Názory k článku
Portálu veřejné správy vyexpiroval certifikát, nedalo se na něj přihlásit [AKTUALIZACE]

Pěkný průšvih, nechat vyexpirovat certifikát u takto důležitých služeb eGovernmentu.

České vládní IT... A tahle parta chce další miliardy na vlastní HW, vývoj aplikací a sítě.

tohle se fakt děje asi jen u nás v kocourkově, na flákanec je zralý celý ten aparát od shora až dolů

Je na tom hezky vidět, jak důležitý je "tedlecten Ynternet" pro státní správu. Na jedné straně navalit povinnosti na občany, aby to státu zjednodušilo práci, na druhé straně neschopnost zajistit podmínky; o vše se starají "špatně placení, druholigoví (možná) "ajťáci" (čest výjimkám) a rozhodují ouřednící a politici, kteří tomu nerozumějí a nechtějí rozumět, protože "oni mají razítko, oni mají pravdu".
Smutné.

Jen upřesním: ostuda je, že jim "utekl" certifikát, průšvih je, že trvalo skoro pět hodin, než "se to spravilo".

Donedávna se dalo (alespoň ve FF) odklepnout že i tak na web chci. Ve jménu ochrany nesvéprávných uživatelů už to nejde :-(

Snadné to nebylo, bylo to schované, muselo se na Zobrazit podrobnosti, tam bylo Přidat výjimku a to se ještě muselo potvrdit. Každopádně nemám rád, když mi někdo určuje, co je pro mě bezpečné a co ne. Ať už je to tohle, pravidla pro sílu hesla a spoustu dalších věcí. Zamykat si auto a dům vás taky nikdo nenutí, je to na vás, zda si zamknete nebo budete riskovat že vás vykradou.

Zrovna u takové prkotiny, jako je exspirace, není potřeba monitoring, ale postačí prostý kalendář, nebo jiná upomínka.

Jinak, 5h na opravu mi přijde u státu až moc luxusní, vzhledem k tomu, že se to dověděli dle všeho nejdříve pár mínut po exspiraci :-)

zrovna expirace certifikátu se děje kdekomu, klidně i hostingu s stovkami tisíc zákazníků nebo bance.

Problém je, že nikdo nenastuje monitoring, který by řekl, že certifikát za týden končí, že končí jeho issuer nebo se děje jiný problém.

Bývaly doby, kdy člověk musel na konkrétní weby chodit určitým browserem... člověk by řekl, že pokrok, už se to nebude opakovat. A zase je výrobci browserů nucen udržovat historické verze, protože (například) spravuje zařízení s vestavěným http serverem, do kterého modernější šifry prostě nedostane.
Není někde nějaký browser pro svéprávné lidi?

Prémie? Jste vtipálek. Dokud nevznikne problém, tak management obvykle ani neví, že to, co nejede, existuje. :)

Když uživateli dáte snadnou možnost tu hlášku přeskočit, ani ji tam nemusíte dávat. Bude to jen zbytečný klik navíc – uživatelé tu hlášku nebudou číst, a těch pár, co si ji přečte, stejně nebude vědět, co znamená nebo jaké nebezpečí jim hrozí. Tohle je holt zodpovědnost provozovatele webu.

Už jsem taky zažil, že certifikát byl včas vydán i nasazen, ale protože nebyl proveden restart serveru, nový certifikát se nenačetl. Takže se to zjistilo až po expiraci starého.

Vzhledem k tomu, že následný certifikát byl vydán už před měsícem, kalendář evidentně fungoval. Takovouhle věc ale typicky řeší víc lidí, a ten proces se nejspíš zadrhl někde až po vydání následného certifikátu. Takže nestačí kalendář pro zahájení akce, ale je potřeba hlídat, že ta akce doběhla až do konce. Ale pomohl by i ten monitoring, který by upozornil, že certifikát stále vyměněný není.

Pokud by se tohle stalo bance s jednou z jejich hlavních domén, pak ten zodpovědný člověk druhý den končí.

Zas tak neobvykle to neni.
Napada mne vyexpirovana domena webu microsfotu nebo googlu.

