15:45
11/6/2014

Jeden z czytelników podesłał nam wiadoość, jaką otrzymali pracownicy i studenci Uniwersytetu Adama Mickiewicza:

Date: Tue, 10 Jun 2014 09:41:51 +0200
From: help
To: wszyscy
Subject: Data ważności certyfikatu

Szanowni Państwo,
przy próbie wejścia na strony internetowe usosweb.amu.edu.pl,
apd.amu.edu.pl, ankieter.amu.edu.pl, ects.amu.edu.pl, incoming.amu.edu.pl,
przeglądarka informuje Państwa, że wygasła ważność certyfikatu
bezpieczeństwa witryny. To prawda – ważność minęła 7 czerwca – cały czas
czekamy na nowy certyfikat. Możemy jednak zapewnić, że połączenie w dalszym
ciągu jest szyfrowane (tak samo jak było w poprzednich dniach). Chodzi tylko
o datę ważności certyfikatu, który będzie odświeżony jak tylko otrzymamy
nowy certyfikat.
Użytkowanie wymienionych serwisów jest przez cały czas możliwe – należy w
tym celu wybrać opcję “kontynuuj mimo wszystko” (Google Chrome), “Rozumiem
zagrożenie i potwierdź wyjątek bezpieczeństwa” (Firefox) lub “Kontynuuj
przeglądanie tej witryny sieci Web” (Internet Explorer).
Przepraszamy za utrudnienia.

M[censored]
Centrum Informatyczne UAM

uam

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

35 komentarzy

Dodaj komentarz
  1. WALIĆ KORPOGNIOTY NABIJAJĄCE KABZE NA SPRZEDAWANIU 2KB PLIKÓW ZA $200 ROCZNIE. NIECH ŻYJE SELF-SIGNING.

    XD

    • w tym miejscu przypomne tez o StartCom oddającym SSL Class 1 za darmo, od lat. Ich certy są w podstawowych CA storach Windowsów jak i w wielu przeglądarkach

    • zapraszam wiec na moja strone https://x-bank.foo/ – spokojnie, to strona Twojego banku, podpisana moim selfsign – ale po ssl – wiec bezpieczna :)

      nie placisz taczki dolarow za 2kb pliku, tylko za to, ze sprawdzili komu taki cert daja – im wiecej placisz tym sprawdzaja lepiej – zobacz ceny EV (te zielone, jak np w bankach)

    • @bighard Taa sprawdzają, już ja to widzę jak wszyscy CA (ze 150 sztuk) są godni zaufania i wcale nikt ich nie hakuje, nie dostają też ofert nie do odrzucenia od (nie)rządów itp.

    • Z tego, co pamiętam, galaxy był wewnętrznym serwerem (można się do niego dostać w ogóle spoza sieci AGH?). W takich sytuacjach wewnątrz organizacji najczęściej odpowiednia polityka wymusza instalację CA na wszystkich stacjach roboczych.
      Oczywiście na lapku wpiętym do sieci uczelnianej pewnie wciąż zobaczysz taki komunikat.

  2. Ojtam ojtam. Uczelniane CA by przecież wystarczyło.

  3. Bardziej się zastanawiam, dlaczego “cały czas czekają na wydanie nowego…”?
    W dobrym centrum certyfikacji, cert SSL EV (re-issue) dostajesz na następny dzień max. Od 4 lat odnawiam takie certy i nigdy nie czekałem dłużej niż jeden dzień…

    Mam wrażenie, że po prostu ktoś zapomniał w IT :)

    • W GoDaddy czekałem ponad tydzień.

    • Pamiętaj proszę iż uczelnie to instytucje publiczne. One nie mogą sobie same kupić gdzie chcą i co chcą. Każdą instytucję publiczną obowiązuje przetarg. A to się wlecze bo musi być ogłoszony, rozstrzygnięty, oprotestowany z 10 razy i tak dalej. Więc wystarczy iż przetarg został rozstrzygnięty i oprotestowany przez któregoś dostawcę. Zaś koledzy z IT siedzą i czekają aż formalizmy zostaną zakończone.

    • @gal
      Akurat zakup certyfikatu to procedura skrócona – wystarczy tylko wycena na podstawie 3 ofert…

  4. A jak to zrobić w Operze/Safari i wszelkich mobilnych?

    Pozdrawiam

  5. Ojtam. A co mieli admini zrobić? Certyfikat wygasł, procedury uczelniane są jasne i zakupienie nowego/odnowienie nie jest trywialne. startssl class1 jest darmowy, ale:
    – nie obejmuje wildcardów
    – jest darmowy tylko dla osób prywatnych nie prowadzących DG.

    Mogli więc:
    – olać użytkowników i dostawać zgłoszenia że jest źle
    – dać selfsigna i kazać użytkownikom importować uczelniany CA (co spowoduje lawinę uwag/próśb o pomoc)
    – wyłożyć własną kasę na zakup certyfikatu
    – poinformować użytkowników o problemie i wskazać tymczasowego workarounda.

    Imho zrobili to co najlepsze :-)

    • 1) Mogli się bardziej przyłożyć do swoich obowiązków i nie robić takiego fuckupu jak wygaśnięcie certyfikatu. To naprawdę się trzeba postarać aby to przeoczyć bo np. sami dostawcy certyfikatów często wysyłają powiadomienia o nadchodzącym terminie. Proponuję np. zakup kalendarza i zapisywanie w nim różnych terminów.

      2) Nie uczyć złych nawyków? Jak już musieli w ten sposób to lepiej było podać instrukcje jak zweryfikować certyfikat SSL ręcznie i podać w mailu informacje o certyfikacie.

    • Co mieli zrobi?? kupić certyfikat RapidSSL: obsługuje wildcards, honorowany przez przeglądarki i można go mieć praktycznie w tym samym dniu – sprawdzone

    • konrad – nie pracowałeś nigdy w środowisku uczelnianym, prawda? Bardzo wątpię by przeoczyli – podejrzewam że męczyli “górę” o zakup nowego certyfikatu na długo zanim ktoś pomyślał że wygaśnie. Problem w tym iż od momentu gdy przyjdzie oficjalna proforma(bo bez niej ciężko), do momentu gdy admin certyfikat mailem otrzyma – jest dłuuga droga :-)

    • StartSSL bez problemu wydaje wildcardy.

    • jake: startssl daje wildcardy, ale w przypadku uniwersytetu(organizacja):
      – koszt weryfikacji będzie wyższy niż wildcarda w innej firmie(tm)
      – upierdliwość weryfikacji będzie wyższa (weryfikacja kogoś w it to luzik, ale weryfikacja organizacji wielkości uam to imho droga przez mękę)
      – faktura izraelska? what?
      U mnie w DG księgowość odrzuciła fakturę z izraela twierdząc że US to zakwestionuje, a co dopiero księgowość uniwersytecka…

    • Robiłem weryfikację organizacji 5k+ pracowników w StartSSL (certy potrzebuję deo dev, produckyjnie używamy Thawte). Zajęło mi to jeden dzień. Koszt: 2*$59 bo i mnie i organizację sprawdzali. Wszystko się da jeżeli jesteś poza budżetówką ;-)

  6. btw – dziś certyfikat już jest poprawny.

  7. Drodzy komentujący i broniacy adminów w UAM:

    1. Żadne tam self signed – bo takie cos kazdy sobie moze zrobić na swoim kompie i podstawić na fake’ową stronę w przypadku przekierowania www gdzies indziej (podczas ataku). Osoby z zewnątrz, nie mające zaimportowanego root CA i tak za kazdym razem beda widziec ostrzeżenie o “błędzie certa” więc, nie dość, że nie zauważą tego ze ktoś inny sobie cert wystawił, to jeszcze takie radzenie im, żeby ten bład ignorowali uczy jedynie złych nawyków. NIe idźmy więc proszę tą drogą, bo z założenia jest ona błędna.

