Názory k článku
Ověřování přes Základní registry postihl výpadek, doménu chránil certifikát pro web historického regimentu
-
Kdyby to tu četl někdo dřív, než redakce článek stáhne a opraví – je to úplně jinak, alespoň podle odkazovaných tweetů. Problém se týká webové prezentace Správy základních registrů a pravděpodobně je na straně hostingu, kde je ta prezentace hostována. Se samotným systémem základních registrů (ISZR) to nijak nesouvisí a v tuto chvíli není jasné, zda ISZR má nějaký výpadek nebo ne.
-
Jsou to tři oddělené problémy. 1) chybové hlášky Identity občany napojené na ISZR svědčící o problémech s ISZR 2) vypnutá aktualizace monitoringu dostupnosti základních registrů (poslední údaj je z večera), 3) web SZR hostovaný na nějakém sdíleném hostingu, který dostal certifikát zájmového sdružení... Všechny tři problémy (symptomy) jsou samy o sobě závažné.
-
Chybové hlášky Identity občana nesvědčí přímo o problémech ISZR. Spíše o problémech NIA. Viz veřejně dostupné informace o dostupnosti NIA na https://info.identitaobcana.cz/Dostupnost/
-
Tam to není o moc lepší:
"Čas provedení testů 14:23:42 01.10.2022
Všechny systémy jsou v pořádku a reagují, stav je OK"
Viz https://twitter.com/KamilZm/status/1748768132070559753 -
Teď už je to v článku napsáno výrazně lépe. Pořád ještě v článku zůstala chybná věta: „podle nichž byla doména základních registrů zabezpečena certifikátem vydaným pro zcela jiný subjekt“. Nejde o doménu základních registrů, ale o doménu webové prezentace základních registrů.
Mimochodem, bod 1) nesvědčí o problémech s ISZR, problémy by mohly být i na straně volajícího. Tomu, že jde o problémy ISZR napovídá zatím jen historická zkušenost. -
Mezi tím už i DIA potvrdila, že problém byl tentokrát na straně NIA: https://twitter.com/agentura_dia/status/1748764975127027813 Takže spekulace, že je problém s ISZR byly vzhledem k historickým zkušenostem na místě, ale tentokrát byly chybné.
-
at je to jakykoliv clanek v retezci, zatezove testovani bych ( a mozna se pletu, nejsem na to specialista) udelal tak, ze zahltim poctem obyvatel (teoreticke maximum) prvni vlnu (muj frontend, dela se treba nejaky koeficient vic, ale tady nepredpokladam, ze kdyz je to dobrovolne, tak se tam pohrnou kojenci i duchodci)), pak oznamit NIA, ze budu delat zatezove testy a nechat si potvrdit cas treba kolem pulnoci a poslat tam test a nechat si i od nich potvrdit zatez/odezvy. Proste odhalit uzke hrdlo v retezci kroku, ktere moje nabidka lidem bude vyuzivat. Ze se mi nesesype muj frontend neznamena, ze bude vsechno fungovat pri nekolika malo tisicich pozadavku v jeden okamzik. ten certifikat a nejaky hosting, to je dalsi bomba. jak se analyzuji dostupnosti, nemuze nekdo delat i analyzy tohoto ? kdyz to neni schopen zabezpecit stat ? predstavte si digitalni volby ... predpokladam, ze ten napor v patek a v sobotu by znamenal, ze zadne nebudou :))))
22. 1. 2024, 00:18 editováno autorem komentáře
-
Kdo někdy spravoval webový server, kde se na jedné IP adrese provozuje více webů za TLS pomocí SNI, tak mu tato chyba přijde povědomá... Nejedná se o přetížení, ale o chybnou konfiguraci. A vzhledem k tomu, že ta chyba tam visela tak dlouho, tak i nefunkční monitoring.
Vyvstává spíše otázka, proč je hostován web historického regimentu na stejné infrastruktuře, jako kritické registry státu.
-
On to zase jen tak nějaký webík není. Je to místo, kde jsou oficiálně dostupné specifikace služeb základních registrů, jsou tam WSDL/XSD, popisy služeb, popisy připojování AIS k ISZR atd. Spousta velmi důležitých informací a něco tam hledám prakticky obden. Takový web sice nemusí mít SLA zrovna 99.9 %, ale musí být důvěryhodný (integrita dat atd.), což po včerejšku zrovna říci nemohu.
@obrys: Vyvstává spíše otázka, proč je hostován web historického regimentu na stejné infrastruktuře, jako kritické registry státu.
Je to opačně (přemýšlím, která varianta je horší) - web Správy základních registrů je zřejmě na nějakém (pochybnějším) veřejném webhostingu (zřejmě tento https://twitter.com/JakubOnderka/status/1748652876816097348 ). -
Není to nedůležitý webík. Nicméně jeho krátkodobá nedostupnost nemůže mít vliv na provoz jiných informačních systém ve státní správě, například na současné problémy s přihlašováním přes NIA.
Lidé, kteří se v systémech státní správy trochu orientují, snadno rozliší, že tady není řeč o samotném systému ale „jen“ o webové prezentaci. Laik ale nemusí vědět, že jsou to dvě naprosto oddělené věci – a z článku se to bohužel nedozví, resp. z článku lze snadno nabýt dojmu, že ten problém s certifikátem se týkal samotného systému základních registrů.
(Explicitně dodávám, že to není omluva pro nefunkčnost toho webu, je to jen zasazení do správného kontextu.)
Včera došlo k narušení dostupnosti dat, nikoli integrity. Když tam byl špatný certifikát (vydaný na jiné doménové jméno), mělo to být vyhodnoceno tak, že není možné navázat bezpečné spojení s cílovým serverem. Něco jiného by bylo, pokud by se certifikát SZR objevil na jiném webu.
S tím hostingem to bude nějaké zamotanější, protože momentálně je web szrcr.cz hostován u MasterDC, ten Aerohosting je jinde. Je možné, že zrovna o víkendu došlo ke stěhování na nový hosting a k vypnutí starého hostingu došlo dřív, než vypršela platnost záznamů v DNS. Nebo se dělo něco jiného s nastavení DNS nebo s routováním.
-
Přičemž daleko spíš to vypadá na problém s routováním nebo DNS (třeba problém provozu DNS cache a autoritativního serveru se starými záznamy na jednom serveru). Protože szrcr.cz má od loňského května certifikát od Thawte, zatímco Aerohosting používá LE a nevypadá to, že by si tam člověk mohl přinést svůj vlastní certifikát. Pokud nevíte, na jakou IP adresu se vám přeložil DNS název v okamžiku, kdy jste dostal ten špatný certifikát, asi se z venku víc nezjistí.
-
To od koho tam je certifikat je fakt irelevantni. V momente, kdy je validni z pohledu prohlizecu to bezny koncovy uzivatel fakt resit dal nebude. Hratky na EV a podobne nesmysly beztak moc nefungovaly - coz se v praxi projevilo prave tim, ze se to prestalo i jakkoliv akcentovat, ze domena ma EV.
CAA zaznam szrcr.cz nepublikuje, ergo je irelevantni spekulovat, od koho certifikat maji a zdali-li je to spravne ci nikoliv. V moment, kdy by CAA existoval alespon vime, kdo je legitimnim vydavatelem certifikatu k dane domene... a kdo ne. Ale zadnou takovou informaci nemame. Ergo resit to, zda-li je to Thawte ci LE je nesmysl sam o sobe.
ČLÁNKY DO MAILU