от ctrl(9-10-2003)

Здравейте,
Ще подложа на критика сайта http://egateway.government.bg.

Ще взема за пример browser IE с операционна система Windows 2000 SP4.
Става въпрос за следното:
Когато се опитаме да се логнем на сайта от "https://egateway.government.bg/secure/login.aspx" се появява предупреждение, че сертификатът на server-a "http://egateway.government.bg/" не може да бъде верифициран. Колко от потребителите на услугата ще успеят да си обяснят защо това е така и как да постъпят по-нататък? В този случай, естествена реакция на въпроса "Do you want to proceeed?" да се отговори с "Yes", което е абсолютно неправилно!

Никъде няма обяснения за това как трябва да се процедира в този случай. Аз ще го направя, като се надявам това да стигне до колкото се може повече потребители.

В този случай по принцип трябва да се кликне в/у бутона "View Certificate" и после той (сертификатът на "http://egateway.government.bg/") следва да бъде "инсталиран" в Windows. Това става като се кликне в/у бутона "Install Certificate" и се следват инструкциите на Windows. След тази стъпка сертификатът е "инсталиран" и сайтът би трябвало да е вече "trusted", но за сайта "http://egateway.government.bg" това няма да е достатъчно :)

Windows поставя сертификата на "http://egateway.government.bg" в "Intermediate Certification Authorities", но той все още не може да бъде верифициран, понеже се оказва, че липсват 2 неща:

1. Сертификат на "StampIT Domestic CA". Това е издателят на сертификата на на "http://egateway.government.bg"

2. Root-сертификат на  StampIT -"StampIT Domestic Root CA". Това е издателят на сертификата на "StampIT Domestic CA".

Тези сертификати могат да бъдат свалени свободно от сайта на StampIT (http://web.stampit.org/).

Те следва да бъдат инсталирани - "StampIT Domestic CA" към "Intermediate Certification Authorities", а StampIT Domestic Root CA" в "Trusted Root Certification Authorities". Тогава сайтът "http://egateway.government.bg" ще се верифицира успешно.

Като обобщение мога да посоча, че server-а на "http://egateway.government.bg" предоставя непълна верига от сертификати на своите издатели. Това е много сериозна грешка за сайт на "Българското Електронно Правителство". По начина, по които работи в настоящия момент, бих препоръчал на всички потребители да го избягват.

Още нещо: Вижте какво се получи по при един от моите опити за логване:

--------------------------------------------------------------------------------
Server Error in '/' Application.
--------------------------------------------------------------------------------

Object reference not set to an instance of an object.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.NullReferenceException: Object reference not set to an instance of an object.

Source Error:

An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.

Stack Trace:


[NullReferenceException: Object reference not set to an instance of an object.]
egovportal.secure.signRequest.Page_Load(Object sender, EventArgs e) in \\egovportal\c$\Inetpub\EGovPortalDefault\secure\signRequest.aspx.cs:41
System.Web.UI.Control.OnLoad(EventArgs e) +67
System.Web.UI.Control.LoadRecursive() +35
System.Web.UI.Page.ProcessRequestMain() +731

--------------------------------------------------------------------------------
Version Information: Microsoft .NET Framework Version:1.1.4322.573; ASP.NET Version:1.1.4322.573

------------------------------------------------------------------------------
:)

И последно, прилагам dump на части от две HTTPS сесии, едната при логване към http://egateway.government.bg, а другата към наш HTTPS server. Оставям на вас да откриете разликите:

--------------------------------------------------------------------------------------------------
http://egateway.government.bg
--------------------------------------------------------------------------------------------------

