“Vid” SSL Fail [papildināts]

Esmu patiešām pārsteigts par mūsu valsts ieņēmuma dienesta IT departameta un viņu vadības vienaldzību saistība ar SSL sertifikātu iegādi. Protams tas var šķist mazsvarīgi no tā viedokļa ka šī nav banka, vai kāda cita augstākā drošības iestāde. Kā daudziem tas droši vien ir zināms SSL sertifikātus var izveidot un parakstīt jebkurš, bet pastāv iespēja arī iegādāties dažādu līmeņu SSL sertifikātus par dažādām cenām, līdzi bieži nāk arī apdrošināšana datiem, kuri tiek sūtīti caur SSL kanālu.

Tas, kas mani patiešām pārsteidza Vid gadījumā, ka arī ir izvēlējies iet šo šķietami lētāku ceļu, bet izstrādātāji un administratori laikam nav informēti vai vienkārši vienaldzīgi par to ka lietotāji saņem paziņojumu par to ka šis resurs / mājas lapas adrese, nav droša.


Protams rodas jautājums par to cik daudziem no lietotājiem izvēlas neizmantot šo e-pakalpojumu, vai aizdomājas par šī pakalpojuma drošību un uzticamību. Noteikti visi vel atminas neseno atgadījumu ar vid datu noplūdi, kas lika apšaubīt vairumu mūsu e-pakalpojumu drošību un uzticamību.

Protams pastāv arī iespējamība ka vienkārši kāds no tehniskā personāla vienkārši nav saspiedis uz pareizajām pogām, bet ja globāli atzīts SSL sertifikāts netiek iegādāts budžeta taupīšanas nolūkos, tad tas liecina par vadošā personāla nekompetenci vai pilnīgu vienaldzību.

[papildināts]

Pētot pašu sertifikātu uzraku ka to ir izsniedzis “Sertifikācijas pakalpojumu dala (E-ME SI (CA1))”, diemžēl neizdevās atrast tiešām noderīgu informāciju par šo pakalpojumu sniedzēju, bet ja nemaldos tas to kādreiz ir darījis Latvijas pasts, bet manoties situācijai ar e-parakstu arī manījusies situācija šajā jomā un līdz galam vel nav sakārtota.

Protams var jau novelt uz to ka te mainās valdība liek visu nogriezt, “savilkt jostas”, bet tik un tā fakts ka lietotāji saņem brīdinājumu par to ka izmanot elektronisko deklarēšanas sistēmu nav droši rada izbrīnu, jo to visticamāk iespējams novērst veicot ap 200 $ lieku maksājumu reizi gadā.

One thought on ““Vid” SSL Fail [papildināts]

  • 05.05.2011 at 17:35
    Permalink

    Nemācēšu komentēt sertifikāta izsniedzēju, bet diez gan iespējams, ka tā ir valstiska struktūra, kas nodrošina sertifikāciju valsts IT struktūrām, tik problēma tāda, ka šis sertifikāciju izsniedzējs nav Global verified, kas būtu vērā ņemamas izmaksas.

    Principā šajā gadījumā ejamais ceļs būtu VeriSign class 3 sertifikāts.

Leave a Reply

Your email address will not be published. Required fields are marked *