Net iD Service
 

service.secmaker.com

Sidan uppdaterad: 2019-08-21

Senaste inläggen:
- Litet men irriterande problem vid radering av HCC med Net iD Enterprise 6.8.0
- Nya Chromiumbaserade Edge 78 (nu med stöd för centralt konfigurerat IE-mode)
- 6.8.0 för SITHS (du får rulla förbi Edge-grejen för att se den)
- Net iD KSP
- Net iD Access

 

Problem vid radering av HCC med Net iD Enterprise

Om du använder den gamla trotjänaren "Net iD Administration (gamla)" för att radera HCC-certifikat som råkat få fel innehåll kan du stöta på problem. Net iD säger "fel pin-kod" fast att du slår rätt. Berör 6.8 och troligen även 6.7 och 6.6.

Problemet uppstår bara om du råkar börja med att radera underskriftscertifikatet. Vilket som är inloggningscertifikatet och vilket som är underskriftcertifikatet ser du inte utan att klicka på dem och kika på "Nyckelanvändning".

Workarounds

I första hand:
Spärra båda HCC-certifikaten och rensa bort dem från kortet genom att logga på SITHS Självadministration med Telia-certet och använd funktionen "Ta bort utgångna/spärrade HCC".

I andra hand:
a) Börja med att ta bort inloggningscertifikatet i "Net iD Administration (gamla)"
b) Tryck på fliken "Privata lådan" och ange PIN1, sen kan du radera HCC-certifikaten i valfri ordning

 

 

Kommande Microsoft Edge baserad på Chromium istället för EdgeHTML

Min gamla artikel om status för olika webbläsares förmåga att hantera certifikat på hårdvarubaserade bärare har blivit helt föråldrad: https://service.secmaker.com/secure/examples/Web_browsers.aspx
Den skulle tydligen uppdateras under senhösten 2013 :-)

Det får bli hösten 2019 istället. Men låt oss tills dess kika på den kommande Edge-versionen från Microsoft, den som undertill baseras på samma motor som Google Chrome:

 

 

Det första man frågar sig är om dubbelriktad TLS med certifikat fungerar avseende certifikatvalsdialogen och pindialogen från Net iD Enterprise?

Svar: JA

Edge 77 ärver samma typ av certifikatvalsdialog som Chrome: (lite puts kan den behöva)

Men med Edge 78 är ordningen återställd:

 

 

Hur är det då med pindialogen från Net iD Enterprise?

Jo, vi slipper nu göra fallback till special-pindialogen som introducerats för UWP-appar som nuvarande Edge och Tieto LifeCare. Det blir helt enkelt den "vanliga" pindialogen:

En annan trevlig sak med den kommande Edge är att (just nu, det kan ju ändras) Net iD SSO fungerar. Dvs. har du loggat in i Windows med kortet eller angett pin för någon annan applikation innan du använder nya Edge så slipper du slå pin igen.

 

Men så var det ju det där med pluginen i Net iD Enterprise...

För visst är trist att behöva se meddelanden som dessa: (det är Edge 78, inte Chrome 78)

 

Bakgrunden i korthet är att det aldrig någonsin har funnits en webbläsare som i sig själv har kunnat bidra till att signera/underteckna saker. Alltså utvecklades redan i slutet på 90-talet plugins via NPAPI och/eller ActiveX som adderar denna möjlighet till Internet Explorer, Firefox, Chrome, Safari osv. Problemet är att teknologin som sådan öppnade upp för gräsligheter om pluginens skapare inte var på den goda sidan. Fast även "de goda utvecklarna" kunde förstås drabbas om de hade otur när de tänkte. Google sammanfattade NPAPI såhär:

Alltså: Stödet för denna typ av plugins är numera borta från alla webbläsare utom Internet Explorer 11. Det är en bra sak. Men det är samtidigt en dålig sak för alla de lösningar som finns därute som bygger på just denna form av plugins, t.ex. Flash, Silverlight, Java och förstås: Net iD Enterprise Plugin.

Nån generell standard (och helt färdig) som fungerar i alla webbläsare har vi inte kunnat hitta. Men vi har sett en del försök att skapa lösningar med små lokala proxy-liknande programsnuttar som säger sig lösa det hela. Men inget riktigt bra. Alltså har många sajter "fastnat" i att tvingas kräva Internet Explorer 11. T.ex. SITHS Admin, Efos, Net iD Portal osv osv.

Vi på SecMaker har delvis "löst" det hela genom att kapsla in webbapplikationer som kräver pluginen i en egen historia vi kallar "Net iD Web". Funkar fint, men det är ju inte samma sak som att fritt kunna välja webbläsare...

Vi kikar förstås på ett lovande koncept som kallas "WebExtensions":

https://browserext.github.io/browserext/

https://developer.chrome.com/extensions

https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions

 

Men tillbaka till den kommande Edge

Det Microsoft försöker göra (på gott och ont) är att låta oss "köra IE11 i Edge". Med Edge 77 krävdes tre musklick för att låta en ej fungerande sajt öppnas i en "IE11 i Edge"-flik.

 

OBS!
Från Edge 78 är denna möjlighet borttagen och ersatt med central konfiguration för att inte slutanvändaren själv ska kunna köra valfri sajt i IE-mode. Det är förstås en säkerhetsfråga. Mer om hur man gör nedan.

 

Se här ett par exempel. Notera att det blir en liten IE-ikon framför hänglåset i URL-fältet när Edge kör i IE-mode:

 

Om du vill prova så hämtar du hem den kommande Edge och kör vid sidan av din vanliga Edge. Men du måste konfa lite för att kunna prova.

OBS!
Från Edge 78 behöver du INTE aktivera IE-läget via edge://flags/#edge-internet-explorer-integration

 

Flaggan är ersatt med några GPO:er samt en särskild lista som kan skapas med:

Enterprise Mode Site List Manager (schema v.2)

1)
Fixa till din lista över sajter som Edge ska köra i IE-mode

2)
Såhär kan den se ut:

3)
Sätt denna GPO
Du måste först ladda hem adm och adml filerna för Edge: https://docs.microsoft.com/en-us/DeployEdge/edge-ie-mode

4)
Exportera din konfiguration från "Enterprise Mode Site List Manager" till en XML-fil som du placerar på en url som alla användare når (eller på en file share). Sätt sedan denna GPO:

5)
Nu körs just de sajter du konfigurerat helt automatiskt i IE-mode! T.ex. SITHS Admin

 

Funderingar på det ovanstående? Droppa ett mail till Funderingar på det ovanstående? Droppa ett mail till service@secmaker.com !

... och du förresten, nya Edge, dubbelriktad TLS och Net iD Enterprise lirar förstås tillsammans med  vad som komma skall :-)

 

Soliga hälsningar,
/Jonas Öholm, SecMaker AB

 

6.8.0 för SITHS !!!

Välkommen att logga in och ladda ner 6.8.0 för SITHS, äntligen!

Dessutom, den 12/7 knäckte vi tillsammans med Tieto nöten med att LifeCare tidigare har krävt ett särskilt paket (1901)
Det innebär att så snart Tieto hunnit släppa en uppdaterad version av LifeCare så kommer man att kunna köra LifeCare med de "vanliga" paketeringarna!

 

Inte riktigt samma kioskvältare som när runda hjul uppfanns, men nästan...

Vänner av assymetrisk nyckelteknologi med tillhörande certifikat, vi har något stort att berätta...

Net iD Enterprise har sedan urminnes tider innehållit en CSP. Men åren går och sakta men säker ser man oftare och oftare detta:

CAPI har varit på dekis i många år nu. Men under det senaste året har det börjat dyka upp situationer, dvs. kod från Microsoft, som helt enkelt inte fungerar om din PKI-klient "bara" innehåller en CSP.

Det är därför det är oss en stor glädje att intruducera en ny liten rackare: iidksp.dll

Notera: Det är mer än okej att inte till fullo greppa varför detta är viktigt. Men håll ut. Mer information kommer!

 

 

Net iD Access

Nu finns nya versioner av Net iD Access klara!

§1 - Net iD Access Server, version 2.1
Kostar pengar om man vill ha en egen... (flera landsting har nappat på detta för att kunna upprätthålla "inloggningsautonomi")
Men om man skyr mer skrot i egen hall... jo, Access-ekosystemet utvecklas dagligen. Så håll håll kontakten med SecMaker, rätt vad det är så finns både en eller annan Access Server i molnet...

§2 - Net iD Access-klienterna, version 7.0.2
Fria klienter, men kräver anslutning till lämplig Access Server. (Precis som att appen Citrix Receiver kräver en Citrixserver)

Klienterna hittar du här!

 

Använd inte iOS 11.2/11.2.1/11.2.2 om du använder Tactivo-läsare

I  iOS 11.2.5 är problemet med ramverket ExternalAccessory korrigerat!