HTTP/1.0 200 Connection established

---------------------------------------------------------------

1 1 0.0682 (0.0217) C>S SSLv2 compatible client hello
Version 3.0
cipher suites
SSL_RSA_WITH_RC4_128_MD5
SSL2_CK_RC4
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL2_CK_RC2
SSL2_CK_3DES
Unknown value 0x3a
Unknown value 0x39
Unknown value 0x38
Unknown value 0x35
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
Unknown value 0x34
Unknown value 0x33
Unknown value 0x32
Unknown value 0x2f
SSL_DHE_DSS_WITH_RC4_128_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL2_CK_RC464
SSL_DHE_DSS_WITH_RC2_56_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
SSL_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC2_CBC_56_MD5
SSL_RSA_EXPORT1024_WITH_RC4_56_MD5
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_DES_CBC_SHA
SSL2_CK_DES
1 2 0.2622 (0.1940) S>C Handshake
ServerHello
Version 3.0
session_id[32]=
e9 1b 00 00 39 7c ae c7 f4 78 c6 74 90 c0 6d 31
f4 d9 ec d6 a1 fd 4c ba be cb 18 37 fd 59 20 3e
cipherSuite SSL_RSA_WITH_RC4_128_MD5
compressionMethod NULL
Certificate
Subject
C=BG
L=Sofia
O=CAD R&D CENTER PROGRESS
OU=CAD R&D CENTER PROGRESS
CN=egateway.government.bg
Issuer
C=BG
O=Information Services Plc.
OU=StampIT
CN=StampIT Domestic CA
Serial 02 59
Extensions
Extension: X509v3 Authority Key Identifier
Extension: X509v3 Subject Key Identifier
Extension: X509v3 Key Usage
Critical
Extension: X509v3 Extended Key Usage
Extension: X509v3 Certificate Policies
Extension: X509v3 Issuer Alternative Name
Extension: X509v3 Basic Constraints
Critical
Extension: X509v3 CRL Distribution Points
Subject
C=BG
O=Information Services Plc.
OU=StampIT
CN=StampIT Domestic CA
Issuer
C=BG
O=Information Services Plc.
OU=StampIT
CN=StampIT Domestic Root CA
Serial 06
Extensions
Extension: X509v3 Authority Key Identifier
Extension: X509v3 Subject Key Identifier
Extension: X509v3 Key Usage
Critical
Extension: X509v3 Certificate Policies
Extension: X509v3 Basic Constraints
Critical
Extension: X509v3 CRL Distribution Points
ServerHelloDone


-----------------------------------------------------------------------------------------
192.168.15.10
-----------------------------------------------------------------------------------------

New TCP connection #4: gladiator.bsc.bg(33293)  192.168.15.10(443)
4 1 0.0102 (0.0102) C>S SSLv2 compatible client hello
Version 3.0
cipher suites
SSL_RSA_WITH_RC4_128_MD5
SSL2_CK_RC4
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL2_CK_RC2
SSL2_CK_3DES
Unknown value 0x3a
Unknown value 0x39
Unknown value 0x38
Unknown value 0x35
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
Unknown value 0x34
Unknown value 0x33
Unknown value 0x32
Unknown value 0x2f
SSL_DHE_DSS_WITH_RC4_128_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL2_CK_RC464
SSL_DHE_DSS_WITH_RC2_56_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
SSL_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
SSL_RSA_EXPORT1024_WITH_RC2_CBC_56_MD5
SSL_RSA_EXPORT1024_WITH_RC4_56_MD5
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_DES_CBC_SHA
SSL2_CK_DES
4 2 0.4823 (0.4720) S>C Handshake
ServerHello
Version 3.0
session_id[32]=
3f 85 49 71 fe 64 23 4f cd 70 49 dd 29 e2 c7 2c
b2 c0 ce 67 36 b6 75 65 c4 e9 2b de dc 84 d0 dd
cipherSuite SSL_RSA_WITH_RC4_128_MD5
compressionMethod NULL
Certificate
Subject
C=BG
CN=192.168.15.10
emailAddress=3sweb@bsc.bg
L=Varna
O=BSC Group
OU=3S
ST=Varna
title=3sweb
Issuer
title=BSC CA
C=BG
ST=Varna
L=Varna
O=BSC Group
OU=3S
CN=BSC Group Certification Authority
emailAddress=ca@bsc.bg
Serial 69 da 50 04 25
Extensions
Extension: X509v3 Basic Constraints
Critical
Extension: X509v3 Subject Alternative Name
Extension: X509v3 Key Usage
Extension: X509v3 Subject Key Identifier
Extension: X509v3 Authority Key Identifier
Extension: X509v3 CRL Distribution Points
Subject
emailAddress=ca@bsc.bg
CN=BSC Group Certification Authority
OU=3S
O=BSC Group
L=Varna
ST=Varna
C=BG
title=BSC CA
Issuer
emailAddress=ca@bsc.bg
CN=BSC Group Certification Authority
OU=3S
O=BSC Group
L=Varna
ST=Varna
C=BG
title=BSC CA
Serial 0b 13 b8 1e e6 b1 d4 19
Extensions
Extension: X509v3 Basic Constraints
Critical
Extension: X509v3 Subject Alternative Name
Extension: X509v3 Key Usage
Extension: X509v3 Subject Key Identifier
Extension: X509v3 Authority Key Identifier
Extension: X509v3 CRL Distribution Points
CertificateRequest
certificate_types rsa_sign
certificate_types dss_sign
certificate_authority
emailAddress=ca@bsc.bg
CN=BSC Group Certification Authority
OU=3S
O=BSC Group
L=Varna
ST=Varna
C=BG
title=BSC CA
certificate_authority
C=BE
O=GlobalSign nv-sa
OU=Class 1 CA
CN=GlobalSign Class 1 CA
certificate_authority
C=US
O=VeriSign, Inc.
OU=Class 1 Public Primary Certification Authority
ServerHelloDone
-------------------------------------------------------------------------------------------------------


<< На 10.10 излезна Mozilla 1.4.1 | Новини от фронта >>