Viranomaisasioinnin valikkoon tuli jokin aika sitten uusi vaihtoehto: Hightrust.id. Mikä ihme se on?
 |
| Uusi vaihtoehto: Hightrust.id |
Hightrust.id on pienen suomalaisen Megical-yrityksen digilompakko. Tunnistustapojen kenttä on avoin kilpailulle, mutta sen verran vaativa, että pankkien, operaattorien (Mobiilivarmenne) ja valtion (Varmennekortti) lisäksi tulijoita ei ole liiaksi. Hyvä niin, sillä kenttä on nyt jo kansalaista hämmentävä. Kaikki kuitenkin tietävät, että pankkitunnuksia kannattaisi turvasyistä käyttää vain todelliseen pankkiasiointiin ja julkisissa palveluissa tunnistus pitäisi tehdä muulla tavoin.
 |
| Palvelu näyttää QR-koodin, johon puhelimen kamera reagoi. |
Periaatteessa Hightrust.id on näppärä. Tunnistuksen yhteydessä näytölle tulee QR-koodi ja kun sitä osoitetaan puhelimen kameralla, pääsy avautuu. Ei siis ylimääräisiä pin-koodeja muistettavaksi. Puhelin pitää tietysti avata lukituksesta, mutta sekin käy usein sormenjäljellä tai kasvoilla. Jatkossa Hightrust-digilompakkoon voi ladata muitakin digitaalisia henkilöllisyystodistuksia, näin alkuvaiheessa suomalaisille on tarjolla vain Varmennekortti.
 |
| Käyttäjän tunnistus puhelimessa. |
Niinpä: se kuuluisa sähköinen henkilökortti (HST), jonka projektia on Suomessa pidetty suurena epäonnistumisena. Kortteja kyllä on, mutta harva on hankkinut sen lukemiseen tarvittavan kortinlukijan, joka lisäksi toimii vain läppärissä tai pöytäkoneessa. Hightrust.id lukee kortin tiedot NFC-sirulla lähimaksun tapaan ja sen jälkeen kortin tiedot ovat puhelimen lompakossa.
Jos kortin hankkimisen esteestä selviää, pääsee lataamaan itse ohjelmaa. Tässä täytyy sanoa, että työ on jäänyt puolitiehen ja toteutus näyttää paikoin harrastajamaiselta. Mustavalkoinen sovellus on sovelluskaupassa niin epäilyttävä, että harkitsin pitkään ennen kuin uskalsin ladata ja asentaa sen.
Arvostelutkaan eivät ole mairittelevia, tähtiä kaksi viidestä. Valituksia virheilmoituksista ja ongelmista. Itsekin sain toisessa puhelimessa oudon virheen, joka sisälsi vain numeroita.
 |
| Asennusohje puhelimessa on kovin askeettinen. |
Aloitusnäyttö on ankea, pieni opasteksti tulee ilmeisesti nettisivulta. Asensin ohjelman iPhoneen, joka oli matkan jälkeen jäänyt englanniksi, ja siksi ohjelmakin asentui samalla kielellä. Sovellus toimii toki suomeksi.
Android-version asennus oli hankalaa, koska puhelimessa oli jo ennestään Matkakortin NFC-lukija, joka hyppäsi väliin aina kun yritin saada henkilökorttia luettua. Poistettuani toisen ohjelman asennus onnistui, mutta jokaisella tunnistuskerralla ohjelma antoi vain virheilmoituksen, jonka mukaan allekirjoitus ei onnistu. Ei tietenkään, koska kyse oli tunnistuksesta.
Ilmeisesti on niin, että Hightrust.id voi olla kerrallaan vain yhdessä puhelimessa. Kriittisen tärkeät todennusohjelmat (pankit, Authenticator ym) voivat olla useassa laitteessa, mikä lisää turvallisuutta jos mobiililaite hajoaa tai varastetaan.
Ohjelma haluaa varmistaa käyttäjän sähköpostin, mutta luvattua koodia ei vain kuulunut. Ja kas, sieltähän se löytyi roskapostikansiosta.
 |
| Tietoturvaohjelman tekijältä tällainen sähköposti-ilmoitus ei vakuuta. |
Kaikki muut valmistajat saavat koodinsa perille, mutta tämä ei, sillä sähköpostipalvelimen aitoustarkistukset (SPF/DKIM) eivät ole kohdallaan. Vähänkin älykkäämpi sähköpostiohjelma karsii lähettäjältä tulevat sähköpostit karanteeniin.
