» »

AJPES pozabil podaljšati certifikat

AJPES pozabil podaljšati certifikat

Slo-Tech - Če ste se danes napotili na spletne strani AJPES-a (Agencije Republike Slovenije za javnopravne evidence in storitve), ste obtičali pred opozorilom, da vas skuša nekdo pretentati. Chrome vas opozori, da morda napadalci skušajo ukrasti vaše podatke, Firefox pa, da gre za nevarno stran, ki se ji raje izognimo. V resnici je AJPES-u včeraj zvečer potekel certifikat SSL, ki je bil izdan 25. aprila lani. In AJPES ga ni pravočasno podaljšal.

Tovrstni spodrsljaji so se v preteklosti že dogajali, tudi večjim. Microsoft je na primer leta 2020 pozabil podaljšati certifikat za Teams, ki je bil potem nekaj ur nedosegljiv. V daljni prazgodovini, leta 2008, je to uspelo tudi Googlu. Leta 2015 je za nekaj ur padel Instagram. Tej druščini uglednih strani, ki so pozabile podaljšati certifikat, se je sedaj pridružil še AJPES.

41 komentarjev

GizmoX ::

Admin na prvomajskih počitnicah? :))
udirač => uni. dipl. inž. rač.

starfotr ::

To je danes prav neverjetno, da se dogaja. Sanje o AI, web 3.0, Industrija 4.0, 5G ...

Pa spletne strani nam padajo, ker je nekdo pozabil nekaj ROČNO naredit.

fulk ::

Jp. Temu se preče progress. Progress vse do pekla.

Cr00k ::

Mislim, da bo treba še enega skrbnika certifikatov v JU zaposlit.

c3p0 ::

Za denar, ki ga Ajpes kasira od vseh firm v SLO, lahko imajo enega namenskega, ki samo v cert bulji celo leto.

McNato ::

Koliko minut admin potrebuje za podaljšanje certifikata ?

MrStein ::

starfotr je izjavil:

To je danes prav neverjetno, da se dogaja. Sanje o AI, web 3.0, Industrija 4.0, 5G ...

Pa spletne strani nam padajo, ker je nekdo pozabil nekaj ROČNO naredit.

A nima startSSL to avtomatsko?

Aha, teh več ni kot vidim.
Je kaka konkurenca?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

prowb ::

Ampak, ko pa se uspeš prikopat do Ajpesove strani, te pa najprej pričaka anketa o zadovoljstvu :)

c3p0 ::

Dandanes je večina na Letsencrypt in avtomatika je tam dobro podprta.

MrStein ::

c3p0 je izjavil:

Dandanes je večina na Letsencrypt in avtomatika je tam dobro podprta.

Ja, to sem mislil. Ne StartSSL.

Sicer pa nastaviti opomnik "en mesec pred potekom me opozori na certifikat"...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Looooooka ::

Avtomatizacija izdaje certifikata je ena stvar, na streznikih kjer se ga uporablja je pa ponavadi rocno z razlogom, ker bi avtomatizacija tega koraka lahko dejansko olajsala delo morebitnemu hekerju. Na streznik nalozi nov certifikat, ki ga sistem potem sam zamenja na vseh streznikih. Mokre sanje.

starfotr ::

MrStein je izjavil:

c3p0 je izjavil:

Dandanes je večina na Letsencrypt in avtomatika je tam dobro podprta.

Ja, to sem mislil. Ne StartSSL.

Sicer pa nastaviti opomnik "en mesec pred potekom me opozori na certifikat"...


A ti bi dal LE na spletno stran državne uprave? A smo lahko še bolj neresni?

Medtem, ko imamo SI Trust. In bi lahko že uspeli uredit, da pridejo v operacijske sisteme in brskalnike, kot zaupanja vredni.

stb ::

Nov certifikat je očitno "že" v postopku pridobivanja: https://crt.sh/?id=9315000988

Zgodovina sprememb…

  • spremenil: stb ()

GizmoX ::

Zdaj je pa tudi že zamenjan.
udirač => uni. dipl. inž. rač.

