Net iD Service
 

service.secmaker.com

Sidan uppdaterad: 2021-06-11

 

macOS 11.0.1 och 11.1 (Big Sur)

Fram till och med macOS 10.15.7 (Catalina) byggde Apple sitt stöd för kortläsare och chipbaserade bärare på:
a) En egen variant på pcsc-lite (inte längre en fork av pcsc-lite)
b) Tokend-moduler som gav själva stödet för chipbaserade bärare

Men med macOS 11 så ändras spelreglerna:
a) Apples egen variant av pcsc-lite används inte för webbläsarnas kommunikation med kortläsare/kort (men finns kvar)
b) Tokend-moduler kan inte användas, nu är det CryptoTokenKit som gäller och undertill ett helt nytt slags kortläsarstöd

Totalt sett så fungerar macOS med CryptoTokenKit väl, men det finns några viktiga skillnade jämfört med Tokend:
a) Vi ser ingenting om vem som anropar (Safari, Edge, Chrome osv.) Allt döljs av CTK-ramverket. (behöver inte vara ett problem)
b) macOS kan inte hantera "sekundära certifikat", dvs. att ett nyckelpar kan användas för mer än ett enda certifikat. (lite synd)
c) CryptoTokenKit är noggrannare med vilka ciphersuites som kan användas (vilket i grunden är en bra sak) vilket gör att webbtjänster man tidigare kunnat logga in på plötsligt kan ge: ERR_SSL_CLIENT_AUTH_NO_COMMON_ALGORITHMS
d) Man kan inte längre se kortet via applikationen "Nyckelhanteraren". Nu måste du istället kika i applikationen "Systeminformation" under Programvara - SmartCards.
e) Missa inte att addera relevanta rootcertifikat och IssuingCA:s för att d) ska visa rätt.

Punkt b) ovan kan vara lite problematisk för vissa användare. Av de 3 certifikatsparen på ett SITHS-kort kan macOS hantera max ett par. Dvs. vi tvingas lura CryptoTokenKit att få tillgång det mest använda certifikatsparet, i praktiken paret med HSAID i SubejctSerialNumber. Det innebär att paret utfärdat av Telia inte går att använda. Inte heller SITHS-paret med personnummer i SubjectSerialNumber.

Läs mer här!

Men med detta sagt så fungerar macOS 11.x med Net iD Client 1.0!

(du kan alltså inte använda Net iD Enterprise med Big Sur)

 

 

Sprita SITHS-kort?

Vi har idag (2020-03-27) fått frågan om man kan sprita SITHS-korten.

§1
SecMaker har testat att dränka ett SITHS-kort i handsprit, torka av och testa om Net iD kan läsa in certifikaten => Fungerar!

§2
Ovanstående innebär inte att SecMaker vet hur många spritningar korten tål, men, vi har frågat korttillverkaren och fått följande svar:

§3
Korttillverkarens svar:

Våra kort testas mot ISO/IEC 10373-1 test standarden.
Den inkluderar ”Resistance to chemicals” tester. Bland annat testas kortet genom att sänkas ned:
- 1 minut i en 60% alkohollösning
- 1 minut i etylenglykol
- 1 minut i en saltlösning
- 1 minut i en 5% ättiksyralösning

Korten klarar det utan visuella eller funktionella konsekvenser. Vår kvalitetslabbchef som säger att korten inte bör påverkas av att rengöras med sprit, varken PKI-chippet, RFID-funktionen, magnetbandet eller visuellt.

Det som kan hända över tid är att kortytan blir mer matt och något blekare. Dock påverkas inte själva uppgifterna på korten såsom bild, namnuppgifter och logo då de är lasergraverade.

 

 

Microsoft Edge baserad på Chromium istället för EdgeHTML

Låt oss kika på den nya Edge-versionen från Microsoft, den som undertill baseras på samma motor som Google Chrome:

 

Det första man frågar sig är om dubbelriktad TLS med certifikat fungerar avseende certifikatvalsdialogen och pindialogen från Net iD Enterprise?

Svar: JA

 

 

Hur är det då med pindialogen från Net iD Enterprise?

Jo, vi slipper nu göra fallback till special-pindialogen som introducerats för UWP-appar som nuvarande Edge och Tieto LifeCare. Det blir helt enkelt den "vanliga" pindialogen:

En annan trevlig sak med den nya Edge är att (just nu, det kan ju ändras) Net iD SSO fungerar. Dvs. har du loggat in i Windows med kortet eller angett pin för någon annan applikation innan du använder nya Edge så slipper du slå pin igen.

 

Men så var det ju det där med pluginen i Net iD Enterprise...

För visst är trist att behöva se meddelanden som dessa: (det är Edge 78, inte Chrome 78)

 

Bakgrunden i korthet är att det aldrig någonsin har funnits en webbläsare som i sig själv har kunnat bidra till att signera/underteckna saker. Alltså utvecklades redan i slutet på 90-talet plugins via NPAPI och/eller ActiveX som adderar denna möjlighet till Internet Explorer, Firefox, Chrome, Safari osv. Problemet är att teknologin som sådan öppnade upp för gräsligheter om pluginens skapare inte var på den goda sidan. Fast även "de goda utvecklarna" kunde förstås drabbas om de hade otur när de tänkte. Google sammanfattade NPAPI såhär:

Alltså: Stödet för denna typ av plugins är numera borta från alla webbläsare utom Internet Explorer 11. Det är en bra sak. Men det är samtidigt en dålig sak för alla de lösningar som finns därute som bygger på just denna form av plugins, t.ex. Flash, Silverlight, Java och förstås: Net iD Enterprise Plugin.

Nån generell standard (och helt färdig) som fungerar i alla webbläsare har vi inte kunnat hitta. Men vi har sett en del försök att skapa lösningar med små lokala proxy-liknande programsnuttar som säger sig lösa det hela. Men inget riktigt bra. Alltså har många sajter "fastnat" i att tvingas kräva Internet Explorer 11. T.ex. SITHS Admin, Efos, Net iD Portal osv osv.

Vi på SecMaker har delvis "löst" det hela genom att kapsla in webbapplikationer som kräver pluginen i en egen historia vi kallar "Net iD Web". Funkar fint, men det är ju inte samma sak som att fritt kunna välja webbläsare...

Vi kikar förstås på ett lovande koncept som kallas "WebExtensions":

https://browserext.github.io/browserext/

https://developer.chrome.com/extensions

https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions

 

Men tillbaka till den nya Edge!

Det Microsoft försöker göra (på gott och ont) är att låta oss "köra IE11 i Edge". Med Edge 77 krävdes tre musklick för att låta en ej fungerande sajt öppnas i en "IE11 i Edge"-flik.

OBS!
Från Edge 78 är denna möjlighet borttagen och ersatt med central konfiguration för att inte slutanvändaren själv ska kunna köra valfri sajt i IE-mode. Det är förstås en säkerhetsfråga. Mer om hur man gör nedan.

 

 

Se här ett par exempel. Notera att det blir en liten IE-ikon framför hänglåset i URL-fältet när Edge kör i IE-mode:

 

Om du vill prova så hämtar du hem nya Edge (ersätter den gamla Edge). Men du måste konfa lite för att kunna prova.

1)
Fixa till din lista över sajter som Edge ska köra i IE-mode. Använd "Enterprise Mode Site List Manager (schema v.2)"

2)
Såhär kan den se ut:

3)
Sätt denna GPO
Du måste först ladda hem adm och adml filerna för Edge: https://docs.microsoft.com/en-us/DeployEdge/edge-ie-mode

4)
Exportera din konfiguration från "Enterprise Mode Site List Manager" till en XML-fil som du placerar på en url som alla användare når (eller på en file share). Sätt sedan denna GPO:

5)
Nu körs just de sajter du konfigurerat helt automatiskt i IE-mode! T.ex. SITHS Admin

 

Funderingar på det ovanstående? Droppa ett mail till Funderingar på det ovanstående? Droppa ett mail till service@secmaker.com !

... och du förresten, nya Edge, dubbelriktad TLS och Net iD Enterprise lirar förstås tillsammans med  Yubikeys :-)

 

 

Supportavtal (2019-10-10)

Efter den senaste SITHS-dagen har det dykt upp lite frågor om man behöver supportavtal. Eller om det t.o.m. krävs.

Såhär är det:

Regionerna/landstingen använder Net iD Enterprise för inloggning (och underskrifter) i många olika system/applikationer:
- Windows-inloggningar
- VPN-uppkopplingar (Cisco, Juniper, Microsoft m.fl.)
- Citrix (NetScaler, Storefront osv.)
- Takecare, Cosmic, NCS Cross, Melior, Vas, PMO, Cytodos/ELAS, och många många fler

Dvs. Net iD Enterprise används inte endast för att använda SITHS Admin och SITHS Självadministration

Det finns förstås inget krav på att ha supportavtal för Net iD Enterprise, men det är som med hemförsäkringar, dvs bra att ha om/när något händer. Under åren har regioner/landsting med supportavtal kunnat lägga ärenden direkt till SecMaker och fått hjälp med olika typer av problem som uppstått. Dvs. problem som rör interna system/applikationer/lösningar där man av lätt insedda skäl inte kan ringa Ineras kundtjänst och få hjälp. Dessutom ger supportavtalet rätt att beställa kundunika paketeringar av Net iD Enterprise. De flesta tecknar supportavtal via Telia/Cygate men det finns några exempel på kunder som avropat support på befintliga ramavtal.

Blanda inte samman ovanstående support med rätten att få tillgång till nya versioner. (Vi kallar det underhållsavgift)
Rätten till nya versioner hanteras på nationell nivå i avtalet mellan Inera och Telia. Med SecMaker som underleverantör till Telia.

Exempel 1
"Vi har laddat ner paketet SITHS2701 men har problem med att den IE vi kör i Citrix-sessionen inte kan logga på Cosmic"
=>
Teckna supportavtal för Net iD Enterprise via Telia/Cygate för att kunna få hjälp direkt från SecMaker med Net iD Enterprise kopplat till aktuell Citrix-lösning och Cosmic.

Exempel 2
"Vi har laddat ner paketet SITHS1301 men har problem att skriva HCC till reservkort" =>
a) Kontakta din interna IT-support (om sådan finns) Om de inte kan lösa det =>
b) Kontakta Ineras nationella kundtjänst (kanske det är något känt driftsproblem). Om inte Inera kan lösa det hela =>
c) Nu hamnar ärendet hos Telia/Cygate som undersöker
=> Är det något med själva tjänsten så löser Telia/Cygate det hela. Om inte =>
=> Är det fel i Net iD Enterprise hamnar ärendet på SecMakers bord (inget separat supportavtal krävs av slutkunden)
=> Beror felet på själva kortet slussas ärendet istället till korttillverkaren

 

Inte riktigt samma kioskvältare som när runda hjul uppfanns, men nästan...

Vänner av assymetrisk nyckelteknologi med tillhörande certifikat, vi har något stort att berätta...

Net iD Enterprise har sedan urminnes tider innehållit en CSP. Men åren går och sakta men säker ser man oftare och oftare detta:

CAPI har varit på dekis i många år nu. Men under det senaste året har det börjat dyka upp situationer, dvs. kod från Microsoft, som helt enkelt inte fungerar om din PKI-klient "bara" innehåller en CSP.

Det är därför det är oss en stor glädje att intruducera en ny liten rackare: iidksp.dll

Notera: Det är mer än okej att inte till fullo greppa varför detta är viktigt. Men håll ut. Mer information kommer!

 

 

Använd inte iOS 11.2/11.2.1/11.2.2 om du använder Tactivo-läsare

I  iOS 11.2.5 är problemet med ramverket ExternalAccessory korrigerat! I  iOS 11.2.5 är problemet med ramverket ExternalAccessory korrigerat!

Notera att:

Dessa iOS-versioner fungerar inte, och kommer aldrig att fungera, med Tactivo:
11.2 (Build 15C114)
11.2.1 (Build 15C153)
11.2.2 (Bulid 15C202)
Om du kör Access och Tactivo: Uppdatera aldrig iOS på produktionsenheter utan att först kontrollera med din applikationsleverantör, SecMaker eller kortläsarleverantören.
Skicka aldrig ut Tactivo-läsare i din verksamhet utan att först säkerställa att senast tillgängliga firmware är pålagd.

 

 

Information om vad denna sajt sparar

Om du loggar in på denna sajt, t.ex. med SITHS-kort, sparas följande information från ditt certifikat:.ex. med SITHS-kort, sparas följande information från ditt certifikat:

Inloggningsdatum;Klockslag vid inloggning;SubjectCN;SubjectO;SubjectSerialNumber;SubjectTitel;e-postadress;IssuerCN

T.ex. såhär:
2017-08-18;09:18:55;Jonas Öholm;Inera AB;SE165565594230-11RS;Dataperson;jonas@someplace.net;SITHS Type 1 CA v1

- Denna information används endast för felsökning om något trasslar.
- Informationen används inte för något annat ändamål såsom mailutskick, reklam osv.
- Sajten använder inte permanenta cookies
- Genom att logga in (välja certifikat och ange PIN-kod) samtycker du till att - Har du frågor på detta område så skicka gärna ett mail till service@secmaker.com

 

 

Net iD Enterprise och Net iD Portal med YubiKey?

Nu fungerar det, !

 

 

Nån ordning på SSL/TLS får det vara i en webbserver!

Vi på SecMaker får inte sällan in supportärenden som handlar om problem med att logga in mot webbapplikationer, eller att vissa inte kan logga in, nån tappar kontakten plötsligt osv. Oftast, men inte alltid, ligger problemet utanför Net iD. När vi då kikar närmare på vilka varianter av SSL/TLS och vilka cipher suites som webbservern ifråga har aktiverade blir vi ibland lite bekymrade. Att t.ex. ha SSLv2 aktivt är extremt obra. Även SSLv3 ska vara avstängt, om inte dina kunder kör t.ex. IE6. Fast, om de gör det ska du ändå stänga av SSLv3 så att IE6-användarna inte kan nå din sajt, låt oss kalla det för en handfast hint om att sluta köra IE6.in sajt, låt oss kalla det för en handfast hint om att sluta köra IE6.

Vill du veta mer om TLS så läs denna:
https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices

Ta även en titt på nyheterna i TLS 1.3 som snart är färdig standard och lär dyka upp i webbläsarna under 2017:
https://kinsta.com/blog/tls-1-3/

Testa sen din webbserver via: (du bör sikta på att få ett "A". "A+" är lite knepigt att få)
https://www.ssllabs.com/ssltest/

Vill du veta hur allt detta mappar mot olika webbläsare? Kika här:
https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers

 Har du en Apache så är det bara att börja konfigurera:
https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html

Är din webbserver en IIS så finns information t.ex. här:
https://support.microsoft.com/en-us/kb/245030

Kändes KB245030 knepig så finns ett verktyg här:
https://www.nartac.com/Products/IISCrypto

Nu testar du igen efter att du konfigurerat om:
https://www.ssllabs.com/ssltest/

Det finns även en svensk tjänst som håller ett öga på hur det ser ut bland svenshttp://www.ssllistan.se

 

 

Alla ska ge ut e-legitimationer!

Läs hela här!

 

 

Viktigt om W2008R2/W2012 och Citrix. Stäng av Net iD Trace-tjänsten

Läs mer på .

 

 

Kortleverantörer: Släpp sargen och kom in i matchen!

Nu råkade det bli en om vikten av att kortleverantörer inte hänger läpp utan att istället deltar i infrastrukturbyggen....

 

 

Äntligen!

Äntligen finns de till försäljning; kortläsare med flera USB-sladdar! (Två eller fyra)e till försäljning; kortläsare med flera USB-sladdar! (Två eller fyra)

Kortläsarna är lämpliga t.ex. i receptioner där en person (med ett kort) arbetar omväxlande med två datorer. Utan denna typ av kortläsare måste kortet flyttas mellan de två datorerna och om bytesfrekvensen mellan dem är hög så kommer personen med tiden att drivas till vansinne. Att personalen drivs till vansinne ligger förstås inte i någons intresse.

 

 

Minidriver eller PKCS#15?

Minidriver eller PKCS#15?

 

 

"Kort ur"-kåseriet

Läs hela

Läs hela här!

 

 

Spara ström är bra, men inte alltid utan bieffekter

När man installerar drivrutiner för olika kortläsare uppmärksammar man sällan att vissa installeras med strömspar PÅ medan andra installeras med strömspar AV.

Det har dock visat sig att strömsparfunktionen kan ställa till med en del märkliga bieffekter i applikationer som pollar efter kort på ett visst sätt. Ta därför för vana att stänga av strömsparfunktionen om du får problem och istället byta till treglasfönster, källsortera eller göra annan kompensatorisk miljöinsats. Under tiden nystar vi i den bakomliggande problematiken.