Aika huono homma kriittistä todennuspalvelua tarjoavalta yritykseltä. Ja kun tunnistustapa on tarkoitettu myös tavallisille käyttäjille, ohjelman askeettisuutta ei voi hyväksyä.
Jos Hightrustin saa asennettua, se on helppo ja näyttää toimivan nopeasti, mutta kansalaiskäyttö vaatii muutakin. Pelkästään mobiilissa tunnistus menee vielä helpommin, koska QR-koodia ei tarvita. Puhelimeen tulee suoraan yllä näkyvä kuva, josta painetaan Continue (Jatka).
Jäämme odottamaan paremmin viimeisteltyä 2.0-versiota.
Tämän kirjoituksen kuvat ovat iPhone-versiosta, koska siinä pystyi ottamaan ruutukuvia. Android-versiossa ruutukuvat on ilmeisesti tietoturvasyistä estetty. Monissa kryptolompakoissa ainakin siemenlauseen ruutukuvaus on niin ikään estetty ja esto toimii yhtä hyvin iPhone- kuin Android-puolellakin.
15 kommenttia:
"julkisissa palveluissa tunnistus pitäisi tehdä muulla tavoin."
Miksi?
Jotta uhrin pankkitiliä ei tyhjennetä. Valesivuilla uhri luulee kirjautuvansa esim. Omakantaan, mutta hänen tunnistukseen antamansa pankkitunnukset menevätkin rosvon käsissä pankkitilin tyhjentämiseen.
Jos opetettaisiin tunnistamaan se valesivu niin mitään vaaraa ei olisi.
Minusta tunnistautumisessa on kyse ensisijaisesti luottamuksesta kaikkien siinä osallisena olevien osapuolten kesken.
Ennen kuin itse luotan palveluun haluan yleensä tietysti tietää enemmän siitä mikä tämä hightrust.id palvelu oikein on. Ketkä sitä ovat palvelua tekemässä ja ja ketkä rahoittavat, jotta osaan arvioida mitä riskejä palvelun käytöstä minulle voi aiheutua.
Katsoin nyt siksi vain uteliaisuuttani PRH:n palvelusta Megical Oy tietoja ja sinne näyttää olevan rekisteröity mm. osoite: Lapinlahdenkatu 16, 00180 HELSINKI, joka on Hotelli Maria osoite.
Sähköposti-osoitteeksi on rekisteröity mika.pyyhtia@megical.com, joka Googlella etsiessä ja LinkedIn kuvan perusteella kyse on Turun seudulta NHL:n pelaajaksi siirtyneen ilmeisesti perustama tai nyt rahoittama yritys. Siltä se em. tiedoin näyttää.
Asiakastiedon julkisessa palvelussa Megical Oy. Vuoden 2024 tietoja ei vielä näy, mutta jo 2011 perustetuksi yritykseksi, joka on ehkä jonkin aikaa ollut pöytälaatikossa tai liiketoiminta muuten vain hiljaisempaa ja aktivoitunut 2018 uudestaan on ollut varsin vaatimatonta.
Ehkä 2024 liikevaihto on sitten parempi, mutta Asiakastiedot sivulla olevien tietojen suunta on reilusti alaspäin mikä ei vielä luottamusta herätä tai sanotaan vaikka toistaiseksi ainakaan lisää.
Sitten itse hightrust.id -domainnimestä koska tunnistuspalvelua tarjotaan Suomalaisten käyttöön.
Ymmärrän toki, että heillä on oletettavasti ajatus kansainvälistymisestä ja luultavasti yksisarviseksi nousemisesta ja sen vuoksi on otettu rohkeasti ccTLD vanity-domainnimi hightrust.id markkinointnimeksi eikä esim. hightrust.fi, joka sekin näkyy olevan yksityishenkilön rekisteröimä (whois näyttää virheen, tiedot puutteellisia ei DNS:ää jne.)
Fi-nimi ehkä rekisteröity nimen varaamiseksi ja suojaamiseksi. En kaivellut rekistereitä tarkemmin onko vireillä muuta. Mutta EUIPO:ssa se vielä ole ainakaan.
Kuitenkin hightrust.id vanity-domain nimessä on minusta ongelma tämän firman ja Suomalaisten käyttäjien kannalta joille he sitä nyt markkinoivat, että .id -on Indonesian ccTLD ja siitä seuraa väistämättä riippuvuus sen maan lainsäädännöstä, viranomaisten päätöksistä ja politiikasta yleensäkin. Koska Megical Oy voi joutua pakotetuksi luopumaan rekisteröimästään domain-nimestä, jota he brändinä käyttävät. Tämä on ilmiselvä riski palvelun jatkuvuudelle.
