eZdravie malo 4 dni exspirovaný certifikát, NCZI sa k incidentu nevyjadruje

Značky: e-governmentSlovensko

DSL.sk, 26.9.2025

Jedna z domén používaných systémom eZdravie, štátneho informačného systému pre fungovanie celého zdravotníctva na Slovensku, mala nasadený exspirovaný SSL / TLS certifikát až približne štyri dni.

Na exspiráciu certifikátu pre doménu ppc.infra.npz.sk sme upozornili v tomto článku. Nasadený certifikát exspiroval minulý štvrtok 18. septembra o 10:37.

Nie je jasné, ktorým všetkým službám a softvérom to spôsobovalo problémy, podľa informácií čitateľa z prostredia poskytovateľov zdravotnej starostlivosti ale kvôli tomu nefungovalo minimálne použitie elektronického občianskeho preukazu na potvrdenie dohody s lekárom v rámci funkčnosti eDohody v dvoch bežne používaných ambulantných informačných systémoch.

Podľa testu čitateľa sa softvér pri využívaní API pripája na doménu ppc.infra.npz.sk na štandardný HTTPS port 443. Na serveroch pre ppc.infra.npz.sk na porte 443 pri prístupe na túto doménu bol nasadený exspirovaný certifikát ešte aj ráno v pondelok 22. septembra a vymenený bol následne po približne štyroch dňoch od jeho exspirácie.

Nie je jasné, aké presne API sa pri tejto funkčnosti používa a či táto funkčnosť nefungovala vo všetkých bežne používaných softvéroch. Napriek tomu, že organizácia NCZI prevádzkujúca eZdravie tento týždeň v stručnom stanovisku pre DSL.sk potvrdila ďalší výpadok eZdravia tento pondelok, na opakované otázky k incidentu s exspirovaným certifikátom vôbec nereagovala.

Niektorým typom výpadkov informačných systémov spôsobovaných nepredvídateľnými problémami, s hardvérom alebo aj kvôli chybám v softvéri, môže byť náročné alebo nákladné predchádzať. Nefunkčnosť systému kvôli exspirovanému serverovému certifikátu samozrejme nie je ale žiadnym nepredvídateľným problémom a je naopak spôsobená samotným prevádzkovateľom, ktorý nevymení certifikát s blížiacou sa exspiráciou prípadne ho dokonca nechá nasadený aj dlhší čas po exspirácii.

Navyše certifikát pre ppc.infra.npz.sk je vydaný certifikačnou autoritou samotnej organizácie NCZI, nový certifikát si tak zrejme vie vydať aj sama. Prečo bol vymenený až za štyri dni, nie je známe.


Najnovšie články:



Diskusia:

Zavolaj mi, keď bude lepšie Od: lokti brada | Pridané: 26.9.2025 13:15 Možno nevedia kde je sever Odpovedať Známka: 10.0 Hodnotiť:

diplomacia všetkých svetových strán Od: radodajka | Pridané: 26.9.2025 13:17 Nemôžeme sa orientovať len na sever. To by bolo vidno ako sme mimo. Odpovedať Známka: 10.0 Hodnotiť:

Re: diplomacia všetkých svetových strán Od: Jaaasom | Pridané: 26.9.2025 17:34 Áno, treba sa orientovať na všetky štyri svetové strany. Alebo aj na šesť, aj hore a dole. Odpovedať Známka: 7.6 Hodnotiť:

Re: diplomacia všetkých svetových strán Od: robto na figcu | Pridané: 27.9.2025 15:14 musime zmiasť spojencov, aby nevideli naše babráctvo a nezistili, že nestíhame udržať krok. Odpovedať Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od: asfsddsfds | Pridané: 26.9.2025 13:58 skuste mat 4 dni nezaplatene zdravotne odvody, hned najdu aj ten certifikat aby vyrubili pokuty a sankcie a penale a uroky.. Odpovedať Známka: 10.0 Hodnotiť:

šéf SIS Gašpar za nepriznané luxusné auto nedostane pokutu Od: ani nepríde o funkciu | Pridané: 27.9.2025 15:11 My sme Páni, a Páni nemusia vysvetlovať. Je to vec slušnosti. My jadzdíme na Dodge Challenger SRT Hellcat a odvody platia za nás. Odpovedať Známka: 7.1 Hodnotiť:

