Regeringen.se använder ogiltigt certifikat

Om man surfar till https://www.regeringen.se  får man en certifikatsvarning.

Regeringen använder ett CDN-nätverk (incapsula) för leverans av sin hemsida. I skrivande stund har de ett felaktigt certifikat på sidan vilket gör att man får en certifikatsvarning i sin browser.

Certifikatet är ett så kallat SAN-certifikat vilket innebär att man kan ha flera web-adresser i samma certifikat, detta har Incapsula utnyttjat till att ha samma certifikat till flera av sina kunder. Det aktuella certifikatet på regeringens hemsida har 139 webadresser i SAN, dock inte www.regeringen.se.

Det här väcker en rad intressanta frågor.

• Medborgare har i nuläget inget tillförlitlig säker källa till information från regeringen. Är det OK?
• Regeringen låter ett Amerikanskt bolag sköta leverans av hemsidan, bolaget kan ändra innehållet på hemsidan efter eget tycke. Detta innebär i princip att medborgarna ändå inte kommer att ha en tillförlitlig källa till information från regeringen när de kommit tillrätta med certifikatsproblemet.
• Incapsula bjuder på en lista omfattande 139 av deras kunder. Är det OK för alla kunder att förekomma i samma certifikat som andra organisationer? Jag kan tänka mig lite motsättningar här.
• Vad händer med de 138 andra kunderna då till exempel regeringen vill spärra sitt certifikat. Låt säga att de vill byta leverantör.
• Var är Regeringens privata nyckel som de använder för att garantera korrekt information till medborgarna? (retorisk fråga, den är i USA hos Incapsula till exempel).
• Vad lyder Incapsula under för lagar och regler gällande utlämning av uppgifter och nycklar?

För mer information, kontakta Certezza via sales@certezza.net