Zimonem ::

starfotr je izjavil:

MrStein je izjavil:

c3p0 je izjavil:

Dandanes je večina na Letsencrypt in avtomatika je tam dobro podprta.

Ja, to sem mislil. Ne StartSSL.

Sicer pa nastaviti opomnik "en mesec pred potekom me opozori na certifikat"...


A ti bi dal LE na spletno stran državne uprave? A smo lahko še bolj neresni?

Medtem, ko imamo SI Trust. In bi lahko že uspeli uredit, da pridejo v operacijske sisteme in brskalnike, kot zaupanja vredni.

Ne dajaj jim izzivov. Ker se to dogaja.
Problem je pa potem Huawei in podobni.

Zgodovina sprememb…

  • spremenilo: Zimonem ()

jlpktnst ::

Ste omenjali letsencrypt... to je uporabno samo za potrditev lastništva domene in nič drugega.

Za določene strani ki zahtevajo večjo mero zaupanja potrebujemo certifikate, ki potrjujejo recimo pravno osebo, fizično osebo itd.

Na rečo se je ACME standard (ki se uporablja tudi za avtomatizacijo letsencrypt) kar prijel in izgleda da bo v prihodnosti verjetno ta način uporabljen tudi za certifikate, ki jih trenutno nameščamo ročno. Špekulira se da bi google skrajšal maksimalno veljavnost certifikatov na 2 meseca (pred leti je iirc to storil apple in skrajšal na 1 leto max). Če se to zgodi enostavno ne bo drugega kot vpeljati ACME prav povsod.

c3p0 ::

starfotr je izjavil:


A ti bi dal LE na spletno stran državne uprave? A smo lahko še bolj neresni?

Medtem, ko imamo SI Trust. In bi lahko že uspeli uredit, da pridejo v operacijske sisteme in brskalnike, kot zaupanja vredni.


Smo gotovo lahko bolj neresni. Pokaži mi kje je prišlo do zlorabe, če je zadeva seveda primerno implementirana.

Ja, zadeva je DV, drugo je OV ali EV.

V-i-p ::

Hmm, da ni imel admin kakšne nesreče?
/s
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

Tero ::

V-i-p je izjavil:

Hmm, da ni imel admin kakšne nesreče?
/s

Hehe.
Je razlika med državno ustanovo in eno torrent stran :)
Give a man a fish, he'll be fed for a day.
Teach a man to fish and he'll drown himself.

WhiteAngel ::

Mene pa zanima, ali imajo sploh kakšen healthcheck za ajpes.si? Ker novica se bere, kot da bi se nekega jutra admin zbudil, slučajno šel prebrat mail in našel eno sporočilo od občana, da ajpes.si ne dela.

recmajkemi ::

To je ta "Antijanšizem"? Teli certifikati so delo prejšnje vlade, kar naj potečejo. :))
V tej državi vsi vedo za vse svinjarije, ki se dogajajo.
Ko pa vprašaš, kdaj so prijavili kako stvar pa črički.
Če veš, obišči & prijavi na; e-uprava.gov.si/podrocja/vloge/vloga.html?id=2377

dexterboy ::

V-i-p je izjavil:

Hmm, da ni imel admin kakšne nesreče?
/s

:) :) :D :D :)) :))
smeh ... solze
Javna Uprava v vsej svoji zabitosti. Kader, ki... ni kader. Če še niste nikoli delali s takšnim biserom, ki je nekoč bil v ITju javne uprave, si tega res ne želite. Normalnemu kadru se takšen kiks ne zgodi. Tukaj pa... ne bo nihče odgovarjal. Prej napredoval, saj je bilo vse tipi topi še isti dan... ZA BRUHAT!
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

jan_g ::

Digicert podpira tudi avtomatiko, vsaj do te mere, da ti 30 dni pred potekom avtomatsko zgenerirajo novega. Kot tudi obveščanje pred potekom, ko zgenerirajo novega, itd. Nameščanje na strežnike je potem druga stvar.

Je pa to nedvomno prej organizacijski problem kot tehnični. Tudi, če je vse potrebno narediti na roke, mora organizacija vedeti, katere certifikate ima v lasti, kdaj bojo potekli in tako naprej. Isto za domene in ostale stvari. Ne sme se dogajati, da je to znanje zbrano v zgolj eni osebi. Prerado pride do situacije, da ta oseba da odpoved ali je na daljši bolniški ali kaj tretjega.

c3p0 ::

IT dobro ve: če ni problemov, te ne rabijo. Zdaj je pa ob problemu pokazal hitro angažiranost, rešitev problema in razlog za napredovanje. Smart guy.

MrStein ::

starfotr je izjavil:


A ti bi dal LE na spletno stran državne uprave? A smo lahko še bolj neresni?


1. Jaz ne bi dal nič, ker nisem tam zaposlen.
2. Zgrešil si poanto. Obstaja avtomatizem. Nima veze od katerega ponudnika.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Netrunner ::

Pa kaj je potrebna prav novica če nekdo pozabi podaljšati certifikat :) ? ...Glavno je da je čimprej zrihtano, če že pride do napake.
Doing nothing is very hard to do... you never know when you're finished.

dexterboy ::

Netrunner je izjavil:

Pa kaj je potrebna prav novica če nekdo pozabi podaljšati certifikat :) ? ...Glavno je da je čimprej zrihtano, če že pride do napake.

Moramo vklopiti sarkazem detektor? Ker v nasprotnem imamo velike težave… :(
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

dexterboy ::

Funtech.si... isti šmorn. Tole pa ni več smešno?
Issued On Monday, 4 April 2022 at 02:00:00
Expires On Saturday, 6 May 2023 at 01:59:59
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

tony1 ::

Tole z enoletno veljavnostjo certov je en tak Chromov ukrep, da bi si ga lahko izmislili direktno v državni upravi...

Sparrow ::

enako ne dela: cawi.stat.si

misek ::

Potrebno je upoštevati, da so sedaj podaljšani prazniki in so zadeve pač ušle izpod kontrole. V ponedeljke dopoldne bo vse urejeno.

sija ::

Nepopularno mnenje:

Zakaj pa sploh potrebujemo TLS za ajpes? Kakor laično vem, so na ajpesu podatki itak samo za branje, storitev pa je itak namenjena le Slovencem. Primer je recimo spletna stran na pisrs.si, ki storitev v celoti ponuja brez podpore za HTTPS. Ali pa slackware.com. Itd.

Ker slovenskim operaterjem ni dovoljeno zlobamerno manipulirati s podatki, TLSja za nekaj takega sploh ne potrebujemo. Ampak ajpes iz neznanega razloga še vedno preusmeri vsako HTTP povezavo na HTTPS. Če tega ne bi delali, bi ajpes še vedno bil uporaben preko nešifrirane povezave, če TLS cert poteče.

Sploh pa je, po mojem mnenju, dejstvo, da certifikati potečejo tako hitro, zgolj način, s katerim firme za zagotavljenje zaupanja na PKI prisilijo uporabnike v nakup novih podpisov. Kljub temu, da certifikati potečejo, je še vedno ob vsaki povezavi treba preveriti CRL in OCSP. Ne pomaga namreč, da lahko zlonameren akter certifikat uporablja le en teden namesto enega leta -- v enem tednu lahko naredi dovolj škode.

tony1 ::

"Ker slovenskim operaterjem ni dovoljeno zlobamerno manipulirati s podatki, TLSja za nekaj takega sploh ne potrebujemo."

Zelo težko je zagotoviti, da promet od tebe do Ajpesovega web serverja ne bi šel (tudi) zunaj Slovenije.

Poleg tega se je treba zavedati, da je internet javno omrežje, in kar gre nešifrirano po internetu je ekvivalentno kot če sosed nekaj vpije sredi ulice. Tukaj bi bilo dobro osvežiti spomin kako so v javnost prišli lizunski maili bivšega predsednika uprave NKBM, poslani Janši...

