Et tre år gammelt link på SKAT's hjemmeside udløste fredag en falsk certifikatfejl, der viser sig i Internet Explorer 7 og Firefox 3.
Den tilsyneladende fejl ligger i linket til TastSelv-bestillingen, der fejlagtigt henviste til domænet toldskat.dk i stedet for skat.dk, der blev indført i 2005.
Skat begyndte at reparere linkfejlen fredag formiddag, efter Computerworld henvendte sig for at høre om de manglende sikkerhedscertifikater.
I den mellemliggende toårige periode siden lanceringen af Internet Explorer 7 i oktober 2006 har fejlmeddelelsen om certifikatfejl på Skats hjemmeside tilsyneladende ikke bidt på de op mod ti danske virksomheder, der dagligt forsøger at bestille en TastSelv-kode.
De tilsammen godt 6.000 virksomheder har nemlig klikket uden om fejlmeddelelsen og bestilt en TastSelv-kode trods advarsler om et udløbet sikkerhedscertifikat.
"Sagen drejer sig kun om et forkert link, fordi vores certifikat udløber i oktober 2009. Men jeg er fuldstændig uforstående over for, at ingen virksomheder har meldt certifikat-fejlen til os. Det er ret vildt," siger kontorchef Johnni E. Mandrup Jensen fra Skats it-drift- og forvaltningscenter.
Han oplyser, at linkfejlen ikke kunne ses i Internet Explorer 6, som Skat selv kører med som standard, men kun bliver udløst i de seneste browsere med nye sikkerhedsfunktioner.
"Hvis vi havde haft Internet Explorer 7, så havde vores testere givetvis selv opdaget fejlen noget tidligere," lyder Johnni E. Mandrup Jensen forklaring på, at link-fejlen har kunnet overleve i de seneste år.
Certifikat-henvendelser er en borgerpligt
Direktør Peter kruse fra sikkerhedsfirmaet finder det yderst betænkeligt, at en certifikatfejl kan overleve i to år, hvor brugerne har kunnet se den via Internet Explorer 7 eller Firefox 3.
"Det er problematisk, at Skat ikke har opdaget fejlen, men også meget mærkeligt, at virksomhederne ikke reagerer på en certifikat-fejl. Det burde være en borgerpligt at rapportere den slags fejl," siger han.
Han understreger, at når firmaerne bestiller en TastSelv-kode er det ret harmløst, at certifikatet ikke spiller.
Manglende certifikater åbner for phishing
Men på andre undersider kunne det få katastrofale følger.
Det skyldes, at virksomheder og privatpersoner risikerer at blive udsat for phishing-angreb, hvis de ikke er opmærksomme på fejlmeddelelser fra sikkerhedscertifikater.
"Hvis man spammer folk med en adresse, der hedder skat.fupskat.dk, så ville man få samme certifikatfejl, og virksomhederne ville måske ikke reagere, fordi de var vant til certifikatfejlen."
"Når Skats certifikat peger på det forkerte domæne, så er det i realiteten intet værd, og brugerne får ingen sikkerhed for, at de overhovedet er inde på Skats hjemmeside," uddyber Peter kruse.
