Po co komu SSL, czyli jak Min. Finansów od ponad doby certyfikat „wymienia”
Szyfrowanie transmisji stron WWW jest dzisiaj podstawą bezpieczeństwa w sieci. Certyfikaty SSL mają małe blogi, duże serwisy i usługi rządowe. Najwyraźniej jednak problem terminowej wymiany certyfikatów nadal wielu przerasta.
Od wczorajszego poranka na ważnej witrynie Ministerstwa Finansów, wspierającej proces przesyłania Jednolitego Pliku Kontrolnego, funkcjonuje (czy też raczej nie funkcjonuje) nieważny certyfikat SSL. Jak Ministerstwo rozwiązuje problem, który w normalnym świecie występuje stosunkowo rzadko, a jeśli nawet, to jest załatwiany w pół godziny?
JPK bez SSL
Od wczoraj zgłaszacie nam, że na stronie https://e-dokumenty.mf.gov.pl/index.html brakuje aktualnego certyfikatu SSL. Ten, który jest, wygasł w czwartek po 7 rano. Początkowo myśleliśmy, że zaraz ktoś problemem się zajmie i pojawi się aktualny certyfikat. Niestety minęło półtora dnia, a nowego certyfikatu nadal nie ma.
Strona e-dokumenty nosi szumny podtytuł „środowisko produkcyjne” – a to zobowiązuje. Zobowiązuje na przykład do planowania wymiany certyfikatów – nie jest to coś, czego nie da się zrobić. Są powiadomienia w smartfonach, są nawet papierowe kalendarze dla zwolenników tradycyjnych technologii. Mimo tego ciągle komuś udaje się o tak podstawowej kwestii zapomnieć. Na szczęście zakup certyfikatu to dosłownie kilka kliknięć myszką. Na dokładkę nie trzeba go kupować – można go dostać za darmo od organizacji Let’s Encrypt. Są do tego gotowe skrypty, wszystko zajmuje nie więcej niż kilka minut. Ale najwyraźniej Ministerstwo Finansów ma inne procesy i czas tam biegnie inaczej, ponieważ zamiast nowego certyfikatu dzisiaj rano pojawił się nowy komunikat o… problemach z dostępem do strony ze starym certyfikatem.
Po wymianie certyfikatu przekażemy stosowna informację komunikatem.
Stworzenie i opublikowanie tego komunikatu zajmuje pewnie więcej czasu niż pobranie nowego certyfikatu. Ale to w końcu Ministerstwo Finansów, które zapowiedziało, że od 1 lipca obowiązkiem udostępniania Jednolitego Pliku Kontrolnego została objęto dużo większa grupa podmiotów niż do tej pory. Mamy zatem nadzieję, że do 1 lipca uda się ten certyfikat zainstalować. Ministerstwu służymy także pomocą – trzeba wpisać w Google „jak zainstalować certyfikat od Let’s Encrypt”.
Podobne wpisy
- Jak nazwa.pl pod płaszczykiem rewolucji wystawiła do wiatru część swoich klientów
- Jak ministerstwo z politechniką rozsyłały podatnikom ankiety, nie pytając ich o zgodę
- Ministerstwo nie powie, kiedy wdroży SSL/TLS, bo… chroni bezpieczeństwo informacji
- Jaka piękna katastrofa, czyli czego nie robić z certyfikatami SSL
- Uwaga administratorzy, za miesiąc mogą zacząć się problemy ze stronami WWW
Pewnie przetarg oglosili xD
Zapewne;)
Pracuję w administracji i poziom biurokracji, niekompetencji i głupoty jest porażający. Ktoś kto nie jest w środku, nie zrozumie bezmiaru tego bagna. Dlatego nie dziwią mnie flopy takie jak ten z nieważnym certem na rządowej witrynie xD
Mnie właśnie wręcz rozbroiło to, że na chwilę obecną nawet nie można wyświetlić strony… Dodam, że podlegam pod MF i z tej sieci jedyne co widzę, to nagłówek strony – ten podpisujący zakładkę…
albo może sygnał dla wszystkich zainteresowanych ;) „mamy gdzieś prywatność tych ludzi! ps. Tanie bazy od ręki. Admin MF”
Ministerstwa nie tworzą przepisów dla siebie, tylko dla obywateli.
Może oni dla bezpieczeństwa ręcznie ten certyfikat robią – obliczają liczydłem i na kartce, potem bez błędów taki długi ciąg znaków z formatu PEM przepisać to też nie prosta sprawa. Nie znacie się, to się nie wypowiadajcie.
Bo to certyfikat EV był :D
Pewnie czekają aż ktoś się pofatyguje i łaskawie zadzwoni do nich żeby zweryfikować klienta :D
To w zasadzie wszystko tlumaczy
Stworzenie i opublikowanie tego komunikatu zajmuje pewnie więcej czasu niż pobranie nowego certyfikatu
Pan informatyk jest na urlopie lub jest zbyt zajęty instalowaniem sterowników do drukarek, licencji office, windows. Albo już tam nie pracuje i nie ma nowego/nie poznał środowiska/zgubił klucze.
A najbardziej prawdopodobne jest to, że system jest obsługiwany za grube miliony przez zewnętrzną firmę, a ta ma wszystko gdzieś ;-)
Napisać komunikat to w stylu ministerialnym – i szybko można znaleźć kogoś, kto to zrobi.