Netrunner ::

dexterboy je izjavil:

Netrunner je izjavil:

Pa kaj je potrebna prav novica če nekdo pozabi podaljšati certifikat :) ? ...Glavno je da je čimprej zrihtano, če že pride do napake.

Moramo vklopiti sarkazem detektor? Ker v nasprotnem imamo velike težave… :(


Ne ne rabiš, težave si pa sami ustvarjate tam kjer ni treba.
Doing nothing is very hard to do... you never know when you're finished.

V-i-p ::

Netrunner: no evo, zato pa je - kot je.
Kar lahko storiš danes, ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

GizmoX ::

sija je izjavil:

Zakaj pa sploh potrebujemo TLS za ajpes? Kakor laično vem, so na ajpesu podatki itak samo za branje, storitev pa je itak namenjena le Slovencem. Primer je recimo spletna stran na pisrs.si, ki storitev v celoti ponuja brez podpore za HTTPS. Ali pa slackware.com. Itd.

AJPES nudi tudi oddajanje podatkov in dokumentov - www.ajpes.si/Oddajam
Omogoča prijavo uporabnikom v portal - brez httpS je vstopno ime in geslo vidno na lokalni mreži
Brez httpS je na lokalni mreži vidno, katere URL-je na spletni strani nekdo odpiral in katere podatke pošiljal ter prejemal (npr. finančne podatke)
Pa še - "stran ni varna"
udirač => uni. dipl. inž. rač.

recmajkemi ::

A to gre ko domine?

https://forum2.arsktrp.gov.si/
V tej državi vsi vedo za vse svinjarije, ki se dogajajo.
Ko pa vprašaš, kdaj so prijavili kako stvar pa črički.
Če veš, obišči & prijavi na; e-uprava.gov.si/podrocja/vloge/vloga.html?id=2377

c3p0 ::

So že zrihtali danes, vidim. Imajo Letsencrypt, starfotr si vidu?

tony1 ::

recmajkemi je izjavil:

A to gre ko domine?

https://forum2.arsktrp.gov.si/


Očitno nihče nima poštimanega monitoringa in bog ne daj še kaj avtomatike... Bili so prazniki, in danes dopoldne je še pol T-2 omrežja v državi crknilo...

MrStein ::

Daj no, če pa stari fotri pravijo, da je avtomatika brez veze. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

sija ::

GizmoX je izjavil:

sija je izjavil:

Zakaj pa sploh potrebujemo TLS za ajpes? Kakor laično vem, so na ajpesu podatki itak samo za branje, storitev pa je itak namenjena le Slovencem. Primer je recimo spletna stran na pisrs.si, ki storitev v celoti ponuja brez podpore za HTTPS. Ali pa slackware.com. Itd.

AJPES nudi tudi oddajanje podatkov in dokumentov - www.ajpes.si/Oddajam
Omogoča prijavo uporabnikom v portal - brez httpS je vstopno ime in geslo vidno na lokalni mreži
Brez httpS je na lokalni mreži vidno, katere URL-je na spletni strani nekdo odpiral in katere podatke pošiljal ter prejemal (npr. finančne podatke)
Pa še - "stran ni varna"


Še vedno bi lahko dovolili plaintext povezavo za strani, ki šifriranja ne potrebujejo. Primer: po novi zakonodaji radioamaterji ne smemo šifrirati povezav po radijskih zvezah, torej nam je dostop do ajpesovih strani onemogočen (razen če podpirajo TLS NULL cipher, ki samo preverja integriteto, ne šifrira pa podatkov).


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

AJPES pozabil podaljšati certifikat

Oddelek: Novice / Varnost
418514 (2994) sija
»

Prispevki s.p.-ja (strani: 1 2 3 4 )

Oddelek: Loža
18148173 (11957) fikus_
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369131234 (96467) AndrejO
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181172 (63726) jukoz
»

Navodila za Proklik preko ADSL

Oddelek: Omrežja in internet
163347 (2462) Duhec

Več podobnih tem