for subdomains som default. Det vil sige et nyt subdomain skal du IKKE gøre noget for at beskytte med DMARC.

Det er altså en hel pipeline af nødvendige skridt, jeg kalder dem nødvendige, fordi nogle kræves for at et nyt domæne kan bruges, andre fordi vi selvf skal beskytte dem behørigt.

Kilder:

By default, the DMARC policy that is set for an organizational domain will apply to any subdomains, unless a DMARC record has been published for a specific subdomain.

https://www.valimail.com/blog/how-dmarc-works-with-subdomains/

eller fra standarden RFC-7489, specifikt men kræver lidt kontekst:

p: Requested Mail Receiver policy (plain-text; REQUIRED for policy records). Indicates the policy to be enacted by the Receiver at the request of the Domain Owner. Policy applies to the domain queried and to subdomains, unless subdomain policy is explicitly described using the "sp" tag.

PS Jeg er enig i at man kunne bruge domæne[.]dk/shortcut til at henvise til emnet, eller specifikke apps

  • 2
  • 0
#16 Povl H. Pedersen

Stand alone domæner er noget skidt. De er svære at validere for brugeren. Subdomæner giver en tillid allerede fra starten hvis de er under et kendt domæne.

Derudover er disse nye domæner alle følsomme overfor at andre køber navnevarianter etc.

De slemme her er som regel reklamebureau / webbureau der registrerer navn for at sælge videre, og har fuld rådighed over det i udviklingsfasen.

Man er nødt til at forbyde det i sin it sikkerhedspolitik, så det kun kan tillades efter dispensation.

Apple har et domæne til det hele. Pånær noget iCloud etc som er en helt selvstændig division der kan sælges fra.

Microsoft har også meget få. Men danske firmaer elsker at have 100-vis af navne.

Ved ikke om der er noget SEO i det. Mener der var en der sagde at tingene på samme hoveddomæne påvirkede hinanden i score.

  • 5
  • 0
Log ind eller Opret konto for at kommentere