Spletna stran portala eDavki

Uporabniki portala eDavki.durs.si smo te dni doživeli neprijetno presenečenje – vstop v spletno aplikacijo namreč ni bil mogoč.

Razlog? DURS je na spletni strani zamenjal korensko digitalno potrdilo, zato sodobni brskalniki dostop do spletne strani zavrnejo. Do pred kratkim je spletišče onemogočalo uporabo nešifrirane povezave (upravljavci strežnika so sedaj to izključili), zato dostop do eDavkov sploh ni bil mogoč. V primeru, da pa uporabniki uporabljajo še dodatne varnostne mehanizme, ki onemogočajo dostop na nešifrirano spletišče eDavkov (npr. dodatek HTTPS Everywhere), pa je težava še težje rešljiva.

Ko uporabnik nekako uspe ugotoviti, da je težavo mogoče rešiti z namestitvijo novega korenskega potrdila in se uspešno prijavi na spletno stran eDavki, ga na vrhu pričaka naslednje obvestilo:

Vse lepo in prav, vendar obvestila uporabnik ni mogel videti, dokler se ni uspel prijaviti v eDavke. Prijava v eDavke pa ni bila mogoča, dokler korenska potrdila niso uspešno nameščena oziroma dokler upravljavci spletišča niso omogočili povezovanja preko nešifrirane povezave.

Nekoliko podrobnejši pregled spletne strani Finančne uprave sicer pokaže, da so uporabnike predhodno obvestili, da bodo izvedli zamenjavo digitalnega korenskega potrdila:

A kot je razvidno iz obvestila, je bilo le-to objavljeno 20.7.2016 ob 11:59:03, menjava potrdil pa je bila izvedena že naslednji dan (21. 7. 2016), torej zgolj 12 ur po objavi.

Takšno ravnanje je skrajno neresno in neodgovorno do uporabnikov. Še zlasti do tistih, ki morajo npr. do nekega določenega datuma izpolniti svoje obveznosti, sicer jim grozi globa.

Namesto, da bi FURS uporabnike portala eDavki o menjavi kontinuirano obveščal z jasno vidnim obvestilom vsaj kakšen mesec ali dva vnaprej, so tako rekoč brez resnega obvestila digitalna potrdila zamenjali praktično čez noč in s tem uporabnikom povzročili kup težav.

Vprašanje, ki se zastavlja kar samo po sebi je, ali bo za to kdo odgovarjal? Zdi se, da je na to vnaprej poznan tudi odgovor.

HTTPS varnost spletišča eDavki?

Vse skupaj je seveda zadosten razlog, da si gremo nekoliko podrobneje ogledati stopnjo varnosti spletišča eDavki. Za ta namen smo uporabili spletno aplikacijo SSL Test. Rezultati testa so za leto 2016 – milo rečeno – precej slabi.

Kot je razvidno iz slike, je varnost ocenjena zelo nizko – s stopnjo T. Glavni razlog za tako nizko oceno je dejstvo, da spletišče uporablja državna korenska digitalna potrdila, ki niso vključena v sodobne spletne brskalnike. Če to težavo odmislimo – uporabnik si lahko korenska digitalna namesti sam – pa je stopnja varnosti še vedno ocenjena z oceno C. Kar ni ravno najbolje.

Pa pojdimo po vrsti. Spletišče eDavki uporablja protokol TLS 1.0, ne podpira pa TLS 1.1 in TLS 1.2. Na srečo spletišče vsaj ne uporablja več SSL 3, a očitno je bila sprememba nastavitev spletnega strežnika opravljena precej na hitro, saj so upravljavci strežnika zgolj onemogočili SSL3, pozabili pa so onemogočiti uporabo manj varnih šifrirnih algoritmov (konkretno RC4). Prav tako še vedno manjka vklop preferenčnega vrstnega reda uporabljenih šifrirnih algoritmov.

Poleg tega spletišče uporablja šibke Diffie-Hellmanove parametre za izmenjavo šifrirnih ključev, zaradi česar je na komunikacijo mogoč tim. Logjam napad. Nastavitev uporabe 2048-bitnih Diffie-Hellman parametrov bi upravljavcem spletišča vzela zgolj nekaj minut dela. Prav tako je slabo podprta uporaba mehanizma tim. poudarjene zaupnosti (angl. Perfect Forward Secrecy).

Glede na rezultate testiranja izpred slabih dveh let sicer lahko rečemo, da se je varnost spletišča eDavki sicer izboljšala, a je stanje še vedno nezadovoljivo. Sploh glede na to, da spletišče očitno teče na spletnemu strežniku Microsoft Internet Information Server 8.5 (podpis spletnega strežnika je Microsoft-IIS/8.5), ki podpira novejše varnostne mehanizme. Potrebno jih je le vklopiti.

* * *

Vsi uporabniki spletišča eDavki se verjetno strinjamo, da je portal res uporaben in koristen pripomoček. Zato bi upravičeno pričakovali, da bi upravljavci portala v njegovo delovanje vložili (zgolj) še nekaj ur dodatnega dela in s tem precej izboljšali njegovo varnost.

Poleg tega bi bilo upravljavce smiselno opozoriti na to, da skušajo biti pri prenovi sistema bolj pozorni na pravočasno obveščanje uporabnikov. Z nekoliko spremenjenim načinom dela bi namreč tako uporabnikom povzročili bistveno manj težav, posledično pa tudi na svoji strani zmanjšali obremenitev centra za podporo uporabnikom.

A po drugi strani so stvari lahko tudi slabše. Uprava za javna plačila namreč pri aplikaciji za oddajo eRačunov še vedno uporablja SSL3. In ja, piše se leto 2016.