Vlákno názorů k článku
Ověřování přes Základní registry postihl výpadek, doménu chránil certifikát pro web historického regimentu od obrys - Kdo někdy spravoval webový server, kde se na...

Kdo někdy spravoval webový server, kde se na jedné IP adrese provozuje více webů za TLS pomocí SNI, tak mu tato chyba přijde povědomá... Nejedná se o přetížení, ale o chybnou konfiguraci. A vzhledem k tomu, že ta chyba tam visela tak dlouho, tak i nefunkční monitoring.

Vyvstává spíše otázka, proč je hostován web historického regimentu na stejné infrastruktuře, jako kritické registry státu.

On to zase jen tak nějaký webík není. Je to místo, kde jsou oficiálně dostupné specifikace služeb základních registrů, jsou tam WSDL/XSD, popisy služeb, popisy připojování AIS k ISZR atd. Spousta velmi důležitých informací a něco tam hledám prakticky obden. Takový web sice nemusí mít SLA zrovna 99.9 %, ale musí být důvěryhodný (integrita dat atd.), což po včerejšku zrovna říci nemohu.

@obrys: Vyvstává spíše otázka, proč je hostován web historického regimentu na stejné infrastruktuře, jako kritické registry státu.
Je to opačně (přemýšlím, která varianta je horší) - web Správy základních registrů je zřejmě na nějakém (pochybnějším) veřejném webhostingu (zřejmě tento https://twitter.com/JakubOnderka/status/1748652876816097348 ).

Jen aby ten ban nepostihnul vas ;-) Vase komentare jsou casto mimo kontext a skrze kvanta produkovanych nesmyslu se snazite zakryt slendrian, ktere statni IT obklopuje. A moc vam to nejde ;-)

To od koho tam je certifikat je fakt irelevantni. V momente, kdy je validni z pohledu prohlizecu to bezny koncovy uzivatel fakt resit dal nebude. Hratky na EV a podobne nesmysly beztak moc nefungovaly - coz se v praxi projevilo prave tim, ze se to prestalo i jakkoliv akcentovat, ze domena ma EV.

CAA zaznam szrcr.cz nepublikuje, ergo je irelevantni spekulovat, od koho certifikat maji a zdali-li je to spravne ci nikoliv. V moment, kdy by CAA existoval alespon vime, kdo je legitimnim vydavatelem certifikatu k dane domene... a kdo ne. Ale zadnou takovou informaci nemame. Ergo resit to, zda-li je to Thawte ci LE je nesmysl sam o sobe.

Není to nedůležitý webík. Nicméně jeho krátkodobá nedostupnost nemůže mít vliv na provoz jiných informačních systém ve státní správě, například na současné problémy s přihlašováním přes NIA.

Lidé, kteří se v systémech státní správy trochu orientují, snadno rozliší, že tady není řeč o samotném systému ale „jen“ o webové prezentaci. Laik ale nemusí vědět, že jsou to dvě naprosto oddělené věci – a z článku se to bohužel nedozví, resp. z článku lze snadno nabýt dojmu, že ten problém s certifikátem se týkal samotného systému základních registrů.

(Explicitně dodávám, že to není omluva pro nefunkčnost toho webu, je to jen zasazení do správného kontextu.)

Včera došlo k narušení dostupnosti dat, nikoli integrity. Když tam byl špatný certifikát (vydaný na jiné doménové jméno), mělo to být vyhodnoceno tak, že není možné navázat bezpečné spojení s cílovým serverem. Něco jiného by bylo, pokud by se certifikát SZR objevil na jiném webu.

S tím hostingem to bude nějaké zamotanější, protože momentálně je web szrcr.cz hostován u MasterDC, ten Aerohosting je jinde. Je možné, že zrovna o víkendu došlo ke stěhování na nový hosting a k vypnutí starého hostingu došlo dřív, než vypršela platnost záznamů v DNS. Nebo se dělo něco jiného s nastavení DNS nebo s routováním.

Protože "doména webové prezentace základních registrů" není kritický registr státu?

Přičemž daleko spíš to vypadá na problém s routováním nebo DNS (třeba problém provozu DNS cache a autoritativního serveru se starými záznamy na jednom serveru). Protože szrcr.cz má od loňského května certifikát od Thawte, zatímco Aerohosting používá LE a nevypadá to, že by si tam člověk mohl přinést svůj vlastní certifikát. Pokud nevíte, na jakou IP adresu se vám přeložil DNS název v okamžiku, kdy jste dostal ten špatný certifikát, asi se z venku víc nezjistí.

Takže jste zase napsal polemiku k mému komentáři, která je úplně mimo kontext toho, o čem byl můj komentář. Vy si vážně chcete vykoledovat trvalý ban. Doufám, že se vám aspoň ulevilo.