Tech Talk

Certificate SSL – Neglijenta sau incompetenta

In peisajul IT-istic mioritic am deseori momente de „wow” ca si pe cel ce il experimentez in aceasta dimineata.

Am nevoie de un parfum si sfatuit de colegi ma uit pe faimosul site www.elefant.ro.
Toate bune si frumoase , dar odata ce lucrezi in „IT security” mi-am format  prostul obicei sa imi ciulesc urechile cand imi apar in browser cuvintele „not secure” .

Ma sterg la ochi , mai iau o gura amara de cafea si uimit imi dau seama ca „mall-ul online al familiei” cum se autointituleaza cei de la elefant.ro nu folosesc https (criptarea informatiilor intre PC si serverele lor) . Practic toate informatiile ce trec prin „net” pot fi captate  si citite de oricine se uita la trafic (username , parola , nume , prenume , nr telefon , adresa livrare )

Ca sa fiu corect , in cazul platii cu cardul conexiunea se face prin https si un procesator de carduri,  datele cardului fiind protejate dar datele personale (nume , prenume , nr telefon , adresa de livrare ) nefiind protejate.

Problema este cu atat mai grava cu cat instalarea unui certificat SSL este si usoara si ieftina (in unele cazuri gratis) de aceea imi pun problema daca este vorba de neglijenta , nepasare sau incompetenta.

Instalarea se face din 2 click-uri sau 3 comenzi si reprezinta un plus enorm de securitate , respect fata de client si protejarea informatiilor personale ale clientului.

Ma astept de la portal-urile institutiilor publice sa nu aiba certificate SSL  datorita faptului ca stim cu totii ce se intampla acolo, dar cand vine vorba de companii private care au cifre de afaceri de oridinul milioanelor de lei pe an , am pretentii.

Sa mentionez totusi si cateva situri  a institutiilor publice care dupa parerea mea ar trebui sa aiba certificate SSL  si in topul acesta sta Casa Nationala de Asigurari de Sanatate (cnas.ro).

Indiferent ca datele de pe site sunt  publice sau nu , e din nou vorba despre bunele practici in IT ca sa imi dea un plus de siguranta , in special ca datele pot sa contina informatii confidentiale.

Dar sa continuam metodic pe site-ul celor de la CNAS si un link ne trimite catre „Dosarul Electronic de sanatate ” si dupa cum spune prima pagina , din cate imi dau seama e vorba de o arhiva a istoricului medical , tratemente diagnostice , ceea ce in IT security pe langa informatiile financiare sunt informatii de confidentialitate critica.

Accessam link-ul de mai jos si supriza , exista certificat SSL dar expirat de 151 de zile , da deh , ca administratorul nu vede ditamai eroare in browser care iti spune asta .

Dam „proceed” sa vedem unde ne duce si supriza… catre o pagina de autetntificare pe baza de CNP , carduri de sanatate , etc asta in conditiile in care in coltul stanga browser-ul „plange”ca aceasta conexiune nu este securizata.

Aici sunt rezultatele de la SSL Checker (https://www.sslshopper.com/ssl-checker.html#hostname=ehr.des-cnas.ro )

 

Se pare ca , domnii de la Directia de Dezvoltare Sisteme Informatice au omis sa reinoiasca certificatul , un fleac.

Ca tot traim vremuri tulburi , inainte sa va bosumflati si sa imi dati cu jet de lacrimogen , sa ne reamintim ca toate datele prezentate aici sunt absolut publice si pot fi reproduse de orice utilizator .Ca sa corectam problemele mentionate mai sus dati-un „renew”la cerfificat si il instalati din doua click-uri 😉

 

 

 

 

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *