29.06.2018 | 15:56

Adam Haertle

Po co komu SSL, czyli jak Min. Finansów od ponad doby certyfikat „wymienia”

Szyfrowanie transmisji stron WWW jest dzisiaj podstawą bezpieczeństwa w sieci. Certyfikaty SSL mają małe blogi, duże serwisy i usługi rządowe. Najwyraźniej jednak problem terminowej wymiany certyfikatów nadal wielu przerasta.

Od wczorajszego poranka na ważnej witrynie Ministerstwa Finansów, wspierającej proces przesyłania Jednolitego Pliku Kontrolnego, funkcjonuje (czy też raczej nie funkcjonuje) nieważny certyfikat SSL. Jak Ministerstwo rozwiązuje problem, który w normalnym świecie występuje stosunkowo rzadko, a jeśli nawet, to jest załatwiany w pół godziny?

JPK bez SSL

Od wczoraj zgłaszacie nam, że na stronie https://e-dokumenty.mf.gov.pl/index.html brakuje aktualnego certyfikatu SSL. Ten, który jest, wygasł w czwartek po 7 rano. Początkowo myśleliśmy, że zaraz ktoś problemem się zajmie i pojawi się aktualny certyfikat. Niestety minęło półtora dnia, a nowego certyfikatu nadal nie ma.

Strona e-dokumenty nosi szumny podtytuł „środowisko produkcyjne” – a to zobowiązuje. Zobowiązuje na przykład do planowania wymiany certyfikatów – nie jest to coś, czego nie da się zrobić. Są powiadomienia w smartfonach, są nawet papierowe kalendarze dla zwolenników tradycyjnych technologii. Mimo tego ciągle komuś udaje się o tak podstawowej kwestii zapomnieć. Na szczęście zakup certyfikatu to dosłownie kilka kliknięć myszką. Na dokładkę nie trzeba go kupować – można go dostać za darmo od organizacji Let’s Encrypt. Są do tego gotowe skrypty, wszystko zajmuje nie więcej niż kilka minut. Ale najwyraźniej Ministerstwo Finansów ma inne procesy i czas tam biegnie inaczej, ponieważ zamiast nowego certyfikatu dzisiaj rano pojawił się nowy komunikat o… problemach z dostępem do strony ze starym certyfikatem.

Ministerstwo Finansów informuje, że w związku z przedłużającą się procedurą wymiany certyfikatu mogą występować problemy z dostępem do domeny e-dokumenty.mf.gov.pl.

Po wymianie certyfikatu przekażemy stosowna informację komunikatem.

Stworzenie i opublikowanie tego komunikatu zajmuje pewnie więcej czasu niż pobranie nowego certyfikatu. Ale to w końcu Ministerstwo Finansów, które zapowiedziało, że od 1 lipca obowiązkiem udostępniania Jednolitego Pliku Kontrolnego została objęto dużo większa grupa podmiotów niż do tej pory. Mamy zatem nadzieję, że do 1 lipca uda się ten certyfikat zainstalować. Ministerstwu służymy także pomocą – trzeba wpisać w Google „jak zainstalować certyfikat od Let’s Encrypt”.

Powrót

Komentarze

  • 2018.06.29 16:06 Mati

    Pewnie przetarg oglosili xD

    Odpowiedz
    • 2018.06.29 18:07 Duży Pies

      Zapewne;)

      Pracuję w administracji i poziom biurokracji, niekompetencji i głupoty jest porażający. Ktoś kto nie jest w środku, nie zrozumie bezmiaru tego bagna. Dlatego nie dziwią mnie flopy takie jak ten z nieważnym certem na rządowej witrynie xD

      Odpowiedz
      • 2018.07.03 10:59 Klara

        Mnie właśnie wręcz rozbroiło to, że na chwilę obecną nawet nie można wyświetlić strony… Dodam, że podlegam pod MF i z tej sieci jedyne co widzę, to nagłówek strony – ten podpisujący zakładkę…

        Odpowiedz
    • 2018.06.29 19:15 Oskar

      albo może sygnał dla wszystkich zainteresowanych ;) „mamy gdzieś prywatność tych ludzi! ps. Tanie bazy od ręki. Admin MF”

      Odpowiedz
  • 2018.06.29 16:13 John Sharkrat

    Ministerstwa nie tworzą przepisów dla siebie, tylko dla obywateli.

