[emilv]

Lär dig av Socialstyrelsen hur man inte ska drifta en SSL-sida.

I Sverige måste man aktivt anmäla sig till Socialstyrelsens donationsregister för att ens organ ska kunna rädda liv på andra när man dör. Detta kan man göra direkt på nätet via ett formulär. Detta formulär är givetvis skyddat av SSL-kryptering dåd et är känsliga personuppgifter som hanteras.

Tidigare har detta formulär driftats på domänen "app.socialstyrelsen.se" med tillhörande certifikat utfärdat på Socialstyrelsen. Så långt allting väl. Alla är med på att socialstyrelsen.se ägs av Socialstyrelsen. Detta är tillräckligt pålitligt för att vi ska veta att uppgifterna vi skickar in hamnar i rätt händer. Så här har upplägget varit i flera år.

Nu har Socialstyrelsen tydligen bytt hostingleverantör, och då väljer man att göra hela SSL-grejen fel. Nu ligger formuläret istället på domännamnet "socialstyrelsen.siriusit.net".
Första felet: Kan besökaren vid första anblicken se att detta är en domän som driftas av Socialstyrelsen? Svaret är "nej", eftersom vem som helst kan äga domänen "siriusit.net".

Formuläret skyddas fortfarande av ett SSL-certifikat, med wildcard för hela huvuddomänen: "*.siriusit.net". Det är ett domänvaliderat certifikat (ej EV-SSL), vilket innebär att de flesta webbläsare väljer att visa texten "drivs av: okänd", helt enkelt för att ingen kontrollerat att den som beställt certifikatet är den de utger sig för att vara. Men noggranna som vi webbmästare är går vi såklart in och kontrollerar certifikatet noggrannare i vår webbläsare, och ser då att certifikatet är utställt på företaget "Svenska ITSIRIUS AB". Detta leder oss in på det andra felet: Det är ett okänt företag, inte Socialstyrelsen, som driver webbplatsen, vilket det inte informeras om på Socialstyrelsens sida när man går vidare till formuläret. Här bör alla stänga ner formuläret och inte gå vidare. Det finns ingen seriös IT-kunnig som låter sina vänner fortsätta genom detta formulär.

Men det finns ett fel kvar, något som gör det hela ännu läskigare. Slår vi på "Svenska ITSIRIUS AB" på allabolag.se så finns inte företaget! Certifikatet är alltså utfärdat på ett företag som inte ens existerar! Här kommer den stora säkerhetsvinsten med EV-SSL in: med EV-SSL har utfärdaren kontrollerat vem som faktiskt får ut sitt certifikat, något som inte sker vid domänvaliderade SSL-certifikat. Tredje felet, alltså: SSL-certifikatet är utfärdat på någon som inte finns. Det finns därmed inte en chans i universum att kontrollera att uppgifterna man fyller i formuläret hamnar i rätt händer.

Som driftare av en SSL-sajt bör man därför tänka på:
* Hur vet besökaren att den SSL-skyddade sajten är den rätta? Framförallt genom domännamnet förstås! Ska du skickade vidare besökaren till en tredje part, exempelvis en betalningsväxel, måste du berätta detta för användaren (inklusive domännamnet). Annars försvinner meningen med SSL.
* Försök samarbeta med välkända företag. SSL bygger på tillit, och de flesta litar inte på företag de aldrig hört talats om tidigare.
* Se alltid till att dina och dina samarbetspartners SSL-certifikat är korrekt utfärdade. Överväg EV-SSL trots att de är dyrare, då det ligger mer bakom än bara "grönt i webbläsaren".