Vlákno názorů k článku
Ověřování přes Základní registry postihl výpadek, doménu chránil certifikát pro web historického regimentu
od Danny - Jen aby ten ban nepostihnul vas ;-) Vase...
-
To od koho tam je certifikat je fakt irelevantni. V momente, kdy je validni z pohledu prohlizecu to bezny koncovy uzivatel fakt resit dal nebude. Hratky na EV a podobne nesmysly beztak moc nefungovaly - coz se v praxi projevilo prave tim, ze se to prestalo i jakkoliv akcentovat, ze domena ma EV.
CAA zaznam szrcr.cz nepublikuje, ergo je irelevantni spekulovat, od koho certifikat maji a zdali-li je to spravne ci nikoliv. V moment, kdy by CAA existoval alespon vime, kdo je legitimnim vydavatelem certifikatu k dane domene... a kdo ne. Ale zadnou takovou informaci nemame. Ergo resit to, zda-li je to Thawte ci LE je nesmysl sam o sobe.
-
Kdo někdy spravoval webový server, kde se na jedné IP adrese provozuje více webů za TLS pomocí SNI, tak mu tato chyba přijde povědomá... Nejedná se o přetížení, ale o chybnou konfiguraci. A vzhledem k tomu, že ta chyba tam visela tak dlouho, tak i nefunkční monitoring.
Vyvstává spíše otázka, proč je hostován web historického regimentu na stejné infrastruktuře, jako kritické registry státu.
-
Přičemž daleko spíš to vypadá na problém s routováním nebo DNS (třeba problém provozu DNS cache a autoritativního serveru se starými záznamy na jednom serveru). Protože szrcr.cz má od loňského května certifikát od Thawte, zatímco Aerohosting používá LE a nevypadá to, že by si tam člověk mohl přinést svůj vlastní certifikát. Pokud nevíte, na jakou IP adresu se vám přeložil DNS název v okamžiku, kdy jste dostal ten špatný certifikát, asi se z venku víc nezjistí.
-
Není to nedůležitý webík. Nicméně jeho krátkodobá nedostupnost nemůže mít vliv na provoz jiných informačních systém ve státní správě, například na současné problémy s přihlašováním přes NIA.
Lidé, kteří se v systémech státní správy trochu orientují, snadno rozliší, že tady není řeč o samotném systému ale „jen“ o webové prezentaci. Laik ale nemusí vědět, že jsou to dvě naprosto oddělené věci – a z článku se to bohužel nedozví, resp. z článku lze snadno nabýt dojmu, že ten problém s certifikátem se týkal samotného systému základních registrů.
(Explicitně dodávám, že to není omluva pro nefunkčnost toho webu, je to jen zasazení do správného kontextu.)
Včera došlo k narušení dostupnosti dat, nikoli integrity. Když tam byl špatný certifikát (vydaný na jiné doménové jméno), mělo to být vyhodnoceno tak, že není možné navázat bezpečné spojení s cílovým serverem. Něco jiného by bylo, pokud by se certifikát SZR objevil na jiném webu.
S tím hostingem to bude nějaké zamotanější, protože momentálně je web szrcr.cz hostován u MasterDC, ten Aerohosting je jinde. Je možné, že zrovna o víkendu došlo ke stěhování na nový hosting a k vypnutí starého hostingu došlo dřív, než vypršela platnost záznamů v DNS. Nebo se dělo něco jiného s nastavení DNS nebo s routováním.
-
Kamil ZmeškalPodporovatelOn to zase jen tak nějaký webík není. Je to místo, kde jsou oficiálně dostupné specifikace služeb základních registrů, jsou tam WSDL/XSD, popisy služeb, popisy připojování AIS k ISZR atd. Spousta velmi důležitých informací a něco tam hledám prakticky obden. Takový web sice nemusí mít SLA zrovna 99.9 %, ale musí být důvěryhodný (integrita dat atd.), což po včerejšku zrovna říci nemohu.
@obrys: Vyvstává spíše otázka, proč je hostován web historického regimentu na stejné infrastruktuře, jako kritické registry státu.
Je to opačně (přemýšlím, která varianta je horší) - web Správy základních registrů je zřejmě na nějakém (pochybnějším) veřejném webhostingu (zřejmě tento https://twitter.com/JakubOnderka/status/1748652876816097348 ).
ČLÁNKY DO MAILU