Czekam na Panie Beate az powie:”Przez 8 lat rzadow PO Panstwo Polskie bylo rozkradane. Efektem tego jest kradzierz certyfikatu SSL. Teraz rzad uchwalil program SSL+. Jednoczesnie pragne powiadomic ze powstaje komisja sledcza aby wyjasnic nieprawidlowosci w HTTPS”
SSL+ – certyfikat SSL na ukryty kredyt dla każdego!
Znów COI?
Nawet nie wiecie jak dziala instytucja publiczna. To co ogarnia sie w 1 dzien w normalnej firmie w publicznej wymaga 50 akceptacji (od admina po prezesa) i trwa minimum miesiac. To nie zart … :-/
Pracuje w polskiej, sporej firmie, korporacji niemal, ale nie państwowej. Instalacja certyfikatu wymaga wnioskowania o budżet. Ten wniosek musi zatwierdzić kilka osób. Mając zatwierdzony wniosek, należy zgłosić w systemie zmianę, która wymaga kolejnej zgody, ustalenia terminu wdrożenia i osoby odpowiedzialnej za realizację oraz testy.
Przeciętnie 2 tygodnie, ale jeśli sprawa jest pilna i będziemy dzwonić kolejno do osób na których sprawa „wisi” to da się i w jeden dzień.
A ja pracuję w duzej korpo, gdzie też na wszystko trzeba zalatwiac zgody, klepać budżety, testy itp, ale w tak wyjatkowych sytuacjach jak ta certyfikaty klepiemy w unizeto ekspresowo, bez zbednego ociagania sie po żadnej ze stron. Po prostu sciezka zgód ma wtedy zmniejszony priorytet.
To jest administracja publiczna trzeba wniosek napisać o zabezpieczenie środków, ktoś musi to akceptować. Później dla własnego dobra trzeba znaleźć 3 oferty. Za tydzień będzie kasiorka i będzie można załatwić sprawę.
Pracuje w budżetowce, nic nie usprawiedliwia braku wymiany. Owszem biurokracja jest masakryczna i zbieranie podpisów trwa, ale..robi się to odpowiednio wcześniej drodzy Państwo a nie jak cert wygasl;)
O co tyle krzyku, wystarczy cofnąć datę na swoim komputerze do 6-go i certyfikat nadal będzie ważny ;) To powinno się znaleźć w komunikacie xD
pracuję… powiedzmy w budżetówce, ale na pewne decyzje na górze zespoły IT, a przynajmniej szeregowi informatycy nie mają wpływu.
w tym akurat przypadku za tą subdomenę nie jest odpowiedzialny żaden spec IT w MF czy podległemu CIRF, tylko zewnętrzna firma zwana http://akmf.pl/category/o-nas/
cytat:”Aplikacje Krytyczne to wysoko wykwalifikowany Zespół realizujący ambitne projekty.”
moim zdaniem jak w cytacie gdyby tak było to artykuł by się nie pojawił :)
Nie taka zewnętrzna tylko jest to spółka skarbu państwa podległa MF w której zarządzie zasiada parę osób związanych także z innymi spółkami skarbu państwa – kolejna firma dla stołków.
Właśnie zamierzają utworzyć kolejną spółkę i przerzucić tam IT z ZUSu. Robi to ten sam K.Dyki, który był wcześniej w zarządzie Aplikacji Krytycznych. Zamierzają zwolnić pracowników bez wyższego wykształcenia w celu oszczędności… :D
Już teraz wprowadzone oszczędności skutkują brakiem umów serwisowych na sprzęt aktywny, serwery produkcyjne, o zwykłym sprzęcie komputerowym nie wspominając. W razie awarii w panice szuka się firmy która się zajmie problemem a ludzie i pracownicy czekają…
Biurokracja przerasta poziom absurdu. Kiedyś pewny urząd za certyfikat za 50zl chciał umowy, jakieś tabliczki na ścianę i inne potwierdzenia że wszystko jest git….
Obecnie inny urząd chce 15 certyfikatów DV i proceduje zamówienie już 2 miesiące…
Może czas najwyższy, żeby rząd się dorobił własnego CA i przestał płacić ciężkie pieniądze zewnętrznym firmom ?
Ostatnio miałem do czynienia z systemem dla administracji którego koszt był niższy niż wystawienie certyfikatów dla jego użytkowników.
I to jest propozycja na miarę „IT nobla” bo czym innym jest ten certyfikat jak nie jedynie „miarą zaufania” – a urzędowi państwowemu przecież musisz ufać – to chyba nawet wymóg prawa jest i nie mamy alternatywy.
Z ciekawości – czy domeny *.gov.* mają dokładnie taki sam proces weryfikacji jak wszystkie inne ?
Tak
Co zabawne, e-deklaracje wciąż nie działają. Certyfikat jest prawidłowy, ale Klient JPK nie chce wrzucać plików na serwer, a wrzucam dokładnie tak samo jak to robiłem poprzednio 5 razy.
Screenshot przedstawiający problem: https://i.xfix.pw/jpk.png
Bo kochane MF właśnie zmieniło adres serwera produkcyjnego do wysyłki JPK https://www.finanse.mf.gov.pl/pp/jpk/komunikaty . Pewnie trzeba czekać na poprawki w konkretnych programach.
Naprawili 2 lipca, okolo 14:53 odpowiedzieli na zgloszenie:
Dzień dobry.
W odpowiedzi na zgłoszenie informujemy, że problem techniczny został usunięty, wysyłka powinna przebiegać prawidłowo.