Indonesia on muodollisesti demokratia, mutta sen hallinto on toiminut usein hyvin itsevaltaisesti ja mm. estänyt kansalaisten pääsyä levottomuuksien aikaan internetiin, se käyttää DNS-nimipalvelua omiin tarkoituksiinsa (DNS poisoning) yleisesti ja sen ennakoiminen, ettei se missään tapauksessa tekisi jotain mikä haittaa sinne .id ccTLD:n rekisteröityjä palveluja ei voi käytännössä poissulkea.
Edelleen vaikka itse web-sivusto ja sovelluksen kautta käytettävä json-api palvelu näkyy olevan Suomalaisen Planeetta Internet Oy:n palvelussa ja jossa heillä myös on DNS, niin kun rekisteröinti josta nimipalvelu näille ohjataan on Jakartalla Pengelola Nama Domain Internet Indonesia rekisterissä, Indonesialaiset voivat sen sieltä poistaa tai kääntää ihan mihin hyvänsä eikä täältä Suomesta asialle kukaan voi yhtään mitään muuta kuin todeta, että sinne meni.
Eli .id ccTLD:N käyttäminen on palvelun tuottamisen ja siihen luottamisen kannalta aivan selvä riski.
Edellisten kaltaisten asioden huomiotta jättäminen osoittaa sitä, että on otettu reilua etukenoa liikaa kansainvälistyminen päällimmäisenä ajatuksena. Ja joko kokemattomuutta miten Internetissä asiat toimivat otettu eikä ymmärretty riskejä, joita he eivät voi itse hallita.
Yksinkertainen tapa hallita näitä riskejä olisi ollut brändätä palvelu Suomessa hightrust.fi palveluksi, eli käyttää kansallista ccTLD:tä eikä kikkailla minkään vanity-domainien kanssa.
Sitten vielä ihan nopeasti itse hightrust.id palvelusta, jonka riskejä joihin panostamalla heillä olisi mahdollisuus alentaa riskejä.
hightrust.id näyttää olevan Planeetta Internet Oy:n sitehosting.fi palvelun yksittäisessä web3.sitehosting.fi [185.179.116.83] osoitteessa, ei ulkoisesti vaikuta siltä että palvelussa olisi varauduttu vaikkapa palvelunesto-hyökkäyksiä vastaan.
Palvelun varmenteeseen*, joka on Let's Encrypt R11 varmenne on useita SAN nimiä (Subject Alternative Name) ks. alla, osoittavat nimipalvelussa tuohon yhteen ja samaan IP:n. Sähköposti näkyy olevan Googlen pilvipalvelusta yrityksille.
*) hightrust.id hightrustid.com hightrustid.fi hightrustid.io mail.hightrust.id mail.hightrustid.com mail.hightrustid.fi mail.hightrustid.io www.hightrust.id www.hightrustid.com www.hightrustid.fi www.hightrustid.io
... jatko
Itse pitkän uran monipuolisesti tietoliikenteen, tietotekniikan, tietoturvan parissa työskennelleenä sekä myös tietosuojaakin työssä sivuten ihmettelen lähinnä sitä, että eikö Suomi.fi -palvelussa yhtään katsota perään näitä edellä mainittuja asioita ja edellytetä palvelulta tietoturvan ja -suojan auditointia, ennen kuin ne hyväksytään palveluun ja niitä aletaan mainostaa käyttäjille?
Se minua tässä ehkä eniten yllättää, että onko Suomi.fi -palveluun on päästetty palvelu, jota minä CISA auditoijan roolissa olisi voinut jättää liputtamatta, että nämä asiat pitää korjata ennen kuin palvelu on valmis valtakunnalliseksi tunnistus menetelmäksi pankkien tunnistus palveluiden ohjella.
Sinänsä hyvä, että Pankki tunnistukselle kehitetään vaihtoehtoja, mutta olisin kyllä odottanut parempaa palvelun tekijältä Megical Oy:tä, varmasti pysytyvät parempaan ja jos eivät itse, niin palkatkoon konsultteja auttamaan. Ja samalla tavalla Suomi.fi kyllä sielläkin pitäisi olla peiliin katsomisen paikka, ei tämä mitä nyt on nähty oikein ole sitä mitä heiltä pitäsi voida odottaa.
