Vi var på Norwegian Developer Conference i juni och lyssnade bl.a. på Troy Hunt om säkerhet på webben och bl.a. om SSL/TLS. Han visade en genomgång av utländska bankers SSL/TLS som inte var positiv. Den naturliga följdfrågan är naturligtvis hur det står till med våra svenska offentliga och privata organisationer?
Men visst måste vi kunna göra en roligare lista än en statisk bloggpost som Troy gjorde? Det var starten för www.ssllistan.se.
Varje natt går vi igenom en lista på webbplatser och kontrollerar deras status hos Qualys SSL Labs och lägger till lite egna saker så som Content-Security-Policy. Därefter rankas webbplatserna och vi skapar en lista med de 10 bästa och en med de 10 sämsta.
Webbplatserna är utvalda för att man loggar in på dem. Ärligt talat kommer de flesta av dem från en googling på “logga in med BankID”… smile
Saknar du någon webbplats? Twittra till @ssllistan så fixar jag det!
####Kategorin “Myndigheter” Här inkluderas myndigheter eller organisationer som har myndighetsliknande uppdrag, t.ex. Radiotjänst. Det gläder mig att Skatteverket och Försäkringskassan ligger i topp. Det är de två myndigheter som har absolut mest inloggningar med E-legitimation (enligt E-legitimationsnämnden) och de hanterar stora mängder skattepengar.
Att notera är att Finansinspektionen (!) kör IIS/6.0 (Windows Server 2003) som inte kommer att få säkerhetspatchar efter 2015-07-14. Det är bråttom för dem att migrera nu!
Den låga nivån på verksamt.se tycker jag är obehaglig. Det är ju ändå där som man ändrar vilka som har rätt att teckna firman för svenska bolag så risken för oss medborgare får nog anses som hög. Här finns både FREAK, Poodle, SSL2 och svaga Diffie-Hellman parametrar (logjam).
En sak som förvånade mig var att Rekryteringsmyndigheten med sin nära koppling till Försvarsmakten fick så låga poäng.
####Kategorin “Inloggningsfunktioner” Här inkluderas inloggningstjänster som det offentliga Sverige använder. Dessa webbplatser ska givetvis vara de bästa vi har i Sverige eftersom vi förlitar oss på dem. Det är också betydligt mer “grönt” i den här tabellen jämfört med alla andra.
BankID kommer ut på topp men Telia hamnar nästan längst ner. Att notera är att Telia kör IIS/6.0 (Windows Server 2003) som inte kommer att få säkerhetspatchar efter 2015-07-14. Det är bråttom för dem att migrera nu!
Sirius IT (Visma) är de som ligger sämst till och om man använder deras status på SSL/TLS som en indikator på deras övriga säkerhetsarbete borde de nog inte användas som inloggningstjänst.
####Kategorin “Banker” Ja, det är banker. Ursprungligen använde jag en Wikipedia-sida med en lista på svenska banker men jag har insett att den inte var riktigt komplett. Jag tror inte heller att min egen lista just nu är komplett så twittra gärna till @ssllistan om du hittar någon som saknas!
Den här listan är förhållandevis “grön”. Det verkar finnas incitament för bankerna att hålla ordning på sin infrastruktur. smile
Från början trodde jag att jag skulle hitta någon tydlig skillnad mellan små banker så som Avanza (B) Danske Bank (F), Volvo (A+), Nordnet (A) och Forex (C) och stora banker så som SHB (C), SEB (A-) och Swedbank (A-) men det verkar vara annat som styr på vilken nivå de hamnar.
####Kategorin “Landsting” Jag har inte hittat så många ställen där jag som vårdtagare kan logga in och få tillgång till tjänster så den här kategorin blev inte så stor. twittra gärna till @ssllistan om du hittar någon som saknas!
####Kategorin “Kommuner” Jag har inte hittat så många ställen där jag som medborgare kan logga in och få tillgång till tjänster så den här kategorin blev inte så stor. twittra gärna till @ssllistan om du hittar någon som saknas!
Notera att Stockholms Stad är både först och sist, beroende på vad man ska göra.
####Kategorin “Efaktura” Kategorin efaktura är den senaste kategorin. Du vet ju när man klickar på att visa sin efaktura i Internetbanken, då kommer man till en annan webbplats men med en delegerad inloggning från Internetbanken.
twittra gärna till @ssllistan om du hittar någon som saknas!