SIKKERHET

Sertifikatet til NSMs nettsted for sikring av e-post utløp på dato

Sluttet å fungere rett før jul.

Det utløpte TLS-sertifikatet har gitt en advarsel i nettleseren. NSMs nettsted dmarc.no skal egentlig formidle hvordan epost kan gjøres litt sikrere.
Det utløpte TLS-sertifikatet har gitt en advarsel i nettleseren. NSMs nettsted dmarc.no skal egentlig formidle hvordan epost kan gjøres litt sikrere. Montasje: Digi

Nasjonal sikkerhetsmyndighet (NSM) lanserte i 2018 nettstedet dmarc.no, med tips og råd om hvordan e-post kan gjøres litt sikrere.

Men lille julaften begynte nettstedet å feile med en advarsel. Det viser seg at domenets TLS-baserte sikkerhetssertifikat har utløpt for mer enn 11 dager siden.

Når sertifikatet er ugyldig, får ikke besøkende komme rett inn på nettstedet, som da blir definert som en sikkerhetsrisiko.

I stedet gir nettleseren beskjed at tilkoblingen er utrygg, samt beskjed at du ikke bør oppgi sensitiv informasjon fordi den kan bli stjålet av angripere.

Det aktuelle sertifikatet har vært utstedt gjennom gratistjenesten Let's Encrypt. Det er fullt mulig å automatisere prosessen med fornyelse av sertifikatet. Hvorfor det ikke skjedde, er uvisst.

Les også

Beklager feilen

Mens vi jobbet med denne saken valgte NSM å ta ned nettstedet. Det ble stengt ved 11.40-tiden mandag.

–  Dette er er en feil som vi beklager, og som ikke skulle funnet sted. Vi har tatt ned den aktuelle siden i påvente av fornyelse av sertifikatet, opplyser NSMs seniorrådgiver Anniken Beyer Fjeld i en e-post til Digi.

Et raskt søk på Twitter viser at etaten ble varslet om det utløpte sertifikatet allerede 23. desember.

Dmarc.no ble opprettet av NSM i forbindelse med sikkerhetsmåneden oktober i 2018. Nettstedet består av veiledning for ulike tekniske tiltak som kan gjøre eposten litt sikrere, samt en tjeneste der man kan sjekke om andre domenenavn har implementert sikkerhetsteknologiene DMARC og SPF.

Les også

Kommentarer:

Vi har byttet system for artikkelkommentarer. For å opprette brukerkonto, registrerer du deg med BankID.