Re: šéf SIS Gašpar za nepriznané luxusné auto nedostane pokutu Od: fmkvkn | Pridané: 28.9.2025 8:39 A tak je to správne. Ľudia, ktorí sa starajú o chod štátu by mali mať nejaké provízie a celkovo sa mať lepšie. Kecať dokáže každý tupelón, ale nech si to pán vyzkouší! Odpovedať Hodnotiť:

Re: šéf SIS Gašpar za nepriznané luxusné auto nedostane pokutu Od: Ole dezole | Pridané: 28.9.2025 12:20 Pumpovanie penazi do dubaja a pad volnym padom zas az taka starost nie je. Odpovedať Známka: 10.0 Hodnotiť:

Re: šéf SIS Gašpar za nepriznané luxusné auto nedostane pokutu Od reg.: andin | Pridané: 29.9.2025 15:58 Este tak mat tych ludi, co by sa starali o chod statu. Ja vidim len pijavice prisate na statne cecky. Odpovedať Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od: gdfgfd | Pridané: 26.9.2025 13:59 oni totiz nevedia, ani kde je seRver Odpovedať Známka: 10.0 Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od: Berg | Pridané: 26.9.2025 16:04 Maju najlepsieho manazera kybernetickej bezpecnosti. Oni nie ze nevedia, kde je server. Oni ani nevedia, kde je WC. Odpovedať Známka: 10.0 Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od: XMen | Pridané: 26.9.2025 14:53 Alebo kde je server. Odpovedať Známka: 10.0 Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od reg.: Pjetro de | Pridané: 26.9.2025 20:27 server nasli este v ten den aj fyzicky medzi ktorymi ESXi rackmi VDI vie migrovat a na ktorom konci serverovne, rovnako nasli aj VM vo vmware web UI ale potom bol problem kto a ako cert vytvori/vyda nasledne bol problem kde ten cert "strčiť" Odpovedať Známka: 10.0 Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od: Berg | Pridané: 28.9.2025 7:42 Hladali 5,25" floppynu. Odpovedať Hodnotiť:

Re: Zavolaj mi, keď bude lepšie Od: ondro6841566416 | Pridané: 30.9.2025 9:25 možno nevedia kde je server Odpovedať Hodnotiť:

Asi preto si Fico zavolal cinskeho IT manazera Od reg.: wradgio | Pridané: 26.9.2025 15:58 Potrebovali aby im pomohli nainstalovat expirovany certifikat, pretoze Erik si s tým nevedel rady. Odpovedať Známka: 10.0 Hodnotiť:

100rokyzaopicami Od: OneShitDrive | Pridané: 26.9.2025 20:02 Ako moze byt niekto certifikacnou autoritou ked sa sama o seba nevie postarat, vydat si certifikat. Aka je path certifikatov az po root, kto vyssi uznany v browseroch uznal takychto lajdakov amaterov ako CA. Odpovedať Známka: 4.3 Hodnotiť:

Re: 100rokyzaopicami Od: ffdf | Pridané: 26.9.2025 21:49 eZdravie si sám vydáva certifikát? Však mu ho vydáva Digitálny čert :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: 100rokyzaopicami Od: dando111 | Pridané: 27.9.2025 6:21 idiotko oni si sami vytvaraju certifikat Odpovedať Známka: -10.0 Hodnotiť:

Re: 100rokyzaopicami Od reg.: Pjetro de | Pridané: 27.9.2025 10:00 a myslis ze z jeho prispevku plynie ze o tom nevie? Odpovedať Hodnotiť:

