[emilv]

Lär dig av Socialstyrelsen hur man inte ska drifta en SSL-sida.

I Sverige måste man aktivt anmäla sig till Socialstyrelsens donationsregister för att ens organ ska kunna rädda liv på andra när man dör. Detta kan man göra direkt på nätet via ett formulär. Detta formulär är givetvis skyddat av SSL-kryptering dåd et är känsliga personuppgifter som hanteras.

Tidigare har detta formulär driftats på domänen "app.socialstyrelsen.se" med tillhörande certifikat utfärdat på Socialstyrelsen. Så långt allting väl. Alla är med på att socialstyrelsen.se ägs av Socialstyrelsen. Detta är tillräckligt pålitligt för att vi ska veta att uppgifterna vi skickar in hamnar i rätt händer. Så här har upplägget varit i flera år.

Nu har Socialstyrelsen tydligen bytt hostingleverantör, och då väljer man att göra hela SSL-grejen fel. Nu ligger formuläret istället på domännamnet "socialstyrelsen.siriusit.net".
Första felet: Kan besökaren vid första anblicken se att detta är en domän som driftas av Socialstyrelsen? Svaret är "nej", eftersom vem som helst kan äga domänen "siriusit.net".

Formuläret skyddas fortfarande av ett SSL-certifikat, med wildcard för hela huvuddomänen: "*.siriusit.net". Det är ett domänvaliderat certifikat (ej EV-SSL), vilket innebär att de flesta webbläsare väljer att visa texten "drivs av: okänd", helt enkelt för att ingen kontrollerat att den som beställt certifikatet är den de utger sig för att vara. Men noggranna som vi webbmästare är går vi såklart in och kontrollerar certifikatet noggrannare i vår webbläsare, och ser då att certifikatet är utställt på företaget "Svenska ITSIRIUS AB". Detta leder oss in på det andra felet: Det är ett okänt företag, inte Socialstyrelsen, som driver webbplatsen, vilket det inte informeras om på Socialstyrelsens sida när man går vidare till formuläret. Här bör alla stänga ner formuläret och inte gå vidare. Det finns ingen seriös IT-kunnig som låter sina vänner fortsätta genom detta formulär.

Men det finns ett fel kvar, något som gör det hela ännu läskigare. Slår vi på "Svenska ITSIRIUS AB" på allabolag.se så finns inte företaget! Certifikatet är alltså utfärdat på ett företag som inte ens existerar! Här kommer den stora säkerhetsvinsten med EV-SSL in: med EV-SSL har utfärdaren kontrollerat vem som faktiskt får ut sitt certifikat, något som inte sker vid domänvaliderade SSL-certifikat. Tredje felet, alltså: SSL-certifikatet är utfärdat på någon som inte finns. Det finns därmed inte en chans i universum att kontrollera att uppgifterna man fyller i formuläret hamnar i rätt händer.

Som driftare av en SSL-sajt bör man därför tänka på:
* Hur vet besökaren att den SSL-skyddade sajten är den rätta? Framförallt genom domännamnet förstås! Ska du skickade vidare besökaren till en tredje part, exempelvis en betalningsväxel, måste du berätta detta för användaren (inklusive domännamnet). Annars försvinner meningen med SSL.
* Försök samarbeta med välkända företag. SSL bygger på tillit, och de flesta litar inte på företag de aldrig hört talats om tidigare.
* Se alltid till att dina och dina samarbetspartners SSL-certifikat är korrekt utfärdade. Överväg EV-SSL trots att de är dyrare, då det ligger mer bakom än bara "grönt i webbläsaren".

[Jonas]

Om man nu följer tex. IDG dagligen så klingar Sirius IT bekant... Visma har köpt om dom, vilket bland annat förklarar varför företaget inte längre finns då det numera är Visma...

[Ciffan]

Men borde man inte kunna kräva att ett företag som syssla mer digital säkerhet ser till att ändra företagsnamn på sitt certifikat? Det är ju ändå mer än ett halvår sedan namnbytet till Visma Sirius

[BarateaU]

Tidigare var den en ssl/https sida med iframe till visma/sirus. Dvs kaka på kaka.
Anser att det är bättre att man får se direkt vem man kommunicerar med.

Sen är visma/siruis it skapligt stora. http://www.visma.se/
De tillhandahåller en hel del e-tjänster.

Men som Emil säger så kanske det skall framgå klart och tydligt vem som är partner.

[emilv]

Citat:

Ursprungligen postat av BarateaU

Tidigare var den en ssl/https sida med iframe till visma/sirus. Dvs kaka på kaka.
Anser att det är bättre att man får se direkt vem man kommunicerar med.

Det är sant att man inte heller ska lägga SSL-sidan i en ram. Det döljer vem man verkligen kommunicerar med, och vissa webbläsare kan inte ens visa SSL-certifikatet för ramen. Det är många webbutiker som gör fel på den här punkten och lägger betalningssidan i en ram, vilket alltså är en dålig idé då man inte kan se att anslutningen är krypterad och vem man pratar med.

Citat:

Ursprungligen postat av BarateaU

Sen är visma/siruis it skapligt stora. http://www.visma.se/
De tillhandahåller en hel del e-tjänster.

Jag tror att många känner till Visma, men det framgår inte av certifikatet att det är Visma man pratar med. Det står "Svenska ITSIRIUS AB" som många nog inte hört talats om. Varför anslutningen hanteras av en extern part är heller aldrig förklarat - vad är anledningen till att jag lämner ut mina uppgifter till Visma?