UPDATE: na dnu teksta - važno! nastavak priče
odavde Kako je dragi kolega Šabić u svom blogu jasno napomenuo - problem sa eUprava portalom je svojevremeno bio kako je u linku opisano, i prosto vapi za rešenjem, u pitanju je ipak servis od javnog značaja koji osim baratanja sa podacima koji svakako zaslužuju zaštitu, da stvar bude još gora - bavi se novčanim transakcijama. I nije da nije urodilo plodom - stvar je danas dramatično drugačija od one opisane u blogu.
Za početak da se odbavimo malo genezom, nije da u samom početku nije bilo sertifikata na sajtu, ukoliko se korisnik odluči da uredno ukuca https - dobio bi konekciju, doduše sa lošim sertifikatom i na to bi ga rođeni pregledač upozorio, vrištao bi. Doduše to nije toliko pitanje za administratore eUprave, više je pitanje za nadležne iz firme Pošta CA , kako su oni dozvolili da njih rođeni sertifikat nije prepoznat, iako je po svemu sudeći korektno implementiran. Znam, znam, draga Pošta CA, znam da je muka, i da ume da košta i sve to stoji, ali ukoliko ne želiš da se baviš tim poslom - nemoj ga preuzimati...
Pošta CA uzgred pati i od još jednog problema, a on glasi tačno ovako: koristi SHA1 sertifikat koji je izbačen iz upotrebe već davne 2015. godine, i eto otud - još veći problem nego što jeste.
Izgleda da je pisanje kolege Šabića urodilo plodom, kao i gomila napisa na internetu o stanju koje je nedopustivo - oglase su se kolege iz Netokracije, i prenele razgovor sa izvesnim Dušanom Stojanovićem, direktorom portala eUprava. Iz tog razgovora smo saznali da je:
"
da je izdata naredba o direktnoj nabavci novog sertifikata i njegovoj momentalnoj implementaciji u cilju dodatnog osiguravanja podataka na relaciji korisnika (građana Srbije) i samog portala.
"
Državna uprava ne bi bila državna uprava da se naređenja direktora ne poštuju, a kako mi građani imamo internet i pristup portalu, gotovo odmah smo ustanovili sledeće:
1. neispravni sertifikat Pošta CA je sa sajta nestao
2. Nestao je bilo kakav sertifikat
3. u adress bar se umesto http pojavlje www.
Dakle posledica je ukidanje kakvog takvog sertifikata - ceo portal je ostao na plain http protokolu, što je nezapamćena sigurnosna rupčaga, zaslužna da je zapamtimo, i spominjemo kao lovačku priču loše prakse. Kako implementirati https i đe ba zapelo...
Sam sertifikat ne predstavlja naročiti problem, implementacija je rutinska, svodi se na nekoliko redova u Terminalu i prosečan system administrator to rutinski rešava. Sertifikata ima plaćenih i besplatnih, mada nikad besplatni ne bih savetovao za državni servis, ima primera da rade dobro godinama, i to nije neka naročita muka. Kod plaćenih ima nekoliko kompanija od poverenja, na primer: VeriSign, Thawte, GeoTrust, Comodo...
Sve u svemu - ne čini mi se da nije problem u plaćanja za sertifikat, više mi se čini da je javašluk u pitanju što je takođe nedopustivo.
Za sam kraj - jedan zabavan link, doprinos zajednice. Kolega Ivan Marković je napravio monitor koji prati stanje sertifikata javnih web servisa Srbije i nalazi se upravo
>>>ovde<<< upravo sam očistio cashe browsera, poteran Ivanovim monitorom, i eUprava je sinoć implementirala Comodo sertifikat, a ja to nisam pokupio usput, otud ovaj screen odozgo. Izgleda da je, ipak, sve u redu, trenutno, ali pratimo stanje. Suštinski tekst stoji, pogotovo imajući u vidu protok vremena potrebnog za implementaciju sertifikata, a najpre na ideju da se servis pusti sa lošim sertifikatom. Hvala kolegama iz eUprava, a monitor je tu da vrišti kad treba :)