Tak z rana mnie zastanowiło...

[Piotrek]

Czy ktoś wie dlaczego PGL LP zamiast kupić certyfikat w którymś zaufanym centrum certyfikacji stworzyło swój własny "Urząd Certyfikacji Lasów Państwowych"(nota bene - brzmi dumnie!)?
Teraz mam kupę zabawy, bo przy próbie wejścia na stronę zabezpieczoną tym certyfikatem dostaję komunikat od Fiorefoxa:

Połączenie nie jest bezpieczne

Właściciel witryny xxxx.lasy.gov.pl niepoprawnie ją skonfigurował. Program Firefox nie połączył się z nią, aby chronić użytkownika przed kradzieżą informacji.

Automatyczne zgłaszanie podobnych temu błędów (pomaga Mozilli identyfikować i blokować niebezpieczne strony)

Witryna „xxxx.lasy.gov.pl” używa nieprawidłowego certyfikatu bezpieczeństwa.

Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.
Serwer może nie wysyłać właściwych certyfikatów pośrednich.
Import dodatkowego certyfikatu głównego może okazać się konieczny.
Ten certyfikat nie jest prawidłowym certyfikatem dla nazwy xxxx.lasy.gov.pl.

Zabawne, nieprawdaż? Gdy kiedyś chciałem stosować PGP do podpisywania moich maili to mała burza się rozpętała, że używam takiego niepewnego narzędzia (bo ono jest OpenSource...) a tu proszę - podpisywanie i szyfrowanie niezaufanym certyfikatem na skalę całej firmy...

Z nadzieją czekam odpowiedzi na zadane na wstępie pytanie. No bo chyba nie chodzi o pieniądze jakie trzeba za certyfikat zapłacić zaufanemu wystawcy...

PS. Nie będę importował niezaufanych certyfikatów. Na szczęście nie jest mi to do niczego potrzebne a bezpieczeństwo tylko zyska.

[crocidura]

Ja nie mam pojęcia czemu... Ale gdzieś na lasowych stronach pojawił mi się komunikat o możliwości kradzieży danych... w związku z tym nieznanym certyfikatem. Ten komunikat wręcz odstrasza (moze to jest ta nowa strategia LP podpunkt kontakt ze społeczeństwem, myślnik PR jako narzędzie walki)

Myślę, że idea własnego certyfikatu jest słuszna o ile jej obsługa jest tańsza (w końcu mamy sporo informatyków i programistów własnych i na usługach) lecz zabrakło pomysłu lub czasu na zarejestrowanie certyfikatu. No chyba że jakiś nieznany Algorytm wszystko posypał czarnym popiołem przez żądanie rozpoznania użytkownika.

[poreba]

Czy ktoś wie dlaczego PGL LP zamiast kupić certyfikat w którymś zaufanym centrum certyfikacji stworzyło swój własny "Urząd Certyfikacji Lasów Państwowych"

Bo taniej, bo własnymi certyfikatami łatwiej i sprawniej można zarządzać, bo w pakietach są odpowiednie narzędzia - IMHO.
Wygenerowane certyfikaty oczywiście można podpisać używając podpisu z tych zaufanych i powszechnie (przez przeglądarki na przykład) znanych CA, pojawi się wtedy ładnie w łańcuchu poświadczeń i nie będzie problemu:

przy próbie wejścia na stronę zabezpieczoną tym certyfikatem dostaję komunikat od Fiorefoxa:

Połączenie nie jest bezpieczne
Właściciel witryny xxxx.lasy.gov.pl niepoprawnie ją skonfigurował. Program Firefox nie połączył się z nią, aby chronić użytkownika przed kradzieżą informacji.

... co w samo w sobie nie jest aż tak dużym problemem. Problemem, i to bardzo poważnym, jest przyzwyczajanie tysięcy użytkowników do klikania dalej-dalej-zaufaj-instaluj-ok na komunikaty dotyczące bezpieczeństwa. Niby w sieci wewn. prawdopodobieństwo pojawienia się jakiegoś MitM jest znikome, jednak dla terenowców łączących się z internetu ryzyko dobrania się przez jakiegoś ciemnokapelusznika do routerka z pińć zyli i chociażby podmianę DNS, wystawienie lewej lasopodobnej strony z lewym certyfikatem już zerowym nie jest. Ja jestem cienki, to i dokładniejszego opisu wektora i scenariusza nie będę tu rysował (a cóż takiego złego narobi brzidki hakier z uprawnieniami podleśniczego Panie Dzieju), ale strony dostępne dla naszych klientów też częstowały na firefoksie komunikatami nie-bezpieczeństwa. Ich też przyzwyczajamy do klikania byle dalej.
A były już u nas w PL akcje wyraźnie ukierunkowane na konkretne ofiary; na kancelarie prawne, na urzedy gmin, itp. Na razie chyba jesteśmy poza obszarem zainteresowania.

[Piotrek]

Otóż to, porebo, otóż to... Czekałem na taki głos rozsądku gdy zaczynałem pisać mojego posta. Teraz czekam na reakcję "sił oficjalnych".

[Jaźwiec]

A może poprostu trzeba temat oficjalnie puścić na SZBiM

[poreba]

A może poprostu trzeba temat oficjalnie puścić na SZBiM

A zapuść sobie wyszukiwanie 'certyfikat'... i zarezerwuj trochę czasu na czytanie.
Na temat naszego 'security' ukułem złośliwy obrazek modelowy. Drzwi z kilkoma certyfikowanymi zamkami i 'Zasadami' uzytkowania nakazującymi nawet przy wyjściu jedną nogą za próg zamykać je wszystkie, w określonej kolejności, osadzone w ledwo utrzymującym się przepierzeniu kartonowo-oflisowym.