Net iD Service
 

service.secmaker.com

Sidan uppdaterad: 2020-05-20

Senaste inläggen:
- 6.8.2 av Net iD Enterprise för SITHS
- Sprita SITHS-kort!
- TLS 1.0 och 1.1 är stängt!
- Microsoft.AAD.BrokerPlugin.exe
- Nya Edge baserad på Chromium är släppt och fungerar bra med TLS och Net iD Plugin
- macOS Catalina
- Windows 7

 

Net iD Enterprise 6.8.2 för SITHS!

Idag, 2020-05-20, tillgängliggörs 6.8.2.38 för SITHS. Bara att logga in och ladda ner! 

 

Sprita SITHS-kort?

Vi har idag (2020-03-27) fått frågan om man kan sprita SITHS-korten.

§1
SecMaker har testat att dränka ett SITHS-kort i handsprit, torka av och testa om Net iD kan läsa in certifikaten => Fungerar!

§2
Ovanstående innebär inte att SecMaker vet hur många spritningar korten tål, men, vi har frågat korttillverkaren och fått följande svar:

§3
Korttillverkarens svar:

Våra kort testas mot ISO/IEC 10373-1 test standarden.
Den inkluderar ”Resistance to chemicals” tester. Bland annat testas kortet genom att sänkas ned:
- 1 minut i en 60% alkohollösning
- 1 minut i etylenglykol
- 1 minut i en saltlösning
- 1 minut i en 5% ättiksyralösning

Korten klarar det utan visuella eller funktionella konsekvenser. Vår kvalitetslabbchef som säger att korten inte bör påverkas av att rengöras med sprit, varken PKI-chippet, RFID-funktionen, magnetbandet eller visuellt.

Det som kan hända över tid är att kortytan blir mer matt och något blekare. Dock påverkas inte själva uppgifterna på korten såsom bild, namnuppgifter och logo då de är lasergraverade.

 

Denna sajt kör nu endast TLS 1.2

Från och med slutet av mars stödjer denna sajt endast med TLS 1.2


(Qualsys SSL Labs 2020-03-30)

Det innebär att ohemult gamla webbläsare inte längre kan ansluta.

Vi ser förstås fram emot migreringen från gamla Service till nya Service som baseras på en webbserver som vad det lider även kommer att stödja TLS 1.3.

Vi väntar med spänning på att Microsoft ska införa fullt stöd för TLS 1.3. Saker har redan börjat dyka upp på klientsidan, t.o.m. i gamla (kära) IE11...

 

Ingen PIN-dialog när Microsoft.AAD.BrokerPlugin.exe är inblandad...

SecMaker har sedan länge sökt orsaken till att vissa applikationer (bl.a. Tietos LifeCare, Microsoft Store och vissa andra Microsoft applikationer) förvägrar Net iD Enterprise att visa sin PIN-dialog. Fram tills alldeles nyligen har vi tvingats rekommendera kunder att köra en specialpaketering av Net iD Enterprise som gör att Microsofts egen CSP med dess PIN-dialog används (SITHS1901). Det är inget "fel" att göra så, men det skapar onödigt trassel för våra kunder som ibland tvingas skjuta ut olika paketeringar till sina användare baserat på vad de kör.

Nu har vi äntligen lyckats hitta ett sätt att med den "vanliga paketeringen" (t.ex. SITHS1301 och SITHS1311) kunna bemästra de särskilda krav som Microsoft uppställer för uppvisandet av PIN-dialog. Det vi gör är att låta vår CSP styras av ett konfigurerbart undantag där vi inte använder Net iDs egen PIN-dialog utan Microsofts egen.

Den version som krävs är 6.8.2, vilken släpptes den 3 april. Vi återkommer när de generella SITHS-paketen är godkända av våra vänner på Inera och Cygate. Då kommer de att finnas på den vanliga nedladdningsplatsen.

Kunder med supportavtal kan förstås redan nu be om paketering av sina kundunika paket baserat på 6.8.2.38

 

Nya Edge

Den 15 januari släpptes den nya Edge. Läs mer om Edge längre ner på denna sida!

Ja, den fungerar med Net iD Enterprise (och dess plugin om du konfar rätt) samt med Net iD Access!

 

macOS Catalina (2019-12-11)

Apple har lagat det som gick sönder i 10.15.1, nu finns 10.15.3 att ladda ner
(du kommer att behöva ange kommandot som finns dokumenterat i länken nedan)

Läs mer här!

 

Windows 7 (2020-01-16)

End of support for Windows 7 and Windows Server 2008R2

Due to Microsoft’s end of extended support for Windows 7 and Windows Server 2008 R2 on January 14th,
SecMaker will no longer be able to give normal support for these Microsoft operating systems.
The end of normal support means that:

- Support won’t handle any questions and issues related to the operating systems.
- Future product versions from SecMaker will not be tested on the operating systems.
- Troubleshooting and patches for the current product versions will end for issues related to the operating systems.
- No specific functionality for the operating systems will be removed.
- At the moment no controls will be implemented to prevent the use of the operating systems in upcoming product versions but may be implemented at longer term.

However, if a customer pays for Microsoft’s “Extended Security Updates” for the operating systems, it is possible for such a customer to get customer specific support and fixes for SecMaker product versions (current and future).
Customer specific support, tests of future releases and test of customer specific fixes is done in the systems at customer’s site and at an hourly rate.
Please, contact SecMaker sales for more information.

For security reasons SecMaker recommends our customers to discontinue the use of said Windows operating systems and to upgrade to later versions.

 

Trust till alla nya SITHS CA:s på Service

Nu när de nya SHA256-baserade SITHS-certifikaten finns ute i det vilda vill vi förstås att de ska kunna testas mot denna sajt.
Här nedan ser du en bild på en certifikatvalsdialog vid dubbelriktad-TLS-inloggning med ett skarpt SITHS-kort som innehåller "alla tre" certifikaten:
1) Det nya "HSAID-certifikatet" utgivet av "SITHS e-id Person HSA-id 3 CA v1"
2) Det via "personnummercertifikatet" utgivet av "SITHS e-id Person ID 3 CA v1"
3) Det gamla "HSAID-certifikatet" med SHA1 utgivet av "SITHS Type 1 CA v1" (normalt sett ska detta tas bort)

Vi går nu vidare och preparerar våra Access Servers som används av kunder, partners och utvecklare med dessa nya rotcertifikat. Totalt fyra IssuingCA:s.

Notera att Net iD Access är den enda produkt i världen (vad vi vet) som kombinerar en out-of-band lösning för autentisering och signering med stöd för både "filbaserade credentials i appen" med bibehållet stöd för SITHS-kort på Windows, macOS, Linux och iOS.

Helt enkelt av det enkla skälet att vi bejakar att stöd för olika bärare är en viktig fråga när våra kunder ska möta alla sina usecases.

Det är t.ex. därför vi adderar stöd för Yubikeys till både Net iD Enterprise och Net iD Access. Även via NFC!

När vi här skriver NFC så menar vi inte "fusk" i meningen ett simpelt avläsande av nåt serienummer, vi menar full PKI över luften! Det finns de som kallar det "Net iD TrueTap", men det är inte officiellt ännu ;-)

 

Microsoft Edge baserad på Chromium istället för EdgeHTML

Vår gamla artikel om status för olika webbläsares förmåga att hantera certifikat på hårdvarubaserade bärare har blivit helt föråldrad: https://service.secmaker.com/secure/examples/Web_browsers.aspx
Den skulle tydligen uppdateras under senhösten 2013 :-)

Det får bli våren 2020 istället. Men låt oss tills dess kika på den nya Edge-versionen från Microsoft, den som undertill baseras på samma motor som Google Chrome:

 

Det första man frågar sig är om dubbelriktad TLS med certifikat fungerar avseende certifikatvalsdialogen och pindialogen från Net iD Enterprise?

Svar: JA

 

 

Hur är det då med pindialogen från Net iD Enterprise?

Jo, vi slipper nu göra fallback till special-pindialogen som introducerats för UWP-appar som nuvarande Edge och Tieto LifeCare. Det blir helt enkelt den "vanliga" pindialogen:

En annan trevlig sak med den nya Edge är att (just nu, det kan ju ändras) Net iD SSO fungerar. Dvs. har du loggat in i Windows med kortet eller angett pin för någon annan applikation innan du använder nya Edge så slipper du slå pin igen.

 

Men så var det ju det där med pluginen i Net iD Enterprise...

För visst är trist att behöva se meddelanden som dessa: (det är Edge 78, inte Chrome 78)

 

Bakgrunden i korthet är att det aldrig någonsin har funnits en webbläsare som i sig själv har kunnat bidra till att signera/underteckna saker. Alltså utvecklades redan i slutet på 90-talet plugins via NPAPI och/eller ActiveX som adderar denna möjlighet till Internet Explorer, Firefox, Chrome, Safari osv. Problemet är att teknologin som sådan öppnade upp för gräsligheter om pluginens skapare inte var på den goda sidan. Fast även "de goda utvecklarna" kunde förstås drabbas om de hade otur när de tänkte. Google sammanfattade NPAPI såhär:

Alltså: Stödet för denna typ av plugins är numera borta från alla webbläsare utom Internet Explorer 11. Det är en bra sak. Men det är samtidigt en dålig sak för alla de lösningar som finns därute som bygger på just denna form av plugins, t.ex. Flash, Silverlight, Java och förstås: Net iD Enterprise Plugin.

Nån generell standard (och helt färdig) som fungerar i alla webbläsare har vi inte kunnat hitta. Men vi har sett en del försök att skapa lösningar med små lokala proxy-liknande programsnuttar som säger sig lösa det hela. Men inget riktigt bra. Alltså har många sajter "fastnat" i att tvingas kräva Internet Explorer 11. T.ex. SITHS Admin, Efos, Net iD Portal osv osv.

Vi på SecMaker har delvis "löst" det hela genom att kapsla in webbapplikationer som kräver pluginen i en egen historia vi kallar "Net iD Web". Funkar fint, men det är ju inte samma sak som att fritt kunna välja webbläsare...

Vi kikar förstås på ett lovande koncept som kallas "WebExtensions":

https://browserext.github.io/browserext/

https://developer.chrome.com/extensions

https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions

 

Men tillbaka till den nya Edge!

Det Microsoft försöker göra (på gott och ont) är att låta oss "köra IE11 i Edge". Med Edge 77 krävdes tre musklick för att låta en ej fungerande sajt öppnas i en "IE11 i Edge"-flik.

OBS!
Från Edge 78 är denna möjlighet borttagen och ersatt med central konfiguration för att inte slutanvändaren själv ska kunna köra valfri sajt i IE-mode. Det är förstås en säkerhetsfråga. Mer om hur man gör nedan.

 

 

Se här ett par exempel. Notera att det blir en liten IE-ikon framför hänglåset i URL-fältet när Edge kör i IE-mode:

 

Om du vill prova så hämtar du hem nya Edge (ersätter den gamla Edge). Men du måste konfa lite för att kunna prova.

1)
Fixa till din lista över sajter som Edge ska köra i IE-mode. Använd "Enterprise Mode Site List Manager (schema v.2)"

2)
Såhär kan den se ut:

3)
Sätt denna GPO
Du måste först ladda hem adm och adml filerna för Edge: https://docs.microsoft.com/en-us/DeployEdge/edge-ie-mode

4)
Exportera din konfiguration från "Enterprise Mode Site List Manager" till en XML-fil som du placerar på en url som alla användare når (eller på en file share). Sätt sedan denna GPO:

5)
Nu körs just de sajter du konfigurerat helt automatiskt i IE-mode! T.ex. SITHS Admin

 

Funderingar på det ovanstående? Droppa ett mail till Funderingar på det ovanstående? Droppa ett mail till service@secmaker.com !

... och du förresten, nya Edge, dubbelriktad TLS och Net iD Enterprise lirar förstås tillsammans med  Yubikeys :-)

 

Bästa hälsningar,
/Jonas Öholm, SecMaker AB

 

Supportavtal (2019-10-10)

Efter den senaste SITHS-dagen har det dykt upp lite frågor om man behöver supportavtal. Eller om det t.o.m. krävs.

Såhär är det:

Regionerna/landstingen använder Net iD Enterprise för inloggning (och underskrifter) i många olika system/applikationer:
- Windows-inloggningar
- VPN-uppkopplingar (Cisco, Juniper, Microsoft m.fl.)
- Citrix (NetScaler, Storefront osv.)
- Takecare, Cosmic, NCS Cross, Melior, Vas, PMO, Cytodos/ELAS, och många många fler

Dvs. Net iD Enterprise används inte endast för att använda SITHS Admin och SITHS Självadministration

Det finns förstås inget krav på att ha supportavtal för Net iD Enterprise, men det är som med hemförsäkringar, dvs bra att ha om/när något händer. Under åren har regioner/landsting med supportavtal kunnat lägga ärenden direkt till SecMaker och fått hjälp med olika typer av problem som uppstått. Dvs. problem som rör interna system/applikationer/lösningar där man av lätt insedda skäl inte kan ringa Ineras kundtjänst och få hjälp. Dessutom ger supportavtalet rätt att beställa kundunika paketeringar av Net iD Enterprise. De flesta tecknar supportavtal via Telia/Cygate men det finns några exempel på kunder som avropat support på befintliga ramavtal.

Blanda inte samman ovanstående support med rätten att få tillgång till nya versioner. (Vi kallar det underhållsavgift)
Rätten till nya versioner hanteras på nationell nivå i avtalet mellan Inera och Telia. Med SecMaker som underleverantör till Telia.

Exempel 1
"Vi har laddat ner paketet SITHS2701 men har problem med att den IE vi kör i Citrix-sessionen inte kan logga på Cosmic"
=>
Teckna supportavtal för Net iD Enterprise via Telia/Cygate för att kunna få hjälp direkt från SecMaker med Net iD Enterprise kopplat till aktuell Citrix-lösning och Cosmic.

Exempel 2
"Vi har laddat ner paketet SITHS1301 men har problem att skriva HCC till reservkort" =>
a) Kontakta din interna IT-support (om sådan finns) Om de inte kan lösa det =>
b) Kontakta Ineras nationella kundtjänst (kanske det är något känt driftsproblem). Om inte Inera kan lösa det hela =>
c) Nu hamnar ärendet hos Telia/Cygate som undersöker
=> Är det något med själva tjänsten så löser Telia/Cygate det hela. Om inte =>
=> Är det fel i Net iD Enterprise hamnar ärendet på SecMakers bord (inget separat supportavtal krävs av slutkunden)
=> Beror felet på själva kortet slussas ärendet istället till korttillverkaren

 

Inte riktigt samma kioskvältare som när runda hjul uppfanns, men nästan...

Vänner av assymetrisk nyckelteknologi med tillhörande certifikat, vi har något stort att berätta...

Net iD Enterprise har sedan urminnes tider innehållit en CSP. Men åren går och sakta men säker ser man oftare och oftare detta:

CAPI har varit på dekis i många år nu. Men under det senaste året har det börjat dyka upp situationer, dvs. kod från Microsoft, som helt enkelt inte fungerar om din PKI-klient "bara" innehåller en CSP.

Det är därför det är oss en stor glädje att intruducera en ny liten rackare: iidksp.dll

Notera: Det är mer än okej att inte till fullo greppa varför detta är viktigt. Men håll ut. Mer information kommer!

 

 

Net iD Access

Nu finns nya versioner av Net iD Access klara!

§1 - Net iD Access Server, version 2.1
Kostar pengar om man vill ha en egen... (flera landsting har nappat på detta för att kunna upprätthålla "inloggningsautonomi")
Men om man skyr mer skrot i egen hall... jo, Access-ekosystemet utvecklas dagligen. Så håll håll kontakten med SecMaker, rätt vad det är så finns både en eller annan Access Server i molnet...

§2 - Net iD Access-klienterna, version 7.0.3
Fria klienter, men kräver anslutning till lämplig Access Server. (Precis som att appen Citrix Receiver kräver en Citrixserver)

Klienterna hittar du här!

 

Använd inte iOS 11.2/11.2.1/11.2.2 om du använder Tactivo-läsare

I  iOS 11.2.5 är problemet med ramverket ExternalAccessory korrigerat!

Notera att:

Dessa iOS-versioner fungerar inte, och kommer aldrig att fungera, med Tactivo:
11.2 (Build 15C114)
11.2.1 (Build 15C153)
11.2.2 (Bulid 15C202)
Om du kör Access och Tactivo: Uppdatera aldrig iOS på produktionsenheter utan att först kontrollera med din applikationsleverantör, SecMaker eller kortläsarleverantören.
Skicka aldrig ut Tactivo-läsare i din verksamhet utan att först säkerställa att senast tillgängliga firmware är pålagd.

Håll din firmware uppdaterad för Tactivo med hjälp av appen "My Tactivo" och på Android med appen "Tactivo manager"

 

Information om vad denna sajt sparar

Om du loggar in på denna sajt, t.ex. med SITHS-kort, sparas följande information från ditt certifikat:

Inloggningsdatum;Klockslag vid inloggning;SubjectCN;SubjectO;SubjectSerialNumber;SubjectTitel;e-postadress;IssuerCN

T.ex. såhär:
2017-08-18;09:18:55;Jonas Öholm;Inera AB;SE165565594230-11RS;Dataperson;jonas@someplace.net;SITHS Type 1 CA v1

- Denna information används endast för felsökning om något trasslar.
- Informationen används inte för något annat ändamål såsom mailutskick, reklam osv.
- Sajten använder inte permanenta cookies
- Genom att logga in (välja certifikat och ange PIN-kod) samtycker du till att vi sparar ovanstående information i felsökningssyfte
- Har du frågor på detta område så skicka gärna ett mail till service@secmaker.com

 

Net iD Enterprise och Net iD Portal med YubiKey?

Nu fungerar det, läs mer här!

 

Nån ordning på SSL/TLS får det vara i en webbserver!

Vi på SecMaker får inte sällan in supportärenden som handlar om problem med att logga in mot webbapplikationer, eller att vissa inte kan logga in, nån tappar kontakten plötsligt osv. Oftast, men inte alltid, ligger problemet utanför Net iD. När vi då kikar närmare på vilka varianter av SSL/TLS och vilka cipher suites som webbservern ifråga har aktiverade blir vi ibland lite bekymrade. Att t.ex. ha SSLv2 aktivt är extremt obra. Även SSLv3 ska vara avstängt, om inte dina kunder kör t.ex. IE6. Fast, om de gör det ska du ändå stänga av SSLv3 så att IE6-användarna inte kan nå din sajt, låt oss kalla det för en handfast hint om att sluta köra IE6.

Vill du veta mer om TLS så läs denna:
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices

Ta även en titt på nyheterna i TLS 1.3 som snart är färdig standard och lär dyka upp i webbläsarna under 2017:
https://kinsta.com/blog/tls-1-3/

Testa sen din webbserver via: (du bör sikta på att få ett "A". "A+" är lite knepigt att få)
https://www.ssllabs.com/ssltest/

Vill du veta hur allt detta mappar mot olika webbläsare? Kika här:
https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers

 Har du en Apache så är det bara att börja konfigurera:
https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Är din webbserver en IIS så finns information t.ex. här:
https://support.microsoft.com/en-us/kb/245030

Kändes KB245030 knepig så finns ett verktyg här:
https://www.nartac.com/Products/IISCrypto

Nu testar du igen efter att du konfigurerat om:
https://www.ssllabs.com/ssltest/

Det finns även en svensk tjänst som håller ett öga på hur det ser ut bland svenska e-tjänster:
http://www.ssllistan.se

 

Notiser i all korthet

- När folk säger att Microsoft nu har stöd för plugins i Edge så är det en sanning med modifikation. Edge har stöd för "extensions". Vi kan inte se hur det Microsoft exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension.
https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/extensions/api-support/supported-apis/

- När folk säger att Google nu har stöd för plugins i Chrome så är det en sanning med modifikation. Chrome har stöd för "extensions". Vi kan inte se hur det  exponerar skulle kunna låta oss kommunicera med t.ex. en kortläsare och ett kort från en extension. Nu finns förstås PPAPI men det verkar inte riktigt ta oss ända fram till kortet. Dessutom, Mozilla vill inte stödja PPAPI.

- Dessutom, med handen på hjärtat, detta med plugins är minst sagt på dekis. Så om du vill logga in på en webbsida och även kunna signera så kan det vara dags att släppa tanken på dubbelriktad TLS och signaturer med plugin. Varför inte istället använda Net iD Access som stödjer både inloggning och signering (PKCS#7 samt RAW).

 

Alla ska ge ut e-legitimationer!

Läs hela här!

 

Viktigt om W2008R2/W2012 och Citrix. Stäng av Net iD Trace-tjänsten

Läs mer på denna sida.

 

Kortleverantörer: Släpp sargen och kom in i matchen!

Nu råkade det bli en artikel om vikten av att kortleverantörer inte hänger läpp utan att istället deltar i infrastrukturbyggen....

 

Äntligen!

Äntligen finns de till försäljning; kortläsare med flera USB-sladdar! (Två eller fyra)

Kortläsarna är lämpliga t.ex. i receptioner där en person (med ett kort) arbetar omväxlande med två datorer. Utan denna typ av kortläsare måste kortet flyttas mellan de två datorerna och om bytesfrekvensen mellan dem är hög så kommer personen med tiden att drivas till vansinne. Att personalen drivs till vansinne ligger förstås inte i någons intresse.

I direkt samarbete med leverantören av MDR102 och MDR104 har vi fått till stånd en förändring som innebär att kortläsaren INTE försvinner ur enhetshanteraren vid kort ur. Det innebär i sin tur att de flesta pollningsmekanismer som implementerats i webblösningar och journalsystem fungerar som vanligt och från båda datorerna.

 

Inloggning med smarta kort till Office365 och Azure!

Fler och fler kunder lägger lösningar i molnet. Men inloggningen till molnet sker inte sällan med namn och lösen. Det är lite synd då det går utmärkt att logga på t.ex. Office365/Azure med smarta kort. Även med SITHS-kort!!

Kika på filmen som visar det hela live!

 

 

Minidriver eller PKCS#15?

http://www.ayoy.se/index.php/2013/10/minidriver-eller-pkcs15/

 

KB2830477

Update for RemoteApp and Desktop Connections features is available for Windows
http://support.microsoft.com/kb/2830477/en-us

Update 2830477 breaks smartcard reader access for RDP sessions
Windows 7 IT Pro forums - Windows 7 Installation, Setup, and Deployment

 

"Kort ur"-kåseriet

Läs hela här!

 

 

Spara ström är bra, men inte alltid utan bieffekter

När man installerar drivrutiner för olika kortläsare uppmärksammar man sällan att vissa installeras med strömspar PÅ medan andra installeras med strömspar AV.

Det har dock visat sig att strömsparfunktionen kan ställa till med en del märkliga bieffekter i applikationer som pollar efter kort på ett visst sätt. Ta därför för vana att stänga av strömsparfunktionen om du får problem och istället byta till treglasfönster, källsortera eller göra annan kompensatorisk miljöinsats. Under tiden nystar vi i den bakomliggande problematiken.