Mutta siinä se mitä julkisista lähteistä itse nopeasti löysin ja kuten Petteri totesi, niin ehkä 2.0 versio on parempi. Joten omalta osaltani jätän kokeilematta tätä nykyistä versiota.
*) Alla vielä lista siitä mitä nimipalvelusta, varmenteessa olevista nimistä löytyi.
[ hightrust.id ]
hightrust.id has address 185.179.116.83
hightrust.id mail is handled by 5 ALT2.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 10 ALT4.ASPMX.L.GOOGL E.COM.
hightrust.id mail is handled by 10 ALT3.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 5 ALT1.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 1 ASPMX.L.GOOGLE.COM.
[ hightrustid.com ]
hightrustid.com has address 185.179.116.83
hightrustid.com mail is handled by 0 hightrustid.com.
[ hightrustid.fi ]
hightrustid.fi has address 185.179.116.83
hightrustid.fi mail is handled by 0 hightrustid.fi.
[ hightrustid.io ]
hightrustid.io has address 185.179.116.83
hightrustid.io mail is handled by 0 hightrustid.io.
[ mail.hightrust.id ]
mail.hightrust.id is an alias for hightrust.id.
hightrust.id has address 185.179.116.83
hightrust.id mail is handled by 10 ALT3.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 5 ALT1.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 1 ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 5 ALT2.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 10 ALT4.ASPMX.L.GOOGLE.COM.
[ mail.hightrustid.com ]
mail.hightrustid.com is an alias for hightrustid.com.
hightrustid.com has address 185.179.116.83
hightrustid.com mail is handled by 0 hightrustid.com.
[ mail.hightrustid.fi ]
mail.hightrustid.fi is an alias for hightrustid.fi.
hightrustid.fi has address 185.179.116.83
hightrustid.fi mail is handled by 0 hightrustid.fi.
[ mail.hightrustid.io ]
mail.hightrustid.io is an alias for hightrustid.io.
hightrustid.io has address 185.179.116.83
hightrustid.io mail is handled by 0 hightrustid.io.
[ www.hightrust.id ]
www.hightrust.id is an alias for hightrust.id.
hightrust.id has address 185.179.116.83
hightrust.id mail is handled by 10 ALT3.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 5 ALT1.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 1 ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 5 ALT2.ASPMX.L.GOOGLE.COM.
hightrust.id mail is handled by 10 ALT4.ASPMX.L.GOOGLE.COM.
[ www.hightrustid.com ]
www.hightrustid.com is an alias for hightrustid.com.
hightrustid.com has address 185.179.116.83
hightrustid.com mail is handled by 0 hightrustid.com.
[ www.hightrustid.fi ]
www.hightrustid.fi is an alias for hightrustid.fi.
hightrustid.fi has address 185.179.116.83
hightrustid.fi mail is handled by 0 hightrustid.fi.
[ www.hightrustid.io ]
www.hightrustid.io is an alias for hightrustid.io.
hightrustid.io has address 185.179.116.83
hightrustid.io mail is handled by 0 hightrustid.io.
@Petteri
Poistitko sinä ne kaksi jatko-osaa edelisestä, jos niin miksi?
Kyse ei ole vain siitä vanity-domain riskistä vaan siitä, että palvelu ei teknisesti kokonaisuutena ole sen tasoinen ts. se on tehty liian pienillä resursseilla, ei kestä DDoS:ia eikä paljon muutakaan tarkasteelua, jota tuon kaltaiselta palveluta olisi syytä odottaa. Myös se, että Suomi.fi hyväksyy tuon kaltaisen on minusta osoitus, ettei siellä kaikki tarvittavat asiat saa riittävästi huomiota ja osata edellyttää palveluilta parempaa riskien hallintaa.
Jos riskien hallintaan ei osata kiinnittää huomiota, niin ei pidä sitten yllättyä kun tulee ongelmia ja ollaan yllättyneitä, hups miten tässä taas näin pääsi käymään. Ja niitä ongelmia tulee aivan varmasti, ei verkkorikolliset, kiristäjät ym. ole tyhmiä, ne kaivaa nämä samat asiat itse esille julkisista lähteistä kuten minä kaivoin vain hetken aikaani käyttäen.
