Certifikat-brøler hos MitID gav usikker forbindelse: »Det må siges at være røde ører«

1 kommentar.  Hop til debatten
Ugyldigt certifikat
Illustration: Screenshot.
MitID-brugere blev mandag morgen mødt med en advarsel om usikker forbindelse, når man forsøgte at tilgå hjemmesiden. Grunden var, at man ikke havde forlænget SSL-certifikatet.
2. februar kl. 05:35
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da it-sikkerhedsekspert Peter Kruse ville logge ind på MitID mandag morgen, blev han mødt af en advarsel om, at forbindelsen til hjemmesiden var usikker. Han tjekkede, om SSL-certifikatet mon var udløbet, og rigtigt nok udløb det natten til søndag, nærmere bestemt lørdag d. 29. januar 2022 kl 23:59:59.

Det fik ham til at sende et tweet ud, hvor han referer Homer Simpsons’ ikoniske ”doh” lyd.

»Det må siges at være røde ører,« siger Peter Kruse, der er medstifter af it-sikkerhedsvirksomheden CSIS Security Group.

Artiklen forsætter under billedet. 

Peter Kruse
Illustration: IWDK.

»Det er særlig uheldigt, når det er et projekt med et budget på så mange millioner, der skal levere kritisk infrastruktur til det offentlige såvel som det private.«

Artiklen fortsætter efter annoncen

Artiklen forsætter under Twitter-tråden. 

Remote video URL

SSL-certifikatet verificerer en hjemmesides identitet og aktiverer en krypteret forbindelse, så kriminelle bliver forhindret i at få fat i data.

En forlængelse tager ikke mere end én time for en person, der ved, hvad vedkommende laver, fortæller Peter Kruse.

Han mener, at certifikatet højst sandsynligt er blevet udstedt til www.mitID.dk (som virker), og så har man glemt at opdatere mitID.dk (som er ramt).

»Det skader MitIDs troværdighed for forbrugeren og kan skabe forvirring for folk, om de har gjort noget forkert, hvis de bliver mødt med en advarsel. Samtidig kan man heller ikke være sikker på, at det indhold man ser, bliver leveret af den leverandør, man gerne vil have,« siger Peter Kruse.

»De to ting skaber utryghed.«

Peter Kruse var ikke den eneste, der lagde det manglende certifikat ud på sociale medier.
MitID screenshot
Illustration: Screenshot fra Facebook.

Digitaliseringsstyrelsen skriver følgende i et skriftligt svar til Version2:

»Fejlen viser sig ved, at man får en fejlmeddelelse, når man vil tilgå MitID’s website, hvis man benytter webadresserne MitID.dk eller https://MitID.dk. De to webadresser omdirigerer normalt brugerne til sitet https://www.MitID.dk, men eftersom certifikatet er udløbet, omdirigeres man i øjeblikket ikke men får i stedet vist en advarselstekst.

Hvis man besøger hjemmesiden ved at skrive www.MitID.dk – det vil sige at man skal skrive www foran i adressefeltet – så vises siden på almindelig vis. Siden kan således stadig tilgås ved at skrive den fulde adresse. Der er bestilt et nyt certifikat, og der bliver arbejdet på højtryk for, at det igen vil være muligt at tilgå siden via adresserne MitID.dk eller https://MitID.dk. I mellemtiden opfordrer vi til, at man i stedet benytter adressen www.MitID.dk.«

I en efterfølgende mail oplyser Digitaliseringsstyrelsen, at certifikatet er blevet opdateret. En pressemeddelelse er også blevet sendt ud.

Denne artikel er først udgivet på Version2.

1 kommentar.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
2. februar kl. 09:30

Det er en udfordring for ALLE der ejer eller administrerer certifikater. Der er som udgangspunkt ingen hjælpemidler der hjælper en stakkels certifikatadministrator - det vil sige de store (som bevares Digitaliseringsstyrelsen eller deres leverandører) kan muligvis købe noget overvågningsudstyr som (også) kan holde øje med dette, men de mindre har næppe råd. Det er en manuel proces der uanset hvad vil medføre den her slags smuttere. Og hver gang kan alle kloge-Ågerne pege fingre men ingen finder og udvikler en permanent løsning. Alle andre driftsfejl med lignende effekt findes der alle mulige automatiseringsløsninger til.