    Odpowiedz
  • 2018.06.29 17:48 aqz

    Może oni dla bezpieczeństwa ręcznie ten certyfikat robią – obliczają liczydłem i na kartce, potem bez błędów taki długi ciąg znaków z formatu PEM przepisać to też nie prosta sprawa. Nie znacie się, to się nie wypowiadajcie.

    Odpowiedz
  • 2018.06.29 18:57 torer

    Bo to certyfikat EV był :D
    Pewnie czekają aż ktoś się pofatyguje i łaskawie zadzwoni do nich żeby zweryfikować klienta :D

    Odpowiedz
  • 2018.06.29 19:37 Kamilo

    To w zasadzie wszystko tlumaczy

    Stworzenie i opublikowanie tego komunikatu zajmuje pewnie więcej czasu niż pobranie nowego certyfikatu

    Odpowiedz
    • 2018.06.29 19:53 Michal

      Pan informatyk jest na urlopie lub jest zbyt zajęty instalowaniem sterowników do drukarek, licencji office, windows. Albo już tam nie pracuje i nie ma nowego/nie poznał środowiska/zgubił klucze.
      A najbardziej prawdopodobne jest to, że system jest obsługiwany za grube miliony przez zewnętrzną firmę, a ta ma wszystko gdzieś ;-)
      Napisać komunikat to w stylu ministerialnym – i szybko można znaleźć kogoś, kto to zrobi.

      Odpowiedz
  • 2018.06.29 19:40 Czapa

    Czekam na Panie Beate az powie:”Przez 8 lat rzadow PO Panstwo Polskie bylo rozkradane. Efektem tego jest kradzierz certyfikatu SSL. Teraz rzad uchwalil program SSL+. Jednoczesnie pragne powiadomic ze powstaje komisja sledcza aby wyjasnic nieprawidlowosci w HTTPS”

    Odpowiedz
    • 2018.07.02 13:27 kot

      SSL+ – certyfikat SSL na ukryty kredyt dla każdego!

      Odpowiedz
  • 2018.06.29 19:45 Michał

    Znów COI?

    Odpowiedz
  • 2018.06.29 20:30 HGW

    Nawet nie wiecie jak dziala instytucja publiczna. To co ogarnia sie w 1 dzien w normalnej firmie w publicznej wymaga 50 akceptacji (od admina po prezesa) i trwa minimum miesiac. To nie zart … :-/

    Odpowiedz
  • 2018.06.29 21:44 dobaczenko

    Pracuje w polskiej, sporej firmie, korporacji niemal, ale nie państwowej. Instalacja certyfikatu wymaga wnioskowania o budżet. Ten wniosek musi zatwierdzić kilka osób. Mając zatwierdzony wniosek, należy zgłosić w systemie zmianę, która wymaga kolejnej zgody, ustalenia terminu wdrożenia i osoby odpowiedzialnej za realizację oraz testy.

    Przeciętnie 2 tygodnie, ale jeśli sprawa jest pilna i będziemy dzwonić kolejno do osób na których sprawa „wisi” to da się i w jeden dzień.

    Odpowiedz
    • 2018.06.30 00:00 John

      A ja pracuję w duzej korpo, gdzie też na wszystko trzeba zalatwiac zgody, klepać budżety, testy itp, ale w tak wyjatkowych sytuacjach jak ta certyfikaty klepiemy w unizeto ekspresowo, bez zbednego ociagania sie po żadnej ze stron. Po prostu sciezka zgód ma wtedy zmniejszony priorytet.

      Odpowiedz
      • 2018.06.30 10:32 Robert

        To jest administracja publiczna trzeba wniosek napisać o zabezpieczenie środków, ktoś musi to akceptować. Później dla własnego dobra trzeba znaleźć 3 oferty. Za tydzień będzie kasiorka i będzie można załatwić sprawę.

