Slo-Tech - Če ste se danes napotili na spletne strani AJPES-a (Agencije Republike Slovenije za javnopravne evidence in storitve), ste obtičali pred opozorilom, da vas skuša nekdo pretentati. Chrome vas opozori, da morda napadalci skušajo ukrasti vaše podatke, Firefox pa, da gre za nevarno stran, ki se ji raje izognimo. V resnici je AJPES-u včeraj zvečer potekel certifikat SSL, ki je bil izdan 25. aprila lani. In AJPES ga ni pravočasno podaljšal.
Tovrstni spodrsljaji so se v preteklosti že dogajali, tudi večjim. Microsoft je na primer leta 2020 pozabil podaljšati certifikat za Teams, ki je bil potem nekaj ur nedosegljiv. V daljni prazgodovini, leta 2008, je to uspelo tudi Googlu. Leta 2015 je za nekaj ur padel Instagram. Tej druščini uglednih strani, ki so pozabile podaljšati certifikat, se je sedaj pridružil še AJPES.
Avtomatizacija izdaje certifikata je ena stvar, na streznikih kjer se ga uporablja je pa ponavadi rocno z razlogom, ker bi avtomatizacija tega koraka lahko dejansko olajsala delo morebitnemu hekerju. Na streznik nalozi nov certifikat, ki ga sistem potem sam zamenja na vseh streznikih. Mokre sanje.
Ste omenjali letsencrypt... to je uporabno samo za potrditev lastništva domene in nič drugega.
Za določene strani ki zahtevajo večjo mero zaupanja potrebujemo certifikate, ki potrjujejo recimo pravno osebo, fizično osebo itd.
Na rečo se je ACME standard (ki se uporablja tudi za avtomatizacijo letsencrypt) kar prijel in izgleda da bo v prihodnosti verjetno ta način uporabljen tudi za certifikate, ki jih trenutno nameščamo ročno. Špekulira se da bi google skrajšal maksimalno veljavnost certifikatov na 2 meseca (pred leti je iirc to storil apple in skrajšal na 1 leto max). Če se to zgodi enostavno ne bo drugega kot vpeljati ACME prav povsod.
Mene pa zanima, ali imajo sploh kakšen healthcheck za ajpes.si? Ker novica se bere, kot da bi se nekega jutra admin zbudil, slučajno šel prebrat mail in našel eno sporočilo od občana, da ajpes.si ne dela.
To je ta "Antijanšizem"? Teli certifikati so delo prejšnje vlade, kar naj potečejo.
V tej državi vsi vedo za vse svinjarije, ki se dogajajo.
Ko pa vprašaš, kdaj so prijavili kako stvar pa črički.
Če veš, obišči & prijavi na; e-uprava.gov.si/podrocja/vloge/vloga.html?id=2377
smeh ... solze Javna Uprava v vsej svoji zabitosti. Kader, ki... ni kader. Če še niste nikoli delali s takšnim biserom, ki je nekoč bil v ITju javne uprave, si tega res ne želite. Normalnemu kadru se takšen kiks ne zgodi. Tukaj pa... ne bo nihče odgovarjal. Prej napredoval, saj je bilo vse tipi topi še isti dan... ZA BRUHAT!
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
Digicert podpira tudi avtomatiko, vsaj do te mere, da ti 30 dni pred potekom avtomatsko zgenerirajo novega. Kot tudi obveščanje pred potekom, ko zgenerirajo novega, itd. Nameščanje na strežnike je potem druga stvar.
Je pa to nedvomno prej organizacijski problem kot tehnični. Tudi, če je vse potrebno narediti na roke, mora organizacija vedeti, katere certifikate ima v lasti, kdaj bojo potekli in tako naprej. Isto za domene in ostale stvari. Ne sme se dogajati, da je to znanje zbrano v zgolj eni osebi. Prerado pride do situacije, da ta oseba da odpoved ali je na daljši bolniški ali kaj tretjega.
