Проблемы новой версии сайта reg.gov.kz
07.04.2017
Единый Регистратор АО «Национальные информационные технологии» для государственных органов и образовательных учреждений Республики Казахстан запустил новую версию сайта reg.gov.kz. При посещении новой версии сайта пользователи получали предупреждение о недоверенном соединении. Специалисты ЦАРКА попробовали определить причины такого поведения браузеров.
Сразу же бросается в глаза красный значок ненадежного SSL-соединения. Для проверки был использован инструментарий от компании SSLlabs. По результатам сканирования ресурс reg.gov.kz получил низший рейтинг F. Основной причиной такой оценки стала возможность проведения атак POODLE и OpenSSL Padding Oracle vulnerability (CVE-2016-2107), а соответственно и использование устаревших и уязвимых протоколов SSL v.3. Кроме того сертификат, выпущенный НУЦ считается недоверенным, так как «сертификат его издателя неизвестен» Помимо откровенных уязвимостей, рейтинг понижен также из-за неверной конфигурации сервера, например неверное использование RC4 шифра, отсутствие цепочки сертификатов и Forward Secrecy. Это не первая ошибка системных администраторов веб-ресурсов АО "НИТ", имеющих весьма критический уровень риска. Напомним, что месяцем ранее, в новом SSL сертификате egov.kz от 3 марта в поле Subject Alternative Names забыли внести сам домен egov.kz, из-за этого браузеры пользователей портала "Электронного правительства" также выдавали предупреждающие сообщения. По факту была допущена элементарная техническая ошибка в DNS-имени сайта, которое было прописано как *.egov.kz. В прошлом году, Центром анализа и расследования кибератак также был выявлен целый ряд уязвимостей как на портале "Электронного правительства", так и на сайте регистратора доменных имен, в том числе - так называемая blackout-уязвимость, которая позволила бы злоумышленникам удалить доменные имена второго уровня - gov.kz и edu.kz.