        Odpowiedz
      • 2018.06.30 10:38 U

        Pracuje w budżetowce, nic nie usprawiedliwia braku wymiany. Owszem biurokracja jest masakryczna i zbieranie podpisów trwa, ale..robi się to odpowiednio wcześniej drodzy Państwo a nie jak cert wygasl;)

        Odpowiedz
  • 2018.06.30 00:41 WikT0R

    O co tyle krzyku, wystarczy cofnąć datę na swoim komputerze do 6-go i certyfikat nadal będzie ważny ;) To powinno się znaleźć w komunikacie xD

    Odpowiedz
  • 2018.06.30 11:05 MKK

    pracuję… powiedzmy w budżetówce, ale na pewne decyzje na górze zespoły IT, a przynajmniej szeregowi informatycy nie mają wpływu.

    w tym akurat przypadku za tą subdomenę nie jest odpowiedzialny żaden spec IT w MF czy podległemu CIRF, tylko zewnętrzna firma zwana http://akmf.pl/category/o-nas/
    cytat:”Aplikacje Krytyczne to wysoko wykwalifikowany Zespół realizujący ambitne projekty.”
    moim zdaniem jak w cytacie gdyby tak było to artykuł by się nie pojawił :)

    Odpowiedz
    • 2018.06.30 13:41 Jakub

      Nie taka zewnętrzna tylko jest to spółka skarbu państwa podległa MF w której zarządzie zasiada parę osób związanych także z innymi spółkami skarbu państwa – kolejna firma dla stołków.

      Odpowiedz
    • 2018.07.02 10:34 Andre

      Właśnie zamierzają utworzyć kolejną spółkę i przerzucić tam IT z ZUSu. Robi to ten sam K.Dyki, który był wcześniej w zarządzie Aplikacji Krytycznych. Zamierzają zwolnić pracowników bez wyższego wykształcenia w celu oszczędności… :D
      Już teraz wprowadzone oszczędności skutkują brakiem umów serwisowych na sprzęt aktywny, serwery produkcyjne, o zwykłym sprzęcie komputerowym nie wspominając. W razie awarii w panice szuka się firmy która się zajmie problemem a ludzie i pracownicy czekają…

      Odpowiedz
  • 2018.06.30 11:43 Len

    Biurokracja przerasta poziom absurdu. Kiedyś pewny urząd za certyfikat za 50zl chciał umowy, jakieś tabliczki na ścianę i inne potwierdzenia że wszystko jest git….

    Obecnie inny urząd chce 15 certyfikatów DV i proceduje zamówienie już 2 miesiące…

    Odpowiedz
  • 2018.06.30 17:20 Jarek

    Może czas najwyższy, żeby rząd się dorobił własnego CA i przestał płacić ciężkie pieniądze zewnętrznym firmom ?
    Ostatnio miałem do czynienia z systemem dla administracji którego koszt był niższy niż wystawienie certyfikatów dla jego użytkowników.

    Odpowiedz
    • 2018.07.18 21:24 HardwareBased

      I to jest propozycja na miarę „IT nobla” bo czym innym jest ten certyfikat jak nie jedynie „miarą zaufania” – a urzędowi państwowemu przecież musisz ufać – to chyba nawet wymóg prawa jest i nie mamy alternatywy.

      Odpowiedz
  • 2018.06.30 21:45 P

    Z ciekawości – czy domeny *.gov.* mają dokładnie taki sam proces weryfikacji jak wszystkie inne ?

    Odpowiedz
  • 2018.07.01 14:18 Konrad Borowski

    Co zabawne, e-deklaracje wciąż nie działają. Certyfikat jest prawidłowy, ale Klient JPK nie chce wrzucać plików na serwer, a wrzucam dokładnie tak samo jak to robiłem poprzednio 5 razy.

    Screenshot przedstawiający problem: https://i.xfix.pw/jpk.png

    Odpowiedz
  • 2018.07.06 07:15 marek

    Naprawili 2 lipca, okolo 14:53 odpowiedzieli na zgloszenie:

    Dzień dobry.
    W odpowiedzi na zgłoszenie informujemy, że problem techniczny został usunięty, wysyłka powinna przebiegać prawidłowo.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Po co komu SSL, czyli jak Min. Finansów od ponad doby certyfikat „wymienia”

Komentarze