Det officielle lydspor til dette indlæg er
https://open.spotify.com/track/3kubJ2b1Rad7NXZtnZAZmO?si=ob4z7alDTkqc90a...
Electric Eye Judas Priest, fordi det er en efterårsagtig halvvåd november dag hvor man godt kan bruge lidt tråd.

Nå, i sommer da jeg var på besøg hos min mor fik jeg registreret to domæner. I kender det, man får en ide, og det første man gør er altid at registrere domænerne!

Siden dengang stødte jeg på de sædvanlige problemer, som at Acme clienten til Lets Encrypt registrering osv havde skiftet API version osv osv.

Det lykkedes så netop nu, start november at indtaste noget kedeligt indhold, og indholdet er faktisk ikke det interessante. Det mest interessante ved mine to nye domæner, og det nye site er at det nu lyser "grønt" i diverse browsere.

Jeg har lavet mit nye site med:

• DNSSEC, slået til, men slår vist ikke igennem
• HTTPS med Lets Encrypt certifikat, som alle andre
• Varianter med og uden www.
• Varianter med det danske ø omskrevet til o og oe (har ikke registreret med ø)

Det lyder da fint!

Hvad er domænerne så?

Domænerne jeg har registreret er:

• coronaprover.nu
• coronaproever.nu

What?! Hedder det officielle site ikke coronaprover.dk?!

Tjoeh, det ... kan ... da ... godt ... være

Fortæl mig, quick, hvad heddet det officielle NemID domæne og hjemmeside!

Gættede du på nemid.dk eller nemid.nu, hvis du arbejder i digst så vidste du det måske allerede.

Single use domæner

Når man vælger at lave et web site med single-use domæne , aka købe/registrere et domæne til eet formål. Så er det på den ene side nemt, man kan nøjes med at promovere navnet, det passer fint i et tweet, på de sociale medier.

Det er fint, så længe det melodi grand prix 2020, elections 2020 eller lignende.

Der hvor jeg bliver irriteret er når det offentlige Danmark gang på gang vælger at lægge essentielle og vigtige informationer på et web site, på et nyregistreret domæne, som er fejlkonfigureret.

Det giver problemer med troværdigheden, ER det et officielt web site, ER det sundhedsinformation vi kan stole på, det giver en unødvendig byrde på opsætningen - som i forvejen er lidt forhastet.

Oveni dette er der en del sites i Danmark, som lægges på IKKE .dk. Det giver nogle juridiske problemer som jeg ikke vil gå længere ind i. Det siger sig selv, at det vil være nemmere at kontakte DK-Hostmaster, anlægge sager i Danmark omkring .dk domæner.

Spredhagl

I denne sag skyder jeg lidt med spredhagl, og det er måske endda næsten lidt forkert at inddrage smittestop . dk og coronaprover . dk - som jo netop ligger på .dk. Det vælger jeg at gøre, fordi de stadig illustrerer at der mangler en del indstillinger.

til en start kan man se på HTTP headers for coronaprover . dk, de får et fint F - flunked - på Mozilla Observatory.

https://observatory.mozilla.org/analyze/coronaprover.dk

Hvis de skulle finde på at ændre HTTP headers, HVAD DE BØR GØRE, så er her data fra idag:

HTTP Observatory Report: coronaprover.dk
 
Score Rule                       Description
  -50 subresource-integrity      Subresource Integrity (SRI) not implemented, and external scripts are loaded over HTTP or use protocol-relative URLs via src="//...".
  -25 content-security-policy    Content Security Policy (CSP) header not implemented.
  -20 cookies                    Cookies set without using the Secure flag or set over HTTP.
  -20 strict-transport-security  HTTP Strict Transport Security (HSTS) header not implemented.
  -20 x-frame-options            X-Frame-Options (XFO) header not implemented.
  -10 x-xss-protection           X-XSS-Protection header not implemented.
   -5 redirection                Initial redirection from HTTP to HTTPS is to a different host, preventing HSTS.
   -5 x-content-type-options     X-Content-Type-Options header not implemented.
 
Score: 0
Grade: F
 
Full Report Url: https://observatory.mozilla.org/analyze.html?host=coronaprover.dk

Vi kan også checke opsætningen af email:
https://dmarcian.com/domain-checker/?domain=coronaprover.dk

Den siger:
"Well done! Your domain is protected against abuse by phishers and spammers"

Det skyldes at der er sat en DMARC record:

v=DMARC1; p=reject; pct=100; adkim=r; aspf=r

Med SPF:

v=spf1 mx ip4:87.54.27.55 -all

som er:

inetnum:        87.54.27.0 - 87.54.27.255
netname:        DATAGRUPPEN-MULTIMED-APS-NET
descr:          Datagruppen Multimed Aps
descr:          Storhaven 12
descr:          7100 Vejle
country:        DK

Det er en fin SPF, der er kun een adresse og hard fail med minus til sidst. Dejligt!

Det er super fedt at der ER en DMARC record, det sikrer at de store email leverandører kan checke en email der påstår den kommer fra domænet. Desværre mangler der RUA og RUF email adresser i DMARC, se https://en.wikipedia.org/wiki/DMARC

Det betyder at man IKKE får rapportering hvis domænerne forsøges misbrugt, det vil ellers være en god måde at holde lidt øje.

Det er lidt magert, men dog i den gode ende.

Typisk ser vi at løsningerne lanceres uden DMARC, uden SPF, uden nogen af de mest almindelige, og dermed forventede sikringsforanstaltninger.

Hvad betyder det om du bruger et nyt domæne?

Når man opsætter et web site, og tilhørende domæner i 2020 er der en DEL ting man skal overveje og gøre. Til en start er ting du skal checke/gøre på nye domæner:

• Opsætning af email servere
• Opsætning af DNS DNSSEC
• Opsætning af DNS NS Name Server
• Opsætning af DNS MX Mail Exchanger
• Opsætning af DNS DMARC, SPF, DKIM - anti-spam, anti-abuse
• Opsætning af web server
• Opsætning af web konfiguration - HTTPS/TLS, algoritmer, SSLv2/v3 TLS 1.0,1.1, 1.2, 1.3
• Opsætning af web konfiguration - HTTPS certifikat
• Opsætning af web konfiguration - HTTPS HSTS header Strict Transport
• Opsætning af web konfiguration - HTTP Headers, herunder CORS, XSS protection, Content Security Policy
• Opsætning af web konfiguration - HTTP cookies flag, HttpOnly, Secure flag

Det er før der overhovedet er kommet indhold på siden! NB: Dette er ikke en udtømmende liste.

Hvorfor påtage sig den store byrde, gentagne gange!

Sker der misbrug af domæner, lol ja

Selvfølgelig sker det hele tiden misbrug. Der er scam og phishing kampagner igang konstant mod danskere

Det kan man læse om eksempelvis hos sundhedsstyrelsen:
https://www.sst.dk/da/Om-os/Databeskyttelsespolitik/SMS-misbrug-_-phishi...

eller hos Statens Serum Institut

Jeg husker det som at kort tid efter jeg registrerede ovenstående .nu domæner blev der forsøgt snydt med coronaprover . net - og lur mig, om ikke de ville have valgt .nu hvis de kunne!

I min optik er det altså dybt uansvarligt at vælge nye single-use domæner til så vigtige samfundsfunktioner.

Jeg forstår det ikke, og det er måske også godt nok. Jeg kan sende tilbud på at teste hvert af de nye sites, og jeg har jo lige købt nyt hus der skal sættes istand ...

Hattip h/t

Tak til DK-hostmaster og de sponsorer der har medvirket til opsætning af den nye test portal, https://xn--sikkerpnettet-vfb.dk/

Det er altid rart med lidt fokus på sikkerhed og få testet/verificeret indstillinger. PLUS sitet tester for IPv6.

Jeg fik selv checket nogle domæner og rettet op på småting, så mit firmas hjemmeside/domæne nu lander på 100%, fedt.
<3 from me

DMARC for domæner der ikke bruges til email

Hvis du har nogle domæner som ikke bruges aktivt til email, så skynd dig lige at tilføje følgende to records, SPF og DMARC:

v=spf1 -all
v=DMARC1; p=reject;

Kilder:
https://en.wikipedia.org/wiki/DMARC
https://en.wikipedia.org/wiki/Sender_Policy_Framework
https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://en.wikipedia.org/wiki/Content_Security_Policy
https://en.wikipedia.org/wiki/Cross-origin_resource_sharing
https://observatory.mozilla.org/ lækkert test site til HTTP headers