Názory k článku
Identita občana vyměnila certifikát, portály státu kvůli tomu postihl výpadek [AKTUALIZOVÁNO]

Jen taková perlička - stát si nechal "ukrást" bývalou NIA doménu eidentita.cz (nyní vlastní jakýsi Michael Sobotík), takže ten, kdo používá tyhle věci "jednou za uherský rok" a má to někde v záložkách, si teď může vychutnat přesměrování např. na Zonky., ePojisteni.cz apod.

Výborně.

Meli na to upozorneni dva tydny predem, ale od pulky prosince ve statnim nikdo nepracoval a zjistili to v utery, kdyz po svatcich prisli do prace.

Proč mě to jenom v našem eGovernmentu vůbec nepřekvapuje. :-)

Certifikát vydávaný společností PostSignum má platnost vždy po dobu jednoho roku. Tento nový podpisový certifikát bude platný podle metadat do 4.1.2024, tedy na začátku příštího roku proběhne nové cvičení civilní obrany.

Abychom se dobre pochopili, nemyslel jsem, ze povazuji za dulezite jen, aby existovalo gov.cz jako takove, ale aby vsechny statni sluzby byly na neco.gov.cz, kdyz se pak clovek splete a misto eagri.gov.cz zada mz.gov.cz, tak se mu nestane, ze si omylem koupi kalhotky.

Tak doufejme, ze za rok pujdou opet stesti naproti ;-)
Jestli toto byla standardni dlouhodobe planovana vymena certifikatu po roce, tak je o to mene pochopitelne, ze nedaji vedet driv. Nic proti tomu, kdyz jsou statni ajtaci hrave povahy a zkousi se vzajemne prekvapovat, ale pravdepodobne to nemalemu mnozstvi uzivatel pusobi zbytecne obtize.

Že se měla informace o výměně certifikátu zveřejnit dříve, o tom asi není pochyb.
Na druhou stranu jedná se o certifikát, kterým národní bod podepisuje tokeny, které vyrábí v rámci autentizace a které nakonec předá uživateli aby je předložil příslušnému kvalifikovanému poskytovateli. Ten si ověřuje že token je podepsaný někým, komu důvěřuje, v tomto případě národním bodem. Pokud kvalifikovaný poskytovatel dostane token podepsaný jiným certifikátem, měl by na pozadí spustit minimálně kontrolní proces, jehož výsledkem může být informace že došlo k výměně podpisového certifikátu.
Jednou stránkou je tedy nedostatečná informovanost a druhou je nevhodná implementace. I kdyby byl kvalifikovaný správce včas upozorněn, dojde k výpadku přihlašování v čase, kdy bude měnit ručně certifikát (nebo automaticky v časovém intervalu kontroly). Při vhodné implementaci k výpadku buď nedojde, nebo alespoň bude uživateli předána smysluplná informace s požadavkem na opakování přihlášení.

Zverejnit novy certifikat a rovnou ho nasadit a jeste v prubehu vecera je ponekud diletantismus. Kdyz je na to navazano tolik veci okolo. Ten certifikat meli k dispozici uz od puli prosince... ale ty data v predstihu soudruzi nezverejnili.

Subject: C = CZ, organizationIdentifier = NTRCZ-72054506, O = Spr\C3\A1va z\C3\A1kladn\C3\ADch registr\C5\AF, OU = Odd\C4\9Blen\C3\AD architektury a anal\C3\BDzy, CN = GG_FPSTS, serialNumber = S275730
Not Before: Dec 15 09:51:11 2022 GMT
Not After : Jan  4 09:51:11 2024 GMT

Presne tak, informovanost je jedna vec a implementace druha pokud nekdo implementuje kontrolu certifikatu pres serial number tak si nic jineho nez vypadek sluzby nezaslouzi. Tady je krasne videt jak stat sice tlaci lidi do pouzivani DS ale zaroven sam stat nema vyresene zakladni procesy jako monitoring a incident response.

To jeste bude pripadny poskozeny rad, pokud to bude nejake podobne v podstate neskodne marketingove zneuziti.
Nechapu, ze je takovy oroblem zavest gov.cz nebo neco podobneho.

Pokud system nedokaze "odrotovat" podpisove klice tak, aby to nezhaslo X systemu na X hodin, pak je to spatne navrzene.

Menit podpisovy klic v osm vecer je spatne i procesne - opet, pokud je na to navazane X dalsich systemu, tak smerovat to do doby, kdy 9/10 uz nepracuje je taky spatne.

Ve finale si tu hrajeme na buhvico, ale informaci o tom, jaky certifikat se pouzije na podpis si mame stahnout z webu, ktery ma i DNS servery buhvikde (u komercniho registratora) - tedy cela "bezpecnost" toho cirkusu stoji a pada s tim, jak zabezpecene to ma ten registrator. A stahovat se to ma z webu, kde se pouzivaji zastarale kryptograficke algoritmy (vc. 3DESu).

Jestli to nemelo vazny duvod, tak to je vcelku brutalni test, zda si vsichni spravne nastavili automatickou zmenu. Predpokladam, ze za tim bude nejaky bezpecnostni prusvih, ktery se zatim snazi ututlat.

Postsignum urcite umi certifikaty s delsi platnosti (na 3 roky). A ten certifikat z QCA4 se pouziva jen na M2M komunikaci, takze restrikce prohlizecu "na rok" se tady neuplatni.

Doména 2. řádu gov.cz dávno existuje.

4. 1. 2023, 13:59 editováno autorem komentáře

Já se dnes do datové schránky dostal až na třetí pokud a při pohybu v ní mi to psalo, že mám pravděpodobně přerušené internetové spojení... přes "mojedatovaschran­ka" to nejde, server dočasně nedostupný jde to ale přes " info.mojedato­vaschranka.cz/in­fo/cs/