[OWASP-Bulgaria] За SSL сертификатите в държавните институции

Radoslav Vasilev radi at r-n-d.org
Mon Mar 5 22:01:54 UTC 2012


Здравейте,

Преди 6 години зачекнах темата за SSL сертификатите, които държавните
институции използват (част от дискусията ми може да видите на
http://goo.gl/j5z8C). OWASP класифицира това на 9то място в Top 10
списъка си. Миналата седмица отделих 20тина минути да разгледам
сертификатите на няколко от правителствените сайтове, както и на
сайтове представящи държавни институции и местна власт. Ето и
резултатите от това кратко упражнение:

webmail.mee.government.bg: самоподписан
nvr.iaja.government.bg: самоподписан
www.az.government.bg: самоподписан
www.yambol.government.bg: подписан за localhost :)
anticorruption.government.bg: подписан от Информационно Обслужване,
които не са признати за легитимно CA от Chrome & FF
misphare.mee.government.bg: подписан от Банксервиз, същият коментар като за ИО
ironport.government.bg: самоподписан
daits.government.bg: GoDaddy, ама с грешното FQDN
www.grao.government.bg: Банксервиз, издаден за www.grao.bg
www.president.bg: издаден от Интернет Общество България, същият
коментар като за ИО
sonet09.sofia.bg: издаден за localhost
mdt.varna.bg: самоподписан
pazardjik.bg: Банксервиз, виж по-горе
belovo.eu: издаден от kenvelo.bg, които не са легитимно CA и има грешното FQDN
nesebarinfo.com: издаден от StarCom с грешното FQDN
pay.egov.bg: GeoTrust, с изтекъл срок
inetdec.nra.bg: издаден от ИО, виж по-горе
payments.nra.bg: самоподписан


Та, интересно ми е да ви чуя мнението по този въпрос. Проблем ли е
това или не? Ако не е проблем, защо? Ако е проблем, какво решение
бихте предложили?

Поздрави,
Ради


More information about the Owasp-bulgaria mailing list