Kommuner och e-tjänster v2

Det här inlägget är en uppföljning av https://www.interlan.se/kommuner-och-e-tjanster/ samt inspirerad av en diskussion i ett annat forum för någon månad sedan. Jag bestämde mig för att slumpmässigt kontrollera en kommun som är grön på https://kommunermedipv6.se och slumpen tog fram Hylte kommun åt mig. Den här texten visar att det inte bara är att aktivera https + att den visar hur många kockar och länder som är inblandade bara för att logga in på en e-tjänst med mobilt Bankid. Då kör vi!

http://www.hylte.se leder oss till https://service.hylte.se och redan här börjar problemen. https://www.ssllabs.com/ssltest/index.html visar på många problem och brister på den sidan. Betyget blir F beroende av att en annan servern med SSLv2 har samma certifkat och privat nyckel.

www.hylte.se och service.hylte.se har båda IP-adresser som visar att de finns hos Hylte kommun. Går man sedan vidare och väljer en e-tjänst så försvinner vi från hylte.se domänen och hamnar först på https://hylte.ist-asp.com/hyltepub/login.htm som får betyget C hos SSL Labs. Varför har de SSLv3 aktiverat? Alla versioner av SSL är ansedda som osäkra sedan många år och ska inte användas alls.

 

 

 

 

Här har vi även bytt land från Sverige till Norge och IP-adressen är registrerad på

Registrant Organization: IST INTERNATIONAL SOFTWARE TECHNOLOGY AS
Registrant Street: Postboks 4799 Nydalen
Registrant City: OSLO

Vet den som använder e-tjänster i Hylte kommun om att deras uppgifter lagras i Norge? Domänen byttes från hylte.se till ist-asp.com vilket också förvirrar när man loggar in.
Går jag vidare så flashar även https://sso.ist-asp.com förbi och den har samma betyg och IP-adress som sidan ovan.
Vi hamnar sedan på ytterligare en domän – https://login.grandid.com som får betyget C och även här är SSLv3 aktiverat.

 

 

 

 

IP-adresserna som används visar att vi nu hoppat från IST i Norge till Amazon i Irland

NetRange:       52.48.0.0 – 52.51.255.255
….
Organization:   Amazon Data Services Ireland Limited (ADSIL-1)

NetRange:       52.16.0.0 – 52.19.255.255
….
Organization:   Amazon Data Services Ireland Limited (ADSIL-1)

Under tiden jag loggar in på https://login.grandid.com flashar https://saml.grandid.com som är det svartaste fåret förbi. Betyget är F hos SSL Labs och förutom att SSLv3 är aktiverat är den även sårbar för CVE-2016-2107

 

 

 

 

saml.grandid.com’s IP-adress ligger även den på Irland men vi byter från Amazon till Microsoft en stund vid inloggningen.

Domänen grandid.com ägs  i sig av Svensk E-identitet AB

Registrant Organization: Svensk E-Identitet AB
Registrant Street: Salagatan 18b
Registrant City: Uppsala

Vad som räddar hela inloggningen är att det finns med en Hylte-logga under vägen men det är ändå väldigt förvirrande med alla olika domäner och hostnamn under tiden.

 

 

 

 

Efter inloggning kommer jag tillbaka till https://hylte.ist-asp.com/hyltepub/ som säger att jag inte har några tjänster där.

Sammanfattning

Det har inte förbättras sedan min första undersökning och alla inblandade företag och tjänster har en hel del att arbeta med. Som jag skrev i inledningen så är det inte bara att aktivera https utan man måste göra rätt också. Det är mycket förvirrande med alla olika sidor som man måste besöka för att logga in som en medborgare.
Hylte kommun är inte på något sätt unika utan alla kommuner som använder någon typ av e-tjänst med t.ex mobilt bankid inloggning har liknande problem.

Det är 2016 med snudd på 2017 och varför inte använda certifikat från https://letsencrypt.org/ som är gratis så vi slipper wildcard certifikat där privata nycklar sprids härs och tvärs världen över.
OBS! Det här visar en ögonblicksbild från 2016-12-28, kontrollerar ni själva sidorna kan det se annorlunda ut.

Edit 2016-12-29 – Inte en har slagit på #IPv6 på sina tjänster. – slut på Edit nu! 🙂

 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *