Nasjonal sikkerhetsmyndighet (NSM) lanserte i 2018 nettstedet dmarc.no, med tips og råd om hvordan e-post kan gjøres litt sikrere.
Men lille julaften begynte nettstedet å feile med en advarsel. Det viser seg at domenets TLS-baserte sikkerhetssertifikat har utløpt for mer enn 11 dager siden.
Når sertifikatet er ugyldig, får ikke besøkende komme rett inn på nettstedet, som da blir definert som en sikkerhetsrisiko.
I stedet gir nettleseren beskjed at tilkoblingen er utrygg, samt beskjed at du ikke bør oppgi sensitiv informasjon fordi den kan bli stjålet av angripere.
Det aktuelle sertifikatet har vært utstedt gjennom gratistjenesten Let's Encrypt. Det er fullt mulig å automatisere prosessen med fornyelse av sertifikatet. Hvorfor det ikke skjedde, er uvisst.
Nasjonal sky: Forprosjektet er ennå ikke startet: – Urovekkende
Beklager feilen
Mens vi jobbet med denne saken valgte NSM å ta ned nettstedet. Det ble stengt ved 11.40-tiden mandag.
– Dette er er en feil som vi beklager, og som ikke skulle funnet sted. Vi har tatt ned den aktuelle siden i påvente av fornyelse av sertifikatet, opplyser NSMs seniorrådgiver Anniken Beyer Fjeld i en e-post til Digi.
Et raskt søk på Twitter viser at etaten ble varslet om det utløpte sertifikatet allerede 23. desember.
Dmarc.no ble opprettet av NSM i forbindelse med sikkerhetsmåneden oktober i 2018. Nettstedet består av veiledning for ulike tekniske tiltak som kan gjøre eposten litt sikrere, samt en tjeneste der man kan sjekke om andre domenenavn har implementert sikkerhetsteknologiene DMARC og SPF.
Kaller det et ønske om oppmerksomhet: Norsk aktør driver utpressing av norske nettsteder