Notera att:

Dessa iOS-versioner fungerar inte, och kommer aldrig att fungera, med Tactivo:
11.2 (Build 15C114)
11.2.1 (Build 15C153)
11.2.2 (Bulid 15C202)
Om du kör Access och Tactivo: Uppdatera aldrig iOS på produktionsenheter utan att först kontrollera med din applikationsleverantör, SecMaker eller kortläsarleverantören.
Skicka aldrig ut Tactivo-läsare i din verksamhet utan att först säkerställa att senast tillgängliga firmware är pålagd.

Håll din firmware uppdaterad för Tactivo med hjälp av appen "My Tactivo" och på Android med appen "Tactivo manager"

 

Information om vad denna sajt sparar

Om du loggar in på denna sajt, t.ex. med SITHS-kort, sparas följande information från ditt certifikat:

Inloggningsdatum;Klockslag vid inloggning;SubjectCN;SubjectO;SubjectSerialNumber;SubjectTitel;e-postadress;IssuerCN

T.ex. såhär:
2017-08-18;09:18:55;Jonas Öholm;Inera AB;SE165565594230-11RS;Dataperson;jonas@someplace.net;SITHS Type 1 CA v1

- Denna information används endast för felsökning om något trasslar.
- Informationen används inte för något annat ändamål såsom mailutskick, reklam osv.
- Sajten använder inte permanenta cookies
- Genom att logga in (välja certifikat och ange PIN-kod) samtycker du till att vi sparar ovanstående information i felsökningssyfte
- Har du frågor på detta område så skicka gärna ett mail till service@secmaker.com

 

Net iD Enterprise och Net iD Portal med YubiKey?

Nu fungerar det, läs mer här!

 

Nån ordning på SSL/TLS får det vara i en webbserver!

Vi på SecMaker får inte sällan in supportärenden som handlar om problem med att logga in mot webbapplikationer, eller att vissa inte kan logga in, nån tappar kontakten plötsligt osv. Oftast, men inte alltid, ligger problemet utanför Net iD. När vi då kikar närmare på vilka varianter av SSL/TLS och vilka cipher suites som webbservern ifråga har aktiverade blir vi ibland lite bekymrade. Att t.ex. ha SSLv2 aktivt är extremt obra. Även SSLv3 ska vara avstängt, om inte dina kunder kör t.ex. IE6. Fast, om de gör det ska du ändå stänga av SSLv3 så att IE6-användarna inte kan nå din sajt, låt oss kalla det för en handfast hint om att sluta köra IE6.

Vill du veta mer om TLS så läs denna:
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices

Ta även en titt på nyheterna i TLS 1.3 som snart är färdig standard och lär dyka upp i webbläsarna under 2017:
https://kinsta.com/blog/tls-1-3/

Testa sen din webbserver via: (du bör sikta på att få ett "A". "A+" är lite knepigt att få)
https://www.ssllabs.com/ssltest/

Vill du veta hur allt detta mappar mot olika webbläsare? Kika här:
https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers

 Har du en Apache så är det bara att börja konfigurera:
https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Är din webbserver en IIS så finns information t.ex. här:
https://support.microsoft.com/en-us/kb/245030

Kändes KB245030 knepig så finns ett verktyg här:
https://www.nartac.com/Products/IISCrypto

Nu testar du igen efter att du konfigurerat om:
https://www.ssllabs.com/ssltest/

Det finns även en svensk tjänst som håller ett öga på hur det ser ut bland svenska e-tjänster:
http://www.ssllistan.se

 

Notiser i all korthet

- När folk säger att Microsoft nu har stöd för plugins i Edge så är det en sanning med modifikation. Edge har stöd för "extensions". Vi kan inte se hur det Microsoft exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension.
https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/extensions/api-support/supported-apis/

- När folk säger att Google nu har stöd för plugins i Chrome så är det en sanning med modifikation. Chrome har stöd för "extensions". Vi kan inte se hur det  exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension. Nu finns förstås PPAPI men det verkar inte riktigt ta oss ända fram till kortet. Dessutom, Mozilla vill inte stödja PPAPI.

- Dessutom, med handen på hjärtat, detta med plugins är minst sagt på dekis. Så om du vill logga in på en webbsida och även kunna signera så kan det vara dags att släppa tanken på dubbelriktad TLS och signaturer med plugin. Varför inte istället använda Net iD Access som stödjer både inloggning och signering (PKCS#7 samt RAW).

 

Alla ska ge ut e-legitimationer!

Läs hela här!

 

Viktigt om W2008R2/W2012 och Citrix. Stäng av Net iD Trace-tjänsten

Läs mer på denna sida.

 

Kortleverantörer: Släpp sargen och kom in i matchen!

Nu råkade det bli en artikel om vikten av att kortleverantörer inte hänger läpp utan att istället deltar i infrastrukturbyggen....

 

Äntligen!

Äntligen finns de till försäljning; kortläsare med flera USB-sladdar! (Två eller fyra)

Kortläsarna är lämpliga t.ex. i receptioner där en person (med ett kort) arbetar omväxlande med två datorer. Utan denna typ av kortläsare måste kortet flyttas mellan de två datorerna och om bytesfrekvensen mellan dem är hög så kommer personen med tiden att drivas till vansinne. Att personalen drivs till vansinne ligger förstås inte i någons intresse.

I direkt samarbete med leverantören av MDR102 och MDR104 har vi fått till stånd en förändring som innebär att kortläsaren INTE försvinner ur enhetshanteraren vid kort ur. Det innebär i sin tur att de flesta pollningsmekanismer som implementerats i webblösningar och journalsystem fungerar som vanligt och från båda datorerna.

 

Inloggning med smarta kort till Office365 och Azure!

Fler och fler kunder lägger lösningar i molnet. Men inloggningen till molnet sker inte sällan med namn och lösen. Det är lite synd då det går utmärkt att logga på t.ex. Office365/Azure med smarta kort. Även med SITHS-kort!!

Kika på filmen som visar det hela live!

 

Kan man använda smarta kort i en Windows Store app? Svar: JA

Vår teknologipartner Ayoy AB har nu visat att det går att skriva Windows Store appar som använder smarta kort för att inne i själva appen göra en dubbelriktad TLS/SSL-förhandling mot serverside innan användaren "släpps fram" till känslig information. Här nedan några skärmdumpar på deras proof-of-concept app som undertill använder SecMakers PKI-klient Net iD Enterprise för att ge stöd för långt fler kort än vad kortleverantörernas egna minidrivers ger, t.ex. för SITHS-kort, RPS-avtalets tjänstekort, Oberthurs kort som ges ut via Skatteverket osv.

Besök Ayoy!

Jo, en sak till; det fungerar lika bra med IE11 i Modern UI-mode!

 

Minidriver eller PKCS#15?

http://www.ayoy.se/index.php/2013/10/minidriver-eller-pkcs15/

 

KB2830477

Update for RemoteApp and Desktop Connections features is available for Windows
http://support.microsoft.com/kb/2830477/en-us

Update 2830477 breaks smartcard reader access for RDP sessions
Windows 7 IT Pro forums - Windows 7 Installation, Setup, and Deployment

 

"Kort ur"-kåseriet

Läs hela här!

 

Internet Explorer 11

 

Net iD på Windows XP och Windows Server 2003

Microsoft har slutat signera Net iDs CSP (Cryptographic Service Provider) och överlåter detta till oss. Självfallet med ett certifikat accepterat av Microsoft. Inga problem så långt. Vi slipper helt enkelt invänta Microsofts signatur inför varje ny version av Net iD Enterprise. Men för kunder med Windows XP och Windows Server 2003 kommer det att gå åt pipan så snart man installerar den kommande Net iD 6.1 Enterprise. men om man installerar Microsoft patch 2836198 så fungerar allt som vanligt.
http://support.microsoft.com/kb/2836198/en-us

 

Datainspektionen om surfplattor

Många undrar om man får använda surfplattor i verksamheter som hanterar känsliga personuppgifter. Handfasta råd finns nu från Datainspektionen som har granskat tre kommuner och i samband med det skapat en checklista. Läs mer...
Här några skärmdumpar från ett av många MDM-system som kan behövas för att förenkla uppfyllandet av DI's krav:
Exempel iOS och Exempel Android

 

Spara ström är bra, men inte alltid utan bieffekter

När man installerar drivrutiner för olika kortläsare uppmärksammar man sällan att vissa installeras med strömspar PÅ medan andra installeras med strömspar AV.

Det har dock visat sig att strömsparfunktionen kan ställa till med en del märkliga bieffekter i applikationer som pollar efter kort på ett visst sätt. Ta därför för vana att stänga av strömsparfunktionen om du får problem och istället byta till treglasfönster, källsortera eller göra annan kompensatorisk miljöinsats. Under tiden nystar vi i den bakomliggande problematiken.