Zakaj pa sploh potrebujemo TLS za ajpes? Kakor laično vem, so na ajpesu podatki itak samo za branje, storitev pa je itak namenjena le Slovencem. Primer je recimo spletna stran na pisrs.si, ki storitev v celoti ponuja brez podpore za HTTPS. Ali pa slackware.com. Itd.
Ker slovenskim operaterjem ni dovoljeno zlobamerno manipulirati s podatki, TLSja za nekaj takega sploh ne potrebujemo. Ampak ajpes iz neznanega razloga še vedno preusmeri vsako HTTP povezavo na HTTPS. Če tega ne bi delali, bi ajpes še vedno bil uporaben preko nešifrirane povezave, če TLS cert poteče.
Sploh pa je, po mojem mnenju, dejstvo, da certifikati potečejo tako hitro, zgolj način, s katerim firme za zagotavljenje zaupanja na PKI prisilijo uporabnike v nakup novih podpisov. Kljub temu, da certifikati potečejo, je še vedno ob vsaki povezavi treba preveriti CRL in OCSP. Ne pomaga namreč, da lahko zlonameren akter certifikat uporablja le en teden namesto enega leta -- v enem tednu lahko naredi dovolj škode.
"Ker slovenskim operaterjem ni dovoljeno zlobamerno manipulirati s podatki, TLSja za nekaj takega sploh ne potrebujemo."
Zelo težko je zagotoviti, da promet od tebe do Ajpesovega web serverja ne bi šel (tudi) zunaj Slovenije.
Poleg tega se je treba zavedati, da je internet javno omrežje, in kar gre nešifrirano po internetu je ekvivalentno kot če sosed nekaj vpije sredi ulice. Tukaj bi bilo dobro osvežiti spomin kako so v javnost prišli lizunski maili bivšega predsednika uprave NKBM, poslani Janši...
Zakaj pa sploh potrebujemo TLS za ajpes? Kakor laično vem, so na ajpesu podatki itak samo za branje, storitev pa je itak namenjena le Slovencem. Primer je recimo spletna stran na pisrs.si, ki storitev v celoti ponuja brez podpore za HTTPS. Ali pa slackware.com. Itd.
AJPES nudi tudi oddajanje podatkov in dokumentov - www.ajpes.si/Oddajam Omogoča prijavo uporabnikom v portal - brez httpS je vstopno ime in geslo vidno na lokalni mreži Brez httpS je na lokalni mreži vidno, katere URL-je na spletni strani nekdo odpiral in katere podatke pošiljal ter prejemal (npr. finančne podatke) Pa še - "stran ni varna"
V tej državi vsi vedo za vse svinjarije, ki se dogajajo.
Ko pa vprašaš, kdaj so prijavili kako stvar pa črički.
Če veš, obišči & prijavi na; e-uprava.gov.si/podrocja/vloge/vloga.html?id=2377
Očitno nihče nima poštimanega monitoringa in bog ne daj še kaj avtomatike... Bili so prazniki, in danes dopoldne je še pol T-2 omrežja v državi crknilo...
Zakaj pa sploh potrebujemo TLS za ajpes? Kakor laično vem, so na ajpesu podatki itak samo za branje, storitev pa je itak namenjena le Slovencem. Primer je recimo spletna stran na pisrs.si, ki storitev v celoti ponuja brez podpore za HTTPS. Ali pa slackware.com. Itd.
AJPES nudi tudi oddajanje podatkov in dokumentov - www.ajpes.si/Oddajam Omogoča prijavo uporabnikom v portal - brez httpS je vstopno ime in geslo vidno na lokalni mreži Brez httpS je na lokalni mreži vidno, katere URL-je na spletni strani nekdo odpiral in katere podatke pošiljal ter prejemal (npr. finančne podatke) Pa še - "stran ni varna"
Še vedno bi lahko dovolili plaintext povezavo za strani, ki šifriranja ne potrebujejo. Primer: po novi zakonodaji radioamaterji ne smemo šifrirati povezav po radijskih zvezah, torej nam je dostop do ajpesovih strani onemogočen (razen če podpirajo TLS NULL cipher, ki samo preverja integriteto, ne šifrira pa podatkov).
