Net iD Service
 

Net iD Enterprise och Net iD Portal med YubiKey?

Nu fungerar det, läs mer här!

Uppdatera iOS på din iPhone/iPad om du har Tactivo-kortläsare...

Innan du startar uppdateringen av iOS så koppla ur din Tactivo-kortläsare.
(Finns lägen där det kan trassla om du har ett tillbehör anslutet under uppdateringen)

Nån ordning på SSL/TLS får det vara i en webbserver!

Vi på SecMaker får inte sällan in supportärenden som handlar om problem med att logga in mot webbapplikationer, eller att vissa inte kan logga in, nån tappar kontakten plötsligt osv. Oftast, men inte alltid, ligger problemet utanför Net iD. När vi då kikar närmare på vilka varianter av SSL/TLS och vilka cipher suites som webbservern ifråga har aktiverade blir vi ibland lite bekymrade. Att t.ex. ha SSLv2 aktivt är extremt obra. Även SSLv3 ska vara avstängt, om inte dina kunder kör t.ex. IE6. Fast, om de gör det ska du ändå stänga av SSLv3 så att IE6-användarna inte kan nå din sajt, låt oss kalla det för en handfast hint om att sluta köra IE6.

Vill du veta mer om TLS så läs denna:
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices

Ta även en titt på nyheterna i TLS 1.3 som snart är färdig standard och lär dyka upp i webbläsarna under 2017:
https://kinsta.com/blog/tls-1-3/

Testa sen din webbserver via: (du bör sikta på att få ett "A". "A+" är lite knepigt att få)
https://www.ssllabs.com/ssltest/

Vill du veta hur allt detta mappar mot olika webbläsare? Kika här:
https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers

 Har du en Apache så är det bara att börja konfigurera:
https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Är din webbserver en IIS så finns information t.ex. här:
https://support.microsoft.com/en-us/kb/245030

Kändes KB245030 knepig så finns ett verktyg här:
https://www.nartac.com/Products/IISCrypto

Nu testar du igen efter att du konfigurerat om:
https://www.ssllabs.com/ssltest/

Det finns även en svensk tjänst som håller ett öga på hur det ser ut bland svenska e-tjänster:
http://www.ssllistan.se

 

Notiser i all korthet

- Net iD Access 6.6 för iOS fungerar med nysläppta iOS 10 och även ännu mer nysläppta 10.1

- När folk säger att Microsoft nu har stöd för plugins i Edge så är det en sanning med modifikation. Edge har stöd för "extensions". Vi kan inte se hur det Microsoft exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension.
https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/extensions/api-support/supported-apis/

- När folk säger att Google nu har stöd för plugins i Chrome så är det en sanning med modifikation. Chrome har stöd för "extensions". Vi kan inte se hur det  exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension. Nu finns förstås PPAPI men det verkar inte riktigt ta oss ända fram till kortet. Dessutom, Mozilla vill inte stödja PPAPI.

- Dessutom, med handen på hjärtat, detta med plugins är minst sagt på dekis. Så om du vill logga in på en webbsida och även kunna signera så kan det vara dags att släppa tanken på dubbelriktad TLS och signaturer med plugin. Varför inte istället använda Net iD Access som stödjer både inloggning och signering (PKCS#7 samt RAW).

 

Net iD Access 6.6 för iOS släppt

Net iD Access for Tactivo - SecMaker AB

 

Net iD Enterprise 6.5 för SITHS släppt

Net iD Enterprise 6.5.0.17 för SITHS släpptes den 22 augusti. Logga in för att ladda ner!

 

Kul finess vid drivrutinsuppdatering

Säg att en verksamhet kör Windows Hello med fingeravtrycksinloggning på några tusen laptops. Personalen glömmer med tiden sina lösenord och kör uteslutande med fingeravtryck. En råkall men slaskig måndag i februari skjuter IT ut en drivrutins-uppdatering. Det var bara det att det uppdateringen visade sig göra lite mer...

 

 

Alla ska ge ut e-legitimationer!

Läs hela här!

 

SHA-1 till SHA-2...

Som (alla) vet är hashalgoritmen SHA-1 påväg att ersättas av SHA-2. Just nu sätter webbläsartillverkarna blåslampa på alla sajtägare att byta ut sina SHA-1 baserade servercertifikat för att skynda på det hela. Blåslampa är det även på de som signerar kod eftersom kodsigneringscertifikaten redan nu bör vara SHA-2 baserade. Det har vi på SecMaker förstås rättat oss efter.

