Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Listy Czytelników

Do redakcji Dziennika Internautów dotarł list na temat strony internetowej Polskiej Wytwórni Papierów Wartościowych. Jak się okazuje część stron PWPW korzysta z certyfikatu bezpieczeństwa dostarczonego przez firmę PCCE Sigillum, która to nie znajduje się na liście zaufanych głównych ani pośrednich urzędów certyfikacji. Poniżej przedstawiamy treść listu czytelnika oraz odpowiedź jaką otrzymaliśmy z PWPW.

Treść listu anonimowego czytelnika z 23. czerwca

Temat: Certyfikat Polskiej Wytwórni Papierów Wartościowych

Witam, Oczekuję na dowód rejestracyjny i kiedy dobiegł termin ważności pozwolenia czasowego, a do urzędu nie dotarł jeszcze dokument powiedziano mi, że mogę sprawdzić status mojego dokumentu na stronie internetowej PWPW SA.

Trafiłem na stronę http://www.pwpw.pl/Product?id=13 "Dokumenty Komunikacyjne", gdzie znajduje się odnośnik:
http://www.pojazd.pwpw.pl/
Po kliknięciu go przeglądarka informuje o problemie zabezpieczeń:

Opera:
***
Ostrzeżenie
Łańcuch certyfikatów tego serwera jest niekompletny, a wystawca jest niezarejestrowany. Zaakceptować?

cpdpub.pwpw.pl

Zabezpieczenia
Certyfikat dla "cpdpub.pwpw.pl" został podpisany przez nieznany ośrodek certyfikacji "Sigillum PCCE - CA". Weryfikacja ważności tego certyfikatu nie jest możliwa.
***
Protolół szyfrowania:256 bit AES (RSA/SHA)

Firefox:
***

Nie udało się nawiązać bezpiecznego połączenia

cpdpub.pwpw.pl używa nieprawidłowego certyfikatu bezpieczeństwa.

Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.

(Kod błędu: sec_error_unknown_issuer)

* Powodem tego może być nieprawidłowa konfiguracja serwera albo próba podania się za ten serwer przez podmiot nieuprawniony.

* Jeśli użytkownik łączył się wcześniej z tym serwerem, błąd może być tymczasowy – w tej sytuacji należy spróbować ponownie później.

***

Jeśli dobrze rozumiem, znaczy to, że szyfrowanie danych osobowych nie jest maksymalnie bezpieczne, a sieciowa tożsamość firmy, która wydaje Polakom wszystkie dokumenty nie jest potwierdzona.

Uważam to za żenujące. Nie dziwię się, że m. innymi polskie dowody należą do najczęściej podrabianych w Europie Zachodniej, jeśli firma ta nie potrafi poprawnie zaszyfrować i podpisać strony www.

 

Poniżej prezentujemy odpowiedź z 27. czerwca, którą przesłał Dziennikowi Internautów Arkadiusz Słodkowski - rzecznik prasowy Polskiej Wytwórni Papierów Wartościowych:

Znamy termin ważności certyfikatu dla serwera cpdpub.pwpw.pl i zaskoczyło mnie stwierdzenie o braku jego certyfikatu. Natychmiast to sprawdziłem.

ilustracja nr 1 - Termin ważności certyfikatu na stronie PWPW
fot. - ilustracja nr 1 - Termin ważności certyfikatu na stronie PWPW
Certyfikat jest ważny do 26.11.2008 roku (dowód: ilustracja nr 1 w załączniku).

Mogę się jednak domyślać, że zaniepokojenie redaktora Mugeńskiego jest spowodowane komunikatami wyświetlanymi przez przeglądarki stron www w przypadku wątpliwości co do wiarygodności certyfikatu wykorzystywanego do uwierzytelniania serwera przy transmisji szyfrowanej (protokół HTTPS).

W załączeniu przedstawiam kopie okien z ostrzeżeniami prezentowanymi przy próbie

ilustracja nr 2 - próba połączenia ze stroną PWPW: Firefox
fot. - ilustracja nr 2 - próba połączenia ze stroną PWPW: Firefox
ilustracja nr 3 - próba połączenia ze stroną PWPW: Internet Explorer
fot. - ilustracja nr 3 - próba połączenia ze stroną PWPW: Internet Explorer
połączenia z naszą stroną przez najpopularniejsze aplikacje: Mozilla Firefox 2.x (ilustracja 2) i Microsoft Internet Explorer 7.x (ilustracja 3).

Obie przeglądarki informują, że ostrzeżenie może wynikać z tego, że przeglądarka nie rozpoznaje certyfikatu organu, który wystawił certyfikat dla serwera.

I taka jest rzeczywista przyczyna w tym przypadku.

Uruchamiając strony pojazd.pwpw.pl i kierowca.pwpw.pl zdecydowaliśmy się korzystać z usług naszego korporacyjnego centrum certyfikacji PCCE Sigillum.

ilustracja nr 4 - lista zaufanych głównych urzędów certyfikacji
fot. - ilustracja nr 4 - lista zaufanych głównych urzędów certyfikacji
Niestety PCCE Sigillum nie znajduje się na dostarczanej z przeglądarkami liście zaufanych głównych ani pośrednich urzędów certyfikacji (przykład na ilustracji 4).

Ponieważ obserwujemy rosnący trend ilości odwiedzin, mając na uwadze reakcje przeglądarek (spokój internautów), CP zwróciło się do Sigillum z pytaniem czy dodanie PCCE Sigillum do listy urzędów certyfikacji jest rozważane i w jakim terminie.

Oczekujemy na odpowiedź.

Od redakcji:

Sprawa zatem nie została w pełni rozwiązana. Pozostajemy w kontakcie z PWPW. Kiedy tylko otrzymamy kolejne informacje natychmiast podzielimy się nimi na łamach Dziennika Internautów.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *              

Następny artykuł » zamknij

Źródło: DI24.pl

UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl