Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«
Da it-sikkerhedsekspert Peter Kruse ville logge ind på MitID mandag morgen, blev han mødt af en advarsel om, at forbindelsen til hjemmesiden var usikker. Han tjekkede, om SSL-certifikatet mon var udløbet, og rigtigt nok udløb det natten til søndag, nærmere bestemt lørdag d. 29. januar 2022 kl 23:59:59.
Det fik ham til at sende et tweet ud, hvor han referer Homer Simpsons’ ikoniske ”doh” lyd.
»Det må siges at være røde ører,« siger Peter Kruse, der er medstifter af it-sikkerhedsvirksomheden CSIS Security Group.
Artiklen forsætter under billedet.
»Det er særlig uheldigt, når det er et projekt med et budget på så mange millioner, der skal levere kritisk infrastruktur til det offentlige såvel som det private.«
Artiklen forsætter under Twitter-tråden.
For my Danish followers: Hvis du undrer dig over en advarsel, når du besøger #MitID, så skyldes det, at certifikatet udløb i weekend. DOH!! Helt ærligt. @DigstStatus pic.twitter.com/k4AoQuzaWk
— Peter Kruse | Cybercrime Research (@peterkruse) January 31, 2022
SSL-certifikatet verificerer en hjemmesides identitet og aktiverer en krypteret forbindelse, så kriminelle bliver forhindret i at få fat i data.
En forlængelse tager ikke mere end én time for en person, der ved, hvad vedkommende laver, fortæller Peter Kruse.
Han mener, at certifikatet højst sandsynligt er blevet udstedt til www.mitID.dk (som virker), og så har man glemt at opdatere mitID.dk (som er ramt).
»Det skader MitIDs troværdighed for forbrugeren og kan skabe forvirring for folk, om de har gjort noget forkert, hvis de bliver mødt med en advarsel. Samtidig kan man heller ikke være sikker på, at det indhold man ser, bliver leveret af den leverandør, man gerne vil have,« siger Peter Kruse.
»De to ting skaber utryghed.«
Digitaliseringsstyrelsen skriver følgende i et skriftligt svar til Version2:
»Fejlen viser sig ved, at man får en fejlmeddelelse, når man vil tilgå MitID’s website, hvis man benytter webadresserne MitID.dk eller https://MitID.dk. De to webadresser omdirigerer normalt brugerne til sitet https://www.MitID.dk, men eftersom certifikatet er udløbet, omdirigeres man i øjeblikket ikke men får i stedet vist en advarselstekst.
Hvis man besøger hjemmesiden ved at skrive www.MitID.dk – det vil sige at man skal skrive www foran i adressefeltet – så vises siden på almindelig vis. Siden kan således stadig tilgås ved at skrive den fulde adresse. Der er bestilt et nyt certifikat, og der bliver arbejdet på højtryk for, at det igen vil være muligt at tilgå siden via adresserne MitID.dk eller https://MitID.dk. I mellemtiden opfordrer vi til, at man i stedet benytter adressen www.MitID.dk.«
I en efterfølgende mail oplyser Digitaliseringsstyrelsen, at certifikatet er blevet opdateret. En pressemeddelelse er også blevet sendt ud.
Denne artikel er først udgivet på Version2.