 

I November 2015 skriver Microsoft =>
In a previous update on TechNet, we announced that Windows will block SHA-1 signed TLS certificates starting on January 1, 2017.
In light of recent advances in attacks on the SHA-1 algorithm, we are now considering an accelerated timeline to deprecate SHA-1 signed TLS certificates as early as June 2016. Mozilla recently announced a similar intent on the Mozilla Security Blog. We will continue to coordinate with other browser vendors to evaluate the impact of this timeline based on telemetry and current projections for feasibility of SHA-1 collisions.

I slutet av april 2016 skriver Microsoft =>
In November, we shared a SHA-1 Deprecation Update with some early details on our schedule for blocking SHA-1 signed TLS certificates. Today we would like to share some more details to share on how this will be rolled out. Starting with the Windows 10 Anniversary Update, Microsoft Edge and Internet Explorer will no longer consider websites protected with a SHA-1 certificate as secure and will remove the address bar lock icon for these sites. These sites will continue to work, but will not be considered secure. This change will be in upcoming Windows Insider Preview builds soon, and will be deployed broadly this summer. In February 2017, both Microsoft Edge and Internet Explorer will block SHA-1 signed TLS certificates.

Men betyder då detta att alla miljontals klientcertifikat som är av typen SHA-1 slutar fungera inom kort? Dvs alla filbaserade certifikat på disk? Och alla certifikat på smarta kort? Alla miljoner datorcertifikat för 802.1x som signerats med SHA-1?
 Hmm, få se nu, om det vore så, borde inte Microsoft då ha haft med det i denna lista?
(Klicka på länken och rulla till rubriken "Enforcement in General")

http://social.technet.microsoft.com/wiki/contents/articles/32288.windows-enforcement-of-authenticode-code-signing-and-timestamping.aspx

Eller planerar de att slå ut stora delar av jordens IT-lösningar genom att inte säga nåt? Värsta rackartyget i så fall...

 

Förtydligande

Den 25/4 släpptes Net iD Enterprise 6.5 (6.5.0.17)

För kunder med supportavtal innebär detta att:

a)
Man kan lägga ett supportärenden som vanligt och få hjälp även om man har 6.3 eller t.o.m. 6.1. Men vi kan förstås behöva rekommendera uppgradering till 6.4 eller 6.5 för att givet problem ska kunna lösas.

b) Om en säkerhetsbrist eller annat allvarligt fel skulle hittas så släpper vi:
6.5.1
6.4.2

Men någon 6.3.1 kommer däremot inte att släppas.

 

Blåtandsläsare för Windows!!!

Läs mer på denna sida.

 

Stöd för Windows 10

- Stöd för Windows 10 i Net iD Enterprise i version 6.4. Se releasenotes.
- Kunder med supportavtal lägger ticket och ber att få sina kundunika paket ombyggda baserat på 6.4
- Den generella SITHS-paketeringarna släpptes den 2/2 2016.

Mer om Windows 10 och Net iD här!

 

Viktigt om W2008R2/W2012 och Citrix. Stäng av Net iD Trace-tjänsten

Läs mer på denna sida.

 

Kortleverantörer: Släpp sargen och kom in i matchen!

Nu råkade det bli en artikel om vikten av att kortleverantörer inte hänger läpp utan att istället deltar i infrastrukturbyggen....

 

Äntligen!

Äntligen finns de till försäljning; kortläsare med flera USB-sladdar! (Två eller fyra)

Kortläsarna är lämpliga t.ex. i receptioner där en person (med ett kort) arbetar omväxlande med två datorer. Utan denna typ av kortläsare måste kortet flyttas mellan de två datorerna och om bytesfrekvensen mellan dem är hög så kommer personen med tiden att drivas till vansinne. Att personalen drivs till vansinne ligger förstås inte i någons intresse.

I direkt samarbete med leverantören av MDR102 och MDR104 har vi fått till stånd en förändring som innebär att kortläsaren INTE försvinner ur enhetshanteraren vid kort ur. Det innebär i sin tur att de flesta pollningsmekanismer som implementerats i webblösningar och journalsystem fungerar som vanligt och från båda datorerna.

 

Rulla ut mjuka cert till Net iD Access-appen

https://www.youtube.com/watch?v=e1JPrgKBZc4

 

Slipp segheten vid laddning av https-sidor!

Har dina användare problem med att vissa https-sidor tar orimligt lång tid att ladda?

Lösning: http://support.microsoft.com/kb/2807971

OBS! Detta kan alltså drabba kortanvändare både på lokala datorer och vid uppkopplingar via RDP eller Citrix!

Se även: http://www.itproffs.se/index.php?/topic/41846-seg-laddning-av-sajt-om-cert-ligger-i-my/

 

Inloggning med smarta kort till Office365 och Azure!

Fler och fler kunder lägger lösningar i molnet. Men inloggningen till molnet sker inte sällan med namn och lösen. Det är lite synd då det går utmärkt att logga på t.ex. Office365/Azure med smarta kort. Även med SITHS-kort!!

Kika på filmen som visar det hela live!

 

Ny app för hemtjänsten! För iPad, med SITHS-kort!

Vår partner Exait har lanserat sin app "Exait Hemtjänst". Appen är en lösning som bidrar till att skapa effektivare flöden med kortare ledtider och ökad kvalitet inom hemtjänsten. Exait har använt både Net iD SDK för iOS och Net iD Access för att skapa en både enkel och säker integration med SITHS-korten. Kortläsaren som används är Tactivo från Precise Biometrics. Appen har även en integration med Apples app för kartor och vägbeskrivningar!

Läs mer hos Exait själva!

 

Kan man använda smarta kort i en Windows Store app? Svar: JA

Vår teknologipartner Ayoy AB har nu visat att det går att skriva Windows Store appar som använder smarta kort för att inne i själva appen göra en dubbelriktad TLS/SSL-förhandling mot serverside innan användaren "släpps fram" till känslig information. Här nedan några skärmdumpar på deras proof-of-concept app som undertill använder SecMakers PKI-klient Net iD Enterprise för att ge stöd för långt fler kort än vad kortleverantörernas egna minidrivers ger, t.ex. för SITHS-kort, RPS-avtalets tjänstekort, Oberthurs kort som ges ut via Skatteverket osv.

Besök Ayoy!

Jo, en sak till; det fungerar lika bra med IE11 i Modern UI-mode!

 

Minidriver eller PKCS#15?

http://www.ayoy.se/index.php/2013/10/minidriver-eller-pkcs15/

 

KB2830477

Update for RemoteApp and Desktop Connections features is available for Windows
http://support.microsoft.com/kb/2830477/en-us

Update 2830477 breaks smartcard reader access for RDP sessions
Windows 7 IT Pro forums - Windows 7 Installation, Setup, and Deployment

 

"Kort ur"-kåseriet

Läs hela här!

 

Internet Explorer 11

 

Net iD på Windows XP och Windows Server 2003

Microsoft har slutat signera Net iDs CSP (Cryptographic Service Provider) och överlåter detta till oss. Självfallet med ett certifikat accepterat av Microsoft. Inga problem så långt. Vi slipper helt enkelt invänta Microsofts signatur inför varje ny version av Net iD Enterprise. Men för kunder med Windows XP och Windows Server 2003 kommer det att gå åt pipan så snart man installerar den kommande Net iD 6.1 Enterprise. men om man installerar Microsoft patch 2836198 så fungerar allt som vanligt.
http://support.microsoft.com/kb/2836198/en-us

 

Allowed or Blocked?

Sitter du och testar 6.0.2/6.0.3 och trimmar Net iDs konfiguration för att inte binärerna i ditt journalsystem ska blockas när anrop görs mot Net iD Plugin?

Läs mer på här! (kräver inloggning med kort)

 

Innan du uppgraderar till Chrome 29...

Vid uppgradering till Chrome 29 på Windows XP, Windows 7 och Windows 8 plockar Google bort Net iD:s Plugin. Det hänger samman med att Google infört en möjlighet att på Windows 8 växla mellan "desktop-mode" och "tablet-mode". I "tablet-mode" tillåts, precis som i IE10/11, inga plugins. Man kan återställa pluginen genom att köra Net iD:s installationsprogram igen. Vi klurar just nu på hur vi bäst tacklar problemet. (Växla till "tablet-mode")

 

Datainspektionen om surfplattor

Många undrar om man får använda surfplattor i verksamheter som hanterar känsliga personuppgifter. Handfasta råd finns nu från Datainspektionen som har granskat tre kommuner och i samband med det skapat en checklista. Läs mer...
Här några skärmdumpar från ett av många MDM-system som kan behövas för att förenkla uppfyllandet av DI's krav:
Exempel iOS och Exempel Android

 

Spara ström är bra, men inte alltid utan bieffekter

När man installerar drivrutiner för olika kortläsare uppmärksammar man sällan att vissa installeras med strömspar PÅ medan andra installeras med strömspar AV.

Det har dock visat sig att strömsparfunktionen kan ställa till med en del märkliga bieffekter i applikationer som pollar efter kort på ett visst sätt. Ta därför för vana att stänga av strömsparfunktionen om du får problem och istället byta till treglasfönster, källsortera eller göra annan kompensatorisk miljöinsats. Under tiden nystar vi i den bakomliggande problematiken.