Já o soukromém nepsal;) Tam asi ještě používají papírové a ty jsou erární, ač bych se nedivil, kdyby si ho třeba někdo vzal domů po odchodu:)

to je ten problém, s rychlými změnami zaměstnanců se tyhle věci stanou tak, že po odměně ten nový o téhle povinnosti neví a problém je na světě. Krom toho v českých bankách se za chyby či neschopnost moc nevyhazuje.

Vtipné i smutné ... a přitom stačí, aby si pověřený administrátor nainstaloval do mobilu aplikaci na hlídání expirace SSL certifikátů, třeba SSL Certificate Monitor. Věděl by to včas a ještě by možná dostal prémie za dobře odvedenou práci.

Na shledanou za rok.

Mozna kdyby místní diskutujici nekdy pracovali ve statnim sektoru za tabulkovy plat, tak by asi pochopili ze se pracuje jen do vyse sveho platu - minimalni mzdy s osobnim ohodnocenim do 5tis Kc.

ano, a to jsou přesně případy, kdy právě takový monitoring má na trvající problém upozornit. To je i tenhle případ, certifikát sice někdo vydat zavčasu, ale on se zavčasu nedostal na webový server.

Asi by tam měli radši dát LE certifikát s automatickou obnovou...

To je úžasný přístup.

A hesla na papírkách na monitoru...

Bylo to snadné. Přesně jak popisujete, stačilo jen klikat na to nejdůležitější tlačítko, akorát v prvním kroku bylo nutné vybrat to druhé. U zamykání auta a domu každý chápe, co se může stát, když nezamkne.

V prostředí, kde máte k dispozici více zdrojů (firma atp.), si můžete nastavit reverzní proxy a pro upstream zařízení nekontrolovat platnost certifikátu. Nezabezpečená komunikace mezi dvěma sousedními službami může být bezpečnější než nezabezpečená komunikace přes celý internet. Navíc prehistorická verze browseru mívají neopravené bezpečnostní problémy.

Už je to opravené, v 19:30 jsme zprávu aktualizovali.

Moje zkušenost s certifikáty je taková, že je to běžné nedá se tomu zabránit. Ajťák má v aplikacích pod kontrolou desítky nejrůznějších certifikátů v nejrůznějších formátech a úložištích, podle toho, jak která aplikace to vyžaduje. To ajťák neovlivní. Problém je v tom, že se to mění zřídka - v řádu roků, takže je celkem pravděpodobné, že se mezitím ajťák vymění a k novému se informace nepřenese. Teoreticky by to měla řešit dobrá dokumentce, ale s ní je ten samý problém - jen o úroveň jinde.
Dalším řešením je automatická výměna certifikátů, ale to se běžně nedělá, snad jen u certifikátů web serverů, což byl problém z článku. Ale u certifikátů pro podepisování a jiné účely se aktualizace sama od sebe většinou neprovádí. I kdyby se o to někdo pokusil, pravděpodobnost, že bude dlouhodobě fungovat program, který se uplatní jen jednou za několik roků je malá. V mezidobí se leccos změní a testuje se to také dost obtížně.

Radši ne. Jednak na takovýhle web nepatří jenom DV certifikát. Za druhé, to, že máte API pro automatické vystavení certifikátu, ještě neznamená, že dokážete certifikát automaticky nasadit.

Dovolte malé rýpnutí: Vyexpirovat? To je něco jako nejoptimálnější?

Záleží čí kalendář. Mohlo v mezičase dojít k personální změně a to ti pak soukromý kalendář moc neřeší.

Teď je 14.2.2021 19:30 a Chrome nic nenamítá:
Certificate Information
Issued to: portal.gov.cz
Issued by: GeoTrust EV RSA CA2018
Valid from 19.01.2021 to 20.02.2022

Mezitím to chvíli jelo na jiný, který byl "hvězdičkový" - ale nenapadlo mne si udělat otisk.

Jak jste správně uvedl, pracuje se do výše svého platu. Pracuje. Tady vznikl jiný problém - někdo holt nepracoval a nepostaral se o své pracovní povinnosti. :/ Člověk aby se pomalu styděl říci, že dělá ajťáka ve státním, co? (já dělám jinde:-)