Mina kommentarer:
QUOTE
Hej!
Jag har nu haft elektroniskt ID kort i några dagar och jag har några kommentarer. De kretsar omkring S/MIME
certifikat och katalogen för dem (LDAP).
1) Det bör läggas till en förklaring i manualen om hur användaren skall göra för att ta bort certifikat från kortet. Givetvis med en stor varning om att man skall vara väldigt försiktig så att man inte tar bort ID-certifikaten. Men S/MIME-certifikat som är lätta att begära måste användaren kunna ta bort. Dessutom kan användarens email-adresser snabbt ändras vilket ytterligare argumenterar för att användaren skall kunna administerara sina certifikat.
2) Användaren bör ges möjlighet att själv bestämma vilka certifikat som läggs i LDAP-katalogen. Användaren bör också ges möjlighet att ta bort sina uppgifter från katalogen. Anledningen till detta är bland annat risken för oönskade email, då speciellt spam. Givetvis skall användaren då också kunna lägga in sitt certifikat i katalogen igen.
En annan anledning är om användaren av misstag begär certifikat som han inte vill ha eller om det på grund av tekniska problem blir så att användaren inte lyckas ta emot certifikatet. Jag råkade ut för misslyckade nedladdningar (det funkar uppenbarligen inte att använda webmail för att ladda hem certifikaten). Men trots att certifikaten inte laddades ned på kortet så hamnade de i LDAP-katalogen.
3) LDAP-katalogen bör inte - som den är idag - vara vidöppen för alla att kunna söka i. Återigen är det en fråga om spam-skydd. Jag kan till exempel söka på "Email som innehåller @" och får då så många adresser som klienten/servern tillåter. Det var över 100 adresser. Om adress-samlare upptäcker detta så kommer många adresser att hamna i orätta händer.
4) Man bör kunna nå revokeringlistan via SSL och inte (enbart) via öppen okrypterad TCP som idag.
5) Man bör även kunna nå revokeringslistan via en HTTP-server.
mvh
Michael Lundahl
Jag har nu haft elektroniskt ID kort i några dagar och jag har några kommentarer. De kretsar omkring S/MIME
certifikat och katalogen för dem (LDAP).
1) Det bör läggas till en förklaring i manualen om hur användaren skall göra för att ta bort certifikat från kortet. Givetvis med en stor varning om att man skall vara väldigt försiktig så att man inte tar bort ID-certifikaten. Men S/MIME-certifikat som är lätta att begära måste användaren kunna ta bort. Dessutom kan användarens email-adresser snabbt ändras vilket ytterligare argumenterar för att användaren skall kunna administerara sina certifikat.
2) Användaren bör ges möjlighet att själv bestämma vilka certifikat som läggs i LDAP-katalogen. Användaren bör också ges möjlighet att ta bort sina uppgifter från katalogen. Anledningen till detta är bland annat risken för oönskade email, då speciellt spam. Givetvis skall användaren då också kunna lägga in sitt certifikat i katalogen igen.
En annan anledning är om användaren av misstag begär certifikat som han inte vill ha eller om det på grund av tekniska problem blir så att användaren inte lyckas ta emot certifikatet. Jag råkade ut för misslyckade nedladdningar (det funkar uppenbarligen inte att använda webmail för att ladda hem certifikaten). Men trots att certifikaten inte laddades ned på kortet så hamnade de i LDAP-katalogen.
3) LDAP-katalogen bör inte - som den är idag - vara vidöppen för alla att kunna söka i. Återigen är det en fråga om spam-skydd. Jag kan till exempel söka på "Email som innehåller @" och får då så många adresser som klienten/servern tillåter. Det var över 100 adresser. Om adress-samlare upptäcker detta så kommer många adresser att hamna i orätta händer.
4) Man bör kunna nå revokeringlistan via SSL och inte (enbart) via öppen okrypterad TCP som idag.
5) Man bör även kunna nå revokeringslistan via en HTTP-server.
mvh
Michael Lundahl
Svaret från Posten:
QUOTE
Hej!
Svar på kommentarer:
1. Programvaran som vi använder "SmartTrust Personal" är en generell programvara som inte är utvecklad av Posten. Posten är dock återförsäljare av SmartTrust Personal och kan därmed påverka inriktining på utveckling och innehåll. I det här fallet kan vi föreslå för en förändring av manualen eller lägga upp en FAQ på vår webb. Det mest tilltalande verkar vara att detta ska ingå i manualen. Posten ska vidarebefodra din kommentar till programvaruutvecklaren.
2,3. Posten håller på att se över katalogfunktionen och tar tacksamt emot dina synpunkter. Posten vill inte vara bidragande till spam vilket betyder att katalogen inte kommer att ha sin nuvarande form i framtiden.
4. Postens katalog svarar på SSL på port 636.
5. Det ligger i Posten utvecklingsplan att revokeringslista ska kunna nås via HTTP.
Mvh
NN
eSäkerhet Support
Svar på kommentarer:
1. Programvaran som vi använder "SmartTrust Personal" är en generell programvara som inte är utvecklad av Posten. Posten är dock återförsäljare av SmartTrust Personal och kan därmed påverka inriktining på utveckling och innehåll. I det här fallet kan vi föreslå för en förändring av manualen eller lägga upp en FAQ på vår webb. Det mest tilltalande verkar vara att detta ska ingå i manualen. Posten ska vidarebefodra din kommentar till programvaruutvecklaren.
2,3. Posten håller på att se över katalogfunktionen och tar tacksamt emot dina synpunkter. Posten vill inte vara bidragande till spam vilket betyder att katalogen inte kommer att ha sin nuvarande form i framtiden.
4. Postens katalog svarar på SSL på port 636.
5. Det ligger i Posten utvecklingsplan att revokeringslista ska kunna nås via HTTP.
Mvh
NN
eSäkerhet Support
De var tillmötesgående på alla punkter. Mycket upplyftande tycker jag.
/J