Niezaufany certyfikat bezpieczeństwa w PWPW

LISTY CZYTELNIKÓW 28-06-2008, 16:00
Listy Czytelników

Do redakcji Dziennika Internautów dotarł list na temat strony internetowej Polskiej Wytwórni Papierów Wartościowych. Jak się okazuje część stron PWPW korzysta z certyfikatu bezpieczeństwa dostarczonego przez firmę PCCE Sigillum, która to nie znajduje się na liście zaufanych głównych ani pośrednich urzędów certyfikacji. Poniżej przedstawiamy treść listu czytelnika oraz odpowiedź jaką otrzymaliśmy z PWPW.

Treść listu anonimowego czytelnika z 23. czerwca

Temat: Certyfikat Polskiej Wytwórni Papierów Wartościowych

Witam, Oczekuję na dowód rejestracyjny i kiedy dobiegł termin ważności pozwolenia czasowego, a do urzędu nie dotarł jeszcze dokument powiedziano mi, że mogę sprawdzić status mojego dokumentu na stronie internetowej PWPW SA.

Trafiłem na stronę http://www.pwpw.pl/Product?id=13 "Dokumenty Komunikacyjne", gdzie znajduje się odnośnik:
http://www.pojazd.pwpw.pl/
Po kliknięciu go przeglądarka informuje o problemie zabezpieczeń:

Opera:
***
Ostrzeżenie
Łańcuch certyfikatów tego serwera jest niekompletny, a wystawca jest niezarejestrowany. Zaakceptować?

cpdpub.pwpw.pl

Zabezpieczenia
Certyfikat dla "cpdpub.pwpw.pl" został podpisany przez nieznany ośrodek certyfikacji "Sigillum PCCE - CA". Weryfikacja ważności tego certyfikatu nie jest możliwa.
***
Protolół szyfrowania:256 bit AES (RSA/SHA)

Firefox:
***

Nie udało się nawiązać bezpiecznego połączenia

cpdpub.pwpw.pl używa nieprawidłowego certyfikatu bezpieczeństwa.

Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.

(Kod błędu: sec_error_unknown_issuer)

* Powodem tego może być nieprawidłowa konfiguracja serwera albo próba podania się za ten serwer przez podmiot nieuprawniony.

* Jeśli użytkownik łączył się wcześniej z tym serwerem, błąd może być tymczasowy – w tej sytuacji należy spróbować ponownie później.

***

Jeśli dobrze rozumiem, znaczy to, że szyfrowanie danych osobowych nie jest maksymalnie bezpieczne, a sieciowa tożsamość firmy, która wydaje Polakom wszystkie dokumenty nie jest potwierdzona.

Uważam to za żenujące. Nie dziwię się, że m. innymi polskie dowody należą do najczęściej podrabianych w Europie Zachodniej, jeśli firma ta nie potrafi poprawnie zaszyfrować i podpisać strony www.

 

Poniżej prezentujemy odpowiedź z 27. czerwca, którą przesłał Dziennikowi Internautów Arkadiusz Słodkowski - rzecznik prasowy Polskiej Wytwórni Papierów Wartościowych:

Znamy termin ważności certyfikatu dla serwera cpdpub.pwpw.pl i zaskoczyło mnie stwierdzenie o braku jego certyfikatu. Natychmiast to sprawdziłem.

ilustracja nr 1 - Termin ważności certyfikatu na stronie PWPW
fot. - ilustracja nr 1 - Termin ważności certyfikatu na stronie PWPW
Certyfikat jest ważny do 26.11.2008 roku (dowód: ilustracja nr 1 w załączniku).

Mogę się jednak domyślać, że zaniepokojenie redaktora Mugeńskiego jest spowodowane komunikatami wyświetlanymi przez przeglądarki stron www w przypadku wątpliwości co do wiarygodności certyfikatu wykorzystywanego do uwierzytelniania serwera przy transmisji szyfrowanej (protokół HTTPS).

W załączeniu przedstawiam kopie okien z ostrzeżeniami prezentowanymi przy próbie

ilustracja nr 2 - próba połączenia ze stroną PWPW: Firefox
fot. - ilustracja nr 2 - próba połączenia ze stroną PWPW: Firefox
ilustracja nr 3 - próba połączenia ze stroną PWPW: Internet Explorer
fot. - ilustracja nr 3 - próba połączenia ze stroną PWPW: Internet Explorer
połączenia z naszą stroną przez najpopularniejsze aplikacje: Mozilla Firefox 2.x (ilustracja 2) i Microsoft Internet Explorer 7.x (ilustracja 3).

Obie przeglądarki informują, że ostrzeżenie może wynikać z tego, że przeglądarka nie rozpoznaje certyfikatu organu, który wystawił certyfikat dla serwera.

I taka jest rzeczywista przyczyna w tym przypadku.

Uruchamiając strony pojazd.pwpw.pl i kierowca.pwpw.pl zdecydowaliśmy się korzystać z usług naszego korporacyjnego centrum certyfikacji PCCE Sigillum.

ilustracja nr 4 - lista zaufanych głównych urzędów certyfikacji
fot. - ilustracja nr 4 - lista zaufanych głównych urzędów certyfikacji
Niestety PCCE Sigillum nie znajduje się na dostarczanej z przeglądarkami liście zaufanych głównych ani pośrednich urzędów certyfikacji (przykład na ilustracji 4).

Ponieważ obserwujemy rosnący trend ilości odwiedzin, mając na uwadze reakcje przeglądarek (spokój internautów), CP zwróciło się do Sigillum z pytaniem czy dodanie PCCE Sigillum do listy urzędów certyfikacji jest rozważane i w jakim terminie.

Oczekujemy na odpowiedź.

Od redakcji:

Sprawa zatem nie została w pełni rozwiązana. Pozostajemy w kontakcie z PWPW. Kiedy tylko otrzymamy kolejne informacje natychmiast podzielimy się nimi na łamach Dziennika Internautów.


Następny artykuł » zamknij

Źródło: DI24.pl
UWAGA: UWAGA: Wybrane listy, przesłane do redakcji Dziennika Internautów, publikujemy, by umożliwić ich autorom dotarcie do szerszego grona odbiorców. Czytelnicy mogą podzielać zawarte w nich poglądy lub mieć odmienne zdanie - zachęcamy do wyrażania swoich opinii w komentarzach. Treści publikowanych listów mogą zawierać prywatne poglądy internautów, które nie odzwierciedlają poglądów redakcji DI. Listy prosimy kierować na adres: listy@di.com.pl
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031