Hvis man mandag forsøger at komme ind på den nye offentlige sikkerhedsordning MitID, bliver man mødt af en kæmpe advarsel.
'Din forbindelse er ikke privat. Brugere med ondsindede hensigter kan forsøge at stjæle dine oplysninger fra mitid.dk,' lyder det.
Og sådan har det været i timevis med tjenesten, der er sat i verden for at afløse NemID og er afgørende for adgang til tjenester som netbank, sundhed.dk, e-Boks og en række andet kritisk, digital infrastruktur.
Det er ikke dig, der har begået en fejl, men i stedet selskabet bag MitID, der har begået en kæmpe brøler.
Det fortæller en af Danmarks førende online sikkerhedseksperter Peter Kruse fra CSIS Security Group til B.T.
»Det er alle, der besøger mitid.dk, som bliver mødt af den her besked. Det er sitets certifikat, som ikke længere er gyldigt,« siger Peter Kruse og uddyber, hvorfor det er et problem:
»Certifikatet bekræfter, at det er et gyldigt site. Uden det kan man ikke validere, hvem der rent faktisk står bag sitet. Om ejeren er den, som de udgiver sig for at være,« siger Peter Kruse.
Det er et potentielt kæmpeproblem, forklarer han.
Ikke kun fordi man dermed har svært ved at tilgå den nye milliarddyre sikkerhedsløsning, der er sat i verden for at afløse NemID, men man kan uden certifikatet ikke vide, om det ret beset er svindlere, der forsøger at lokke personnummer eller kortoplysninger ud af brugerne.
»Det giver driftforstyrrelser – potentielt også med appen. Det er det ene problem. Men det andet er, at det skaber utryghed om en tjeneste, som netop skal skabe tryghed. I princippet kan nogen jo have overtaget mitid.dk og forsøge at stjæle personlige oplysninger,« siger Peter Kruse.
Han forklarer, at sådan en brøler, som det vi ser med mitid.dk, er noget, som it-kriminelle drømmer om.
Det kan nemlig være med til at hjælpe dem i deres kriminelle forehavender.
»Hvis en kriminel eksempelvis har oprettet en hjemmeside, der hedder midtid.dk, i håb om at få folk fra mitid.dk over for at høste deres data, så er det her jo fantastisk. For på et falsk site vil man netop møde en meddelelse om, at forbindelsen ikke er privat. Men når man møder samme meddelelse på mitid.dk, så tror folk, at der ikke er problemer næste gang, de møder sådan en besked,« siger Peter Kruse.
Normalt er det at opdatere sit certifikat noget, som tager omkring en time. Og derfor er det ikke noget, som folk bag netløsninger har problemer med, forklarer Peter Kruse.
»Hvis man er lidt skarp, så kan man opdatere sit certifikat på en time. Det er en helt almindelig proces. Og så gælder det i op til et år. MitIDs seneste certifikat, der netop er udløbet, var på to år.«
Normalt er en opdatering af en hjemmesides certifikat noget, virksomheden bag har sikret sig i god tid. Og det bør professionelle virksomheder også gøre.
Derfor kan selskabet bag MitID ikke være helt tilfreds med sig selv.
»Det er pinligt det her. Det er en løsning til mange milliarder, og så laver de sådan en fejl. Netop MitID burde have ekstra fokus på sådan noget. De bør have enormt røde ører,« siger Peter Kruse.
Mandag eftermiddag blev problemet med MitID løst, lyder det fra Digitaliseringsstyrelsen. Og her mener man ikke, at der er generelle problemer, lyder svaret.
»Nogle borgere, som forsøger at besøge hjemmesiden MitID.dk, bliver i øjeblikket mødt af en advarsel i deres browser. Fejlen skyldes, at et certifikat er udløbet, som følge af en beklagelig fejl i overdragelsen af domænet MitID.dk fra Statens IT til Nets.«
»Sikkerheden på sitet er ikke kompromitteret, og selve MitID-løsningen virker helt, som den skal. Det er kun på hjemmesiden, at man kan opleve denne midlertidige fejl, og borgere kan således fortsat bruge MitID til at logge på offentlige og private selvbetjeningsløsninger.«