Sådan lever vi op til kravene i staten
Tekniske minimumskrav for statslige myndigheder
I nedenstående kan du finde svar på de tekniske minimumskrav for statslige myndigheder, som GoPublic helt eller delvist har ansvaret for at opfylde.
Krav 9: Kommunikation med mail-protokoller skal krypteres og anvende minimum TLS 1.2
Nedenfor har vi listet den værdi og status, som GoPublic opfylder i henhold til kravene til TLS 1.2 og TLS 1.3.
V5 sølv: Myndigheder med sølvabonnement på GoBasic v5
V5 guld: Myndigheder med guld- og platinabonnement på GoBasic v5
GoPublic: Myndigheder på GoPublic v1
Mail Box: Mails sendt på vegne af GoPublic (f.eks. fra formularer eller GoPublic Mail)
Mail Direct: Mails sendt fra myndighedens eget domæne (kan opsættes uden omkostninger ved at kontakte supporten)
Konfigurationsparametre TLS 1.2
1: TLS versioner
V5 sølv: TLS 1.2
V5 guld: TLS 1.2
GoPublic: TLS 1.2
Mail Box: TLS 1.2
Mail Direct: TLS 1.2
Status: Tilstrækkelig
2: Algoritmer for - Nøgleudveksling
V5 sølv: ECDHE
V5 guld: ECDHE
GoPublic: ECDHE
Mail Box: ECDHE
Mail Direct: ECDHE
Status: God
3: Algoritmer for - Certifikat verifikation
V5 sølv: ECDSA, RSA
V5 guld: ECDSA, RSA
GoPublic: ECDSA, RSA
Mail Box: ECDSA, RSA
Mail Direct: ECDSA, RSA
Status: God
4: Algoritmer for - Bulk kryptering
V5 sølv: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
V5 guld: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
GoPublic: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Mail Box: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Mail Direct: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Status: God
5: Hash funktioner for - Nøgleudveksling
V5 sølv: SHA-512, SHA-384, SHA-256
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box: SHA-512, SHA-384, SHA-256
Mail Direct: SHA-512, SHA-384, SHA-256
Status: God
6: Hash funktioner for - Certifikat verifikation
V5 sølv: SHA-512, SHA-384, SHA-256
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box: SHA-512, SHA-384, SHA-256
Mail Direct: SHA-512, SHA-384, SHA-256
Status: God
7: Hash funktioner for - Bulk kryptering
V5 sølv: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
V5 guld: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
GoPublic: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Mail Box: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Mail Direct: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Status: God
8: RSA Nøglelængder
V5 sølv: Mindst 3072
V5 guld: Mindst 3072
GoPublic: Mindst 3072
Mail Box: Mindst 3072
Mail Direct: Mindst 3072
Status: God
9: Understøttede elliptisk kurver
V5 sølv: secp384r1, secp256r1, x448, x25519
V5 guld: secp384r1, secp256r1, x448, x25519
GoPublic: secp384r1, secp256r1, x448, x25519
Mail Box: secp384r1, secp256r1, x448, x25519
Mail Direct: secp384r1, secp256r1, x448, x25519
Status: God
10: Understøttede "finite field" grupper
V5 sølv: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
V5 guld: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
GoPublic: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Mail Box: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Mail Direct: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Status: Tilstrækkelig
11: Komprimering
V5 sølv: Ingen komprimering
V5 guld: Ingen komprimering
GoPublic: Ingen komprimering
Mail Box: Ingen komprimering
Mail Direct: Ingen komprimering
Status: God
12: Usikker genforhandling (Insecure renegotiation)
V5 sølv: Off
V5 guld: Off
GoPublic: Off
Mail Box: Off
Mail Direct: Off
Status: God
13: Klient-initierede genforhandlinger (Client initiated renegotiation)
V5 sølv: Off
V5 guld: On
GoPublic: Off
Mail Box: Off
Mail Direct: Off
Status: God (med undtagelse af V5 guld, der har status: Utilstrækkelig)
14: 0-RTT
0-RTT blev først introduceret i TLS 1.3 og forekommer derfor kun såfremt TLS 1.3 understøttes.
V5 sølv: n/a
V5 guld: Off
GoPublic: Off
Mail Box: Off
Mail Direct: n/a
Status: God
15: OCPS hæftning (stapling)
V5 sølv: Off
V5 guld: On
GoPublic: Off
Mail Box: Off
Mail Direct: Off
Status: Tilstrækkelig (med undtagelse af V5 guld, som har status: God)
Konfigurationsparametre TLS 1.3
TLS 1.3 understøttes ikke for følgende:
V5 sølv
Mail Box
Disse vil derfor ikke være udfyldt i nedenstående.
1: TLS versioner
V5 sølv:
V5 guld: TLS 1.3
GoPublic: TLS 1.3
Mail Box:
Mail Direct: TLS 1.3
Status: God
2: Algoritmer for - Nøgleudveksling
V5 sølv:
V5 guld: ECDHE
GoPublic: ECDHE
Mail Box:
Mail Direct: ECDHE
Status: God
3: Algoritmer for - Certifikat verifikation
V5 sølv:
V5 guld: ECDSA, RSA
GoPublic: ECDSA, RSA
Mail Box:
Mail Direct: ECDSA, RSA
Status: God
4: Algoritmer for - Bulk kryptering
V5 sølv:
V5 guld: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
GoPublic: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Mail Box:
Mail Direct: AES-256-GCM, ChaCha20-Poly1305, AES-128-GCM
Status: God
5: Hash funktioner for - Nøgleudveksling
V5 sølv:
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box:
Mail Direct: SHA-512, SHA-384, SHA-256
Status: God
6: Hash funktioner for - Certifikat verifikation
V5 sølv:
V5 guld: SHA-512, SHA-384, SHA-256
GoPublic: SHA-512, SHA-384, SHA-256
Mail Box:
Mail Direct: SHA-512, SHA-384, SHA-256
Status: God
7: Hash funktioner for - Bulk kryptering
V5 sølv:
V5 guld: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
GoPublic: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Mail Box:
Mail Direct: HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256
Status: God
8: RSA Nøglelængder
V5 sølv:
V5 guld: Mindst 3072
GoPublic: Mindst 3072
Mail Box:
Mail Direct: Mindst 3072
Status: God
9: Understøttede elliptisk kurver
V5 sølv:
V5 guld: secp512r1, secp384r1, secp256r1, x448, x25519
GoPublic: secp512r1, secp384r1, secp256r1, x448, x25519
Mail Box:
Mail Direct: secp512r1, secp384r1, secp256r1, x448, x25519
Status: God
10: Understøttede "finite field" grupper
V5 sølv:
V5 guld: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
GoPublic: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Mail Box:
Mail Direct: ffdhe4096 (RFC 7919), ffdhe3072 (RFC 7919)
Status: Tilstrækkelig
11: OCPS hæftning (stapling)
V5 sølv:
V5 guld: On
GoPublic: Off
Mail Box:
Mail Direct: Off
Status: Tilstrækkelig (med undtagelse af V5 guld, som har status: God)
Krav 11: Autentifikation til myndighedens systemer over internettet skal anvende flerfaktor-autentificering
Flerfaktor-autentifikation kommer med GoPublic v1 i H2 2025, eller kan tilkøbes som SSO (Single Sign-On) via ADFS for 2.000 kr. ex moms /md.
Krav 16: Logning skal foretages på internetvendte tjenester og centrale interne it-systemer
Herunder beskrives de forskellige typer af logning som GoPublic foretager. En del af logningen skal foretages af myndighedens egen it-afdeling, som oftest vil være Statens it.
Rekursive DNS-servere
Denne logning omfatter myndighedens domæner.
GoPublic administrerer ikke DNS og logning af dette ligger derfor hos myndighedens DNS-udbyder.
DHCP-servere
Denne logning omfatter logning af en enheds (f.eks. en computer eller en telefon) forbindelse til netværket for at få tildelt en ip-adresse.
Logningen ligger derfor hos myndighedens it-afdeling.
Firewalls
Denne logning omhandler de firewalls, der findes på myndighedens egne interne netværk. En del af logningen af dette skal derfor foretages af myndighedens egen it-afdeling.
GoPublic fører log over de firewalls, der findes på vores servere og opfylder de krav der er hertil.
Autentifikationsservere
Logningen omfatter de loginforsøg, der har været på myndighedens enheder (f.eks. computere og mobiltelefoner).
Denne del af logningen skal foretages af myndighedens it-afdeling.
GoPublic fører log over de loginforsøg, der har været i backoffice til myndighedens websites, og opfylder de krav, der er hertil.
Routere, der blokerer for trafik
Når en router blokerer for trafik, forhindrer den, at bestemte datapakker bliver sendt gennem netværket baseret på regler, sikkerhedsindstillinger eller netværksindstillinger.
En del af logningen af dette ligger derfor hos myndighedens it-afdeling.
GoPublic fører log over trafikken på serverne, og opfylder de krav, der er hertil.
Klient-VPN gateways
Dette logning omhandler myndighedens VPN-adgang(e), hvilket GoPublic ikke administrerer.
Logning af dette skal derfor foregå hos myndighedens it-afdeling.
Web proxy
Disse logdata skal indsamles for at følge myndighedens udgående internettrafik på vegne af myndighedens klienter.
Logning af dette ligger derfor hos myndighedens it-afdeling.
Antivirus/-malware-systemer
Logningen omhandler den antivirus, der er installeret på myndighedens egne enheder. En del af denne logning foretages derfor af myndighedens it-afdeling.
GoPublic kører antivirus på vores serverne, hvorpå myndighedens websites ligger. Dette logges, og opfylder de krav, der er hertil.
Ind- og udgående mailgateways
Denne logning omfatter logning af ind-og udgående e-mails fra myndighedens interne mailsystem og internettet. En mailgateway hjælper med sikkerhed, filtrering, routing og tilgængelighed.
En del af denne logning ligger derfor hos myndighedens it-afdeling.
GoPublic fører log over ind- og udgående mails sendt via enten GoPublic Mail eller formularer, og opfylder de krav, der er hertil.
Internetvendte webservere eller webservices (f.eks. hjemmesider, API, MQ og andre HTTPS-baserede tjenester)
Logning af dette udføres af GoPublic, da der her er tale om logning af indgående trafik på hjemmesiderne.
Logningen opfylder de krav, der er hertil.
Øvrige internetvendte tjenester (f.eks. SFTP, SSH etc.)
GoPublic benytter ikke øvrige internetvendte tjenester, så en logning af dette vil udelukkende ligge hos myndighedens it-afdeling.
Krav 26: Software på myndighedens internetvendte tjenester skal holdes sikkerhedsopdateret
GoPublic benytter udelukkende aktivt understøttede operativsystemer og softwarepakker.
Der foretages vedligeholdelse/sikkerhedsopdateringer på serverne, snarest efter release af en opdatering. Såfremt opdateringen medfører nedetid, vil dette altid blive meldt ud i et nyhedsbrev mindst 3 dage forinden.
Krav 27: Adgang til myndighedens internetvendte tjenester skal ske over en krypteret forbindelse
Alle domæner/hostnames på et GoPublic-site er krypteret med et SSL/TLS certifikat fra Let's Encrypt. Certifikatets signatur algoritme er: SHA-256 med RSA kryptering.
GoPublic understøtter TLS 1.2 og TLS 1.3. Se krav 9 for uddybende beskrivelse.
Krav 28: Internettilgængelige IP-adresser, som myndigheden har brugsret over, skal scannes for tjenester
GoPublic foretager portscanning for alle porte (0-65.535) hvert kvartal i månederne marts, juni, september og december.