Pienen firman tarjoama vahvan tunnistuksen palvelu herättää luonnollisesti kysymyksiä tietoturvasta ja toiminnan jatkuvuudesta. Omalla sivullaan Hightrust.id sanoo näin: "Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus ylläpitää tunnistuspalvelurekisteriä Suomeen sijoittuneista vahvaa sähköistä tunnistamista tarjoavista palveluntarjoajista sekä niiden tarjoamista palveluista. Megical Oy:n hightrust.id on liitetty mainittuun rekisteriin 16.11.2023.
KPMG IT Sertifointi Oy:n auditoima hightrust.id mobiilisovellus on Suomessa ainoa mobiilissa eIDAS -asetuksen korkean (high) varmuustason vaatimuksenmukaisuuden (LoA – Level of Assurance) täyttävä sähköinen tunnistuspalvelu. Liittämällä siihen kansalaisvarmenne, on käytössä korkean varmuustason tunnistusväline. Tunnistusvälineen varmuustaso on siten yhtenevä fyysisen henkilökortin varmuustason kanssa."
Hesarin jutun 31.10.2024 mukaan: "Traficomin kyberturvallisuuskeskuksen lakimiehen Laura Northin mukaan mikä tahansa yritys voi tarjota omaa tuotettaan Traficomille hyväksyttäväksi. Northin mukaan tunnistuspalveluja koskevat säännökset ovat kuitenkin sen verran tiukat ja vaikeat noudattaa, että useimmat tarjokkaat putoavat pois hakuprosessin aikana.
Tuotteen lisäksi syynätään myös yhtiö ja sen taloudellinen tilanne, jotta sillä on riittävät edellytykset toimia. Northin mukaan myös Megicalin taloudellinen tilanne huomioitiin, kun sen hakemusta käsiteltiin ja ennen kuin se sai Traficomin kyberturvallisuuskeskuksen hyväksynnän.... Vaikka työntekijöitä onkin vain kolme, toiminnassa on mukana moninkertainen joukko alihankkijoiden kautta, hän korostaa."
"@Petteri Poistitko sinä ne kaksi jatko-osaa edelisestä, jos niin miksi?"
En ole poistanut mitään, mutta alusta saattaa luokitella niitä roskaviesteiksi. Tarkistan.
Auditonti on tehty siis mobiilisovellus? Kattaako se koko palvelun alustan ja infran missä sitä pyöritetään vai van sen sovelluksen osuuden ja ehkä palvelimessa olevan sovelluksen. Hieman ihmettelen jos (federoitu) autentikointi edellytkset infralle ja käytännöille ovat lievempiä kun PCI DSS on.
Luettelin siinä mitä kirjoitin niin monta riskiä, että minun on aiemmin CISSP ja CISA sertifioituna em. asiat ovat hyvin pitkälle rinnasteisia. En missään nimessä uskalla itse ryhtyä käyttämään ja luottamaan ko. palveluun sen nykyisessä muodossa. Löytyneiden asioiden perusteella se ei ole edes jonkun ison päivälehden tai ylen palveluiden tasoisesti tehty. Mobiilisovelluksesta en sano mitään, en sitä ole ladannut. Mutta taustapalveluun, nimipalveluun, rekisteröintiin jne. liittyen asiat ovat vielä pahan kerran vaiheessa eikä se herätä luottamusta -- se kertoo, että osaamista on liian vähän näissä asioissa.
@Petteri
Kiitokset palautukseta :)
Niin ja sen että Suomi.fi -palvelussa, ne jotka näiden auditointeja ja siihen liittyviä asioita teettävät, eivät oikeasti ymmärrä miten Internet toimii ja mitä asioita pitää osata ottaa huomioon, että palvelun jatkuvuus myös häiriötilanteissa oli ne ikäviä sattumuksia tai jonkun yrittäessä väärinkäyttöä (palvelunesto hyökkäys tns.) palvelu edes jotenkinn olisi suojassa eikä vain pyörisi yhdessä palvelimessa tai yhden reverse-proxyn takana. Ei ei, ei näin tehdä kestäviä jatkuvuuden hyvin takaavia palveluita.
... jatko
Jatkan vielä highttust.id käyttämästä Let's Encrypt varmenteesta hieman. Ne ovat vain DV -eli Domain Validated varmenneita.
DV:t validoidaan (hyväksytään myönnettäväksi) vain pelkästään osoittamalla, että varmenteen hakija kykenee jollain varmentajan (CA) hyväksymällä menetelmällä (CA/Browser Forum määrittelee hyväksytyt menetelmät) osoittamaan, että hakija hallitsee kyseistä domain-nimeä/domain-nimiä siksi aikaa kun varmentaja tarkastaa pyyntöä,jota pyyntöön (CSR) on varmennetta hakeva laittanut.
DV-varmenteissa nämä validoinnit ovat mekaanisesti automatisoiotavissa, tyypillisesti tietyn DNS-kentän lisäys tai HTTP-sivulle haasteen laittamista, jonka varmentaja voi käydä tarkistamassa että se on asennettu heidän ohjeen mukaan.
Siten DN-varmenteiden ongelma on, että kuka tahansa se joka kykenee vaikka vain väliaikaisesti varmennetta haettaessa ottamaan haltuunsa sen domainin, voi saada haettua sille varmenteen. Muuten DV:t ovat yhtä hyvin toimivia ja muilta osin luotettavia varmenteina.
Kutenkin yleensä korkeaa luotettavuutta edellytettävissä palveluissa käytetään OV (Organizational Validation) ja aiemmin paljon myös EV (Extended Validation) varmenteita (näiden käyttö on vähenemässä). Molemmissa varmenteissa aina yksilöidään Subject -kentään organisaation nimi, sijainti maassa ja maan-nimi, jolle ne on myönnetty. Niiden päätyminen väärälle taholle on paljon pienempi riski, toki sitä on vuosien mittaan sattunut mutta seuraamukset ovat vakavia CA:lle joka sellaiseen sortuu (DigiNotar jne.)
Näitä molempia (OV ja EV) myönnettäessä varmentaja myös siis tarkastaa huolellisesti organisaation tiedot virallisista rekistereistä, niin että se voi varmistua siitä ettei myönnä varmennetta kenellekään muulle kun kenellä on oikeus sellainen hakea.
Nopeasti katsottuna crt.sh Certificate Transparency lokien hakukoneesta, näyttäisi siltä että hightrust.id on käyttänyt vain Let's En rypt varmenteita.
Mikäli palvelun API sijaitsee samassa domainissa, niin sillä lienee vain DV varmenne. Tämän selvittämiseksi pitäisi asentaa se clientti mobiililaitteeseen ja selvittää mihin se ottaa yhteyttä. En jaksa ryhtyä siihen, mutta mainitsen vain miten asian voi selvittää jos se jotain kiinnostaisi.
Se ehkä voi sinänsä olla OK pelkässä www-etusivun ym. palvelussa jos DNS ja rekisteröinti on varmasti luotetuissa käsissä.
Mutta kyllä varsinaisen autentikoinnissa ja kirjautumis-palveluissa olisi syytä käyttää OV-varmenteita koska ne on hyvin tärkeitä palveluita, että riski varmenteen päätymisestä vääriin käsiin olisi vähäisempi kun DV-varmenteissa. Toinen tapa olisi varmistaa tämä olisi pitää omaa CA:ta ja käyttää sitä vain JSON autentikointi-apin kanssa privaatti-varmennetta, jonka siis clientti hyväksyy siihen tallennetun oman juurivarmenteen avulla.
Huomasin muuten, että Nordea pankin etusivun varmenne on myös yllättäen Let's Encrypt, netbank.nordea.fi kirjautumis-sivustolla on sitten OV varmenne, kuten viisasta onkin. S-Pankilla on DigiCertin EV varmenne jo etusivulla samoin online.s-pankki.fi kirjatumis sivulla.
Joo, mutta eiköhän tämä riitä tästä aiheesta tällä kertaa.
Sinähän se varsinainen tietoturvaguru oletkin, kun sekoitat julkisen nettisivun ja varsinaisen tunnistautumispalvelun toteutuksen keskenään. Sokea Riittakin olisi minuutin selvitystyöllä saanut selville, että palvelu pyörii Amazonin pilvipalvelussa, käyttää Amazonin varmenteita jne. Tämä ei tee palvelusta yhtään uskottavampaa, mutta vie kaiken uskottavuuden kirjoituksiltasi. P.S. En itsekään käytä palvelua luottamuspulan takia.
Pyyhtiä kommentoi julkaisun aikaan Linkedinissä muutamia juttuja, postaus (ja lisäkommentit https://www.linkedin.com/posts/mikapyyhtia_julkaisimme-eun-ensimmäisen-täysin-eidas-activity-7258422595211956224-qM-J )
Joka tapauksessa, yhdessä nimenomaisessa kommentissa mainitaan että tuo Indonesialainen domain on vain "markkinointia" varten, ja varsinainen palvelu on .com-domainissa.
Tätä ei tietenkään missään ihmeemmin mainosteta :)
Lähetä kommentti