    2. Bycie adminem jakiegos serwisu, to nie tylko mozliwość posiadania maila w postaci admin@domena.xyz (czy też własnego np wujeksamozlo@domena.xyz – gdy inni nie mogą o to prosić), ale tez obowiązki jakie na Tobie spoczywają z tym związane. I nie jest tu żadnym argumentem kwestia zarobków (jeśli ktoś by chciał to podnieść).
    Owszem uczelnie słabo płacą (albo wcale i coś robisz wówczas hobbistycznie).
    Tak czy inaczej podejmując sie takiego działania – musisz je robić dobrze, albo wcale.
    Jak masz robić to na odwal sie – to nie zakres obowiazkow dla Ciebie.

    Certyfikat nie wygasł od tak przypadkiem – od czasu jego wystawienia – data upłynięcia ważności była znana. Można było więc zareagować wcześniej – miesiąc wcześniej (albo kwartał temu – nie znamy czasu trwania procedur zakupowych uczelni) – ale nie ma co ukrywać – taka możliwość była. Nawet jesli nastąpiłyby zmiany kadrowe (ktos inny go wystawiał, a ktoś inny teraz się tym zajmuje), to nowa osoba powinna sprawdzić swoje poletko działań.
    Ktoś ten moment jednak delikatnie mówiąc przespał – czyli dał ciała i tyle w tym temacie.

    Korespondencję przytoczoną w topicu – zostawiam bez komentarza – bo to jest takie coś – tak wiemy, ze daliśmy d…..y – ale mimo to ufajcie ze dbamy o bezpieczeństwo systemów uczelnianych :)

    • Serwisy są “wewnętrzne”. Przynajmniej większość z nich jest dla studentów, a nie dla osób “z zewnątrz”.

      Nie jest problemem instalacja certyfikatu – czy naprawdę myślisz że instalacja certyfikatu zajęła więcej czasu niż przygotowanie maila i wysłanie go? ;). Podejrzewam (znając warunki pracy tam) że problemem było to by faktura proforma za fakturę która przyszła już wcześniej została zapłacona. Kadry i płace żyją swoim życiem i czasami ciężko jest tam coś przyspieszyć. A zdarza się że proforma gdzieś w księgowości zaginie, tudzież ktoś odłoży na kupkę nie wiedząc z czym to połączyć, tudzież stwierdzi że w sumie to nie wie czy to może bez przetargu(!) iść… uroki uczelni :-)

    • ad1 – nie dali przecież Self Signed
      ad 2 – wyjaśnił MKWM – procedura wystawcy certyfikatu jest “wystawiamy, kiedy będziemy chcieli”. Do tego musi być podpis osoby umocowanej – a może sie zdarzyć, że przez tydzień żadnej nie będzie (ważna konferencja w Australii) itp. Czyli – “zwykły żuczek” z IT sobie moze i miesiąc wcześniej – a wszechmocni z władz i księgowości nawet półroczne wyprzedzenie potrafią zjeść. Mi przytrafiło się że 2 miesięczne wyprzedzenie (procedura teoretycznie to ok 7 dni) – a mimo to był moment, że nie miałem ważnego certyfikatu. Wniosek o zaciągnięcie zobowiązania (podpisy zarządu, księgowości, zamówień publicznych, działu upowszechniania), pro forma, opłacenie PF – zdążyłem w ostatniej chwili (dostałem certyfikat godzinę po wygaśnięciu starego, czyli w sumie nie zdążyłem…)

    • ot tak…

  8. Z tego co widzę UAM ma certyfikaty z TERENA Certificate Service – taka “śmieszna” usługa która pozwala różnym placówkom naukowym w Europie pozyskiwać certyfikaty ZA DARMO (urząd TERENA SSL CA działa jako specyficzny reseller Comodo). Sęk w tym że (nie wiem jak na świecie, ale w Polsce tak to działa) wystawianie certyfikatów nie odbywa się “z automatu”, tylko trzeba wrzucić CSR do systemu, wydrukować wniosek (na którym będzie treść CSRa w Base64…), zanieść to komuś odpowiednio umocowanemu do podpisania, a następnie przefaksować do Poznańskiego Centrum Superkomputerowo-Sieciowego (polski koordynator TERENA). Tam ktoś musi to przeczytać i wklikać potwierdzenie w systemie… Kiedyś im się wnioski o certyfikaty osobiste do podpisywania/szyfrowania poczty z mojej instytucji gdzieś zapodziały i tydzień albo dwa czekaliśmy aż je zaakceptują (a raz Comodo z niewiadomych przyczyn przez 5 tygodni trzymało wniosek o certyfikat do kodu). Więc, to niekoniecznie jest tak że “admini spieprzyli sprawę”…

    Jeszcze odkąd Comodo wprowadziło telefoniczną weryfikację dla certyfikatów typu Organization Validated (w pola certyfikatu wpisana nazwa instytucji), to są stale problemy, bo automat ma problem żeby znaleźć numer telefonu do instytucji, przez co wystawienie certyfikatu się opóźnia; w tej chwili prawie wszyscy korzystają chyba z najniższych Domain Validated, bo do nich wystarczy kliknąć linka w mailu wysłanym na hostmaster@domena czy podobny adres.

  9. “Serwisy są “wewnętrzne”. Przynajmniej większość z nich jest dla studentów, a nie dla osób “z zewnątrz”.”

    a “paczaleś” na te serwisy z netu :)

    Hmmm….
    Sel signed ? ;)

    Piszesz o proformie FV, ale zeby taka przez 3 miesiace nie mogła byc przeprocesowana?
    Proszę – bądźmy poważni.
    Przez 3 miesiace…. ;)

    Wracamy bowiem do opcji – wiadomo było kiedy sie ważność certa konczy :)
    Tak – masz racje Urzedy certificate sie przypopomają ;)

    Te, ktore ja znam slą maile az do znudzenia – jak to wiec mozna przegapic?

    Wracamy więc do opcji, ze ktos dal d…y (ciala) i ???

  10. Też mi to wpadło w ręce – odrobina komentarza:
    http://nsm.lubas.org/313/krecia-robota-administratora-z-uniwersytetu/

  11. Szkoda, że skoro uczelnia, tzn. że wyjdą po tym inżyniery albo magistry, a wszyscy robią z nich debili co nie potrafią rozróżnić czerwonej plastikowej kłódki od pięknie lśniącej stali.. No inżynier albo magister to chyba powinien umieć myśleć na tyle by samemu się zorientować, że daje się okradać lewemu certyfikatowi czy akceptuje certyfikat i wie co robi.. No ale cóż, kiedyś inżynier to był ktoś, teraz to mgr inż. nie potrafi się posługiwać poziomicą, nie wspominając o tym co to ta wiedza tajemna o jakichś całkach czy innych liczbach zespolonych..

    • Inżyniery nie wyjdą. To uniwersytet a nie politechnika. Na UAM inż nie robią :-) Co najwyżej zatrudniają ;)

      Pozatym – UAM to nie tylko matematyka/informatyka/fizyka, ale też Ci co mają z tymi komputerami problem – czyli filologie, psychologie, politologie, historie itepe. Czy dla nich informacja co jak i dlaczego certyfikatem jest aż tak istotne? ;)

    • “Czy dla nich informacja co jak i dlaczego certyfikatem jest aż tak istotne?” Nie jest istotna! Istotna jest za to umiejętność czytania ze zrozumieniem, myślenia i podejmowania decyzji ;)

  12. Nie tak dawno taki sam wypadek przy pracy zdarzył się bankowi Raiffeisen Polbank i pani na infolinii też zalecała dodanie wyjątku bezpieczeństwa…

  13. Kiedyś jeden z klientów korzystał z VideoTela od KB i też usłyszałem (jak się skończył certyfikat na aplecie Javy), ze mam zignorować ostrzeżenie:)

  14. Etam, na Politechnice Wrocławskiej od dobrych kilku lat pojawia się to ostrzeżenie, pewnie wciąż czekają na nowy :-)

    • Dokładnie, a dowolny numer albumu który jest uznawany jako wielki sekret kazdego studenta, mozna bez problemu wyciagnac z bazy :P

  15. Jaki z tego wniosek? Ano prosty. Nie studia zrobią z Ciebie informatyka :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.