Re: 100rokyzaopicami Od reg.: Pjetro de | Pridané: 27.9.2025 10:07 nuz ... problem je zjavne (nefungujuci/neexistujuci) monitoring certakov, t.j. kto/ako/kedy je notifikovany ked sa blizi expiracia certaku ak takyto monitoring nie je spravadzkovany, z IT pohladu je to neskutocne absurdna IDIOCIA najhrubsieho zrna, to proste nema obdoby ak proste ide nieco expirovat (certak, domenovy ucet ...) a systemovo sa to pouziva a je to klucove bez biznis/sluzby/reputaciu/financie a pre firmu vobec, tak proste MUSI byt nasadeny monitorovaci system, ze niekolkym ludom (pripadne do shared mailboxu) pridu maily o expiracii ... samozrejme to NEMOZE byt zavisle na jednom cloveku, ktory si odide na 2 tyzdnovu suvislu dovolenku (co mu podla zakonnika prace MUSI byt umoznene) a sluzobny mobil si tam brat nemusi, pretoze pokial to od neho zamestnavatel vyzaduje aby bol v strehu aj bez pohotovosti a este k tomu na dovolenke, je to HRUBE porusenie zakonnika prace !!! Odpovedať Hodnotiť:

Re: 100rokyzaopicami Od reg.: Pjetro de | Pridané: 27.9.2025 10:10 kto uznal takychto lajdakov amaterov ako CA - lajdacke/amaterske/neexistujuce security oddelenie alebo lajdacke/amaterske/neexistujuce projetove oddelenie co dodat Odpovedať Hodnotiť:

Re: 100rokyzaopicami Od reg.: Pjetro de | Pridané: 27.9.2025 10:12 proste Jozovi Mrkvovi (inak zo SMERu) dosiel nejaky request na podpis, nerozumel ani len kusok z hovna z toho co sa tam pise, iba mu bolo povedane ze "budeme si to moct robit sami", tak podpisal Odpovedať Hodnotiť:

Čerti Ficovaní Od: Lues de Funes | Pridané: 27.9.2025 8:57 Tak teraz už je už nczi kompletne certificovaný. Odpovedať Známka: 10.0 Hodnotiť:

Typicke Od: Mek | Pridané: 27.9.2025 10:15 Ved to je typicke, ze na otazky sa nereaguje. To je dnes taky marketing, ze skor ako by mali priznat chybu, zaistit aby sa uz neopakovala, alebo sa nebodaj ospravedlnit, tak mlcia. Vsak ono to vysumi. Vsimnite si, vsetky urady sa tak spravaju, a niektore sukromne spolocnosti tiez. Odpovedať Známka: 10.0 Hodnotiť:

respirovany certifikat Od: m__ | Pridané: 27.9.2025 12:35 ziaden respirovany certifikat nedokaze dat tolko lasky cloveku ako ostrouhly stol Odpovedať Známka: 10.0 Hodnotiť:

fdsfs Od: fdasfs | Pridané: 27.9.2025 13:35 keby toto dotycny co to ma na starosti urobi v sukromnej spolocnosti tak skonci okamzite este ked zistia ze sa certs daju monitorovat hned na to bude zakazka za 400 mil pre nasich ludi Odpovedať Známka: 10.0 Hodnotiť:

Certy Od: Muhehe | Pridané: 27.9.2025 16:52 Tie subcerty sa robia na HSM, takze sa musi dostavit x potrebnych ludi s kartickami na jedno miesto v rovnaky cas. Prave preto to tak trvalo. Druha vec je,ze bol zjavne odflaknuty monitoring tychto certov. Odpovedať Známka: 5.0 Hodnotiť:

Re: Certy Od reg.: Pjetro de | Pridané: 27.9.2025 17:31 nech maju bars aj system 4, 6, 8 ci aj desiatich oci na kontrolu alebo akciu ... bezosporne ale monitoring bol (a je) ale total na hovno, notifikacie mali jednak prichadzat s dostatocnym casovym odstupom, napr. 4tyzdne-3t-2t-1t-6dni-5d-4d-3d-2d-1d pred vyprsanim certu druhak prichadzat patricne zvolenym adresatom co budu robit ked za 5 rokov uz budu certy iba na par tyzdnov/mesiacov? Odpovedať Hodnotiť:

Re: Certy Od: Muhehe | Pridané: 28.9.2025 8:15 Si moc velky optimista. Statna sprava a daco normalne monitorovat ? Ved to nerobi 80% firiem, maximalne su schopny si v lepsom pripade postrazit vonkajsie certy,ale interne monitoruje tak 1% max. Ale ked padne daky interny cert zvycajne nastane iny level zabavy. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár