Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 225, views: 58.123 •

Mozilla heeft het ssl-certificaat van DigiD op een zwarte lijst gezet, waardoor inloggen bij een dienst met DigiD binnenkort een foutmelding oplevert. De softwaremaker reageert hiermee op de problemen bij ssl-autoriteit DigiNotar.

Niet alleen het root-certificaat van DigiNotar wordt door Mozilla niet meer vertrouwd, zoals al bekend was: alle certificaten die zijn uitgegeven door een autoriteit die met de tekenreeks 'DigiNotar' begint, worden op een zwarte lijst gezet. Daaronder valt ook het certificaat van DigiD.nl. Dat geeft een consultant van Mozilla aan in de bugtracker van de organisatie. Het draaien van een testbuild van Firefox bevestigt haar woorden: wie in de testbuild probeert in te loggen op DigiD.nl, krijgt een foutmelding. Inloggen kan desgewenst dan nog wel, maar dan garandeert Firefox de identiteit van DigiD.nl niet. DigiD wordt onder meer gebruikt door de Belastingdienst en DUO, voorheen de IB-Groep.

In de stabiele versie van Firefox zijn de certificaten van DigiNotar nog vertrouwd; Firefox-ontwikkelaar Mozilla gaf eerder al aan dat het met een update zou komen waarin de certificaten worden geblacklist. Als Mozilla blijft vasthouden aan het schrappen van alle DigiNotar-certificaten, kunnen Firefox-gebruikers dus niet meer vertrouwen op een veilige inlog op DigiD, evenals andere websites met een DigiNotar-certificaat. Hetzelfde geldt voor gebruikers van Firefox Mobile, Thunderbird en SeaMonkey.

Google en Microsoft hebben aangegeven het root-certificaat van DigiNotar te zullen blacklisten, maar of dit ook gevolgen heeft voor DigiD, is onbekend. Jochem Binst, woordvoerder van DigiNotar-eigenaar Vasco Security, claimde eerder dat de problemen bij DigiNotar geen problemen zouden hebben voor diensten van de overheid. Het Ministerie van Binnenlandse Zaken heeft aangegeven het 'volle vertrouwen' in DigiNotar te hebben.

De problemen bij DigiNotar kwamen maandagavond aan het licht, toen bleek dat het bedrijf uit Beverwijk een ongeldig ssl-certificaat voor Google.com had uitgegeven. Dat certificaat is mogelijk door de Iraanse overheid gebruikt om inwoners te bespioneren; onder meer verkeer van en naar Gmail, Google Voice en Google Docs kan zijn onderschept.

Firefox Diginotar

Gerelateerde content

Alle gerelateerde content (24)

Reacties (225)

Reactiefilter:-12250220+1120+226+30
Haha.. leuk om te zien hoe zo'n waardeloze SSL root een hele lawine van gedonderd kan veroorzaken.. tijd voor een nieuw systeem lijkt me :)
Leuk om te zien dat zowel de belasting dienst als het DUO dit niet zag aankomen of al bezig zijn met een aanvraag voor certificaten bij een andere partij.
Prima. Zou het eerste voorbeeld zijn van iets dat misschien wel niet volstrekte ambtelijke incompetentie is.
Zo'n certificaat is de heilige graal voor de "Man in the middle"...

Stel je voor wat je allemaal kunt doen als je een geldig certificaat kunt misbruiken om een fishing site op te zetten.

Is certificaten stelen de volgende hype onder hackers? Hoe goed zijn die eigenlijk beveiligd tegen diefstal, die certificaten? Ongetwijfeld dat er hier en daar nog wel een kopietje rondzwerft op een onbeveiligde server.

[Reactie gewijzigd door E_E_F op 30 augustus 2011 12:55]

Juist daarom dienen alle certificaten van DigiNotar ingetrokken te worden.
Wie weet wat ze nog meer hebben lopen verkl*ten.
Eigenlijk zou de hele vergunning van DigiNotar ingetrokken moeten worden want dit is natuurlijk een doodzonde.
Als je de trust van hun rootcertificaat intrekt, dat *is* hun vergunning intrekken. Voor zo ver er iets is dat vergelijkbaar met een vergunning is, dan is het dat je root certificate in de browsers staat. Jij kan morgen louche-certificaten.com opstarten, maar je root cert komt de browsers niet in en daarom zijn dingen die jij signt niet vertrouwd. Daarom is mensen zo ver krijgen alternatieve root certs te installeren ook zo'n beetje de heilige graal voor phishers.
Regelmatig worden overheden bijgestaan en geadviseerd door... jawel! Professionals!
Ik zeg niet dat dit door profs niet gezien of niet geroepen is, maar wel dat je je opmerking mag nuanceren. Je weet immers niet wie daar in persoon of als club verantwoordelijk voor was. (Ik werk overigens niet bij of voor een overheidsinstelling, nooit gedaan ook.)

Maar wie zag dit WEL aankomen? (Eerlijk?)
Genoeg mensen. Om een voorbeeld te noemen, het security team van Firefox:

https://twitter.com/#!/jruderman/status/108305943418245121

Of de makers van convergence.io, een oplossing die het huidige CA-systeem onnodig maakt:

https://twitter.com/#!/moxie__/status/108249605262680064
Genoeg mensen. Om een voorbeeld te noemen, het security team van Firefox:

https://twitter.com/#!/jruderman/status/108305943418245121

Of de makers van convergence.io, een oplossing die het huidige CA-systeem onnodig maakt:

https://twitter.com/#!/moxie__/status/108249605262680064
Heb je zelf wel die tweets gelezen? Blijkbaar niet, want er wordt niet gesproken over wat hier het onderwerp is. De tweede tweet komt in de buurt, maar geeft verder ook weinig details. Dus had iemand het kunnen weten, aan de hand van die tweets? Nee, denk het niet. En daarbij: blind vertrouwen op Tweets... :')

Immers, aan het einde van de tweede tweet die je aanhaalt, staat nota bene
users are not vulnerable.

[Reactie gewijzigd door CptChaos op 30 augustus 2011 16:14]

Ik weet niet wat jij denkt dat het onderwerp is, ik had het over het zien aankomen van problemen met SSL CAs (maar dat is misschien niet helemaal on-topic voor deze subthread).

En wauw, je kan wel goed selectief quoten. De tweede tweet geeft aan dat *gebruikers van convergence.io* niet kwetsbaar zijn... alle andere gebruikers dus wel.
En wauw, je kan wel goed selectief quoten. De tweede tweet geeft aan dat *gebruikers van convergence.io* niet kwetsbaar zijn... alle andere gebruikers dus wel.
Dan gooit Power Twitter (Firefox addon) het een en ander door de war (of had de twitteraar beter moeten aanduiden wie hij bedoelde, zonder een http link. ;)), mijn excuses. Maar dan nog vind ik het erg discutabel dat je Twitteraars vertrouwd met dit soort dingen.

De tweets die jij aanhaalde, vertellen niets over deze authority omtrent SSL-certificaten. Hoe moeten mensen dan zien aankomen dat het dťze host betreft? Dat was mijn punt meer.

[Reactie gewijzigd door CptChaos op 30 augustus 2011 18:02]

BD en DUO maken gebruik van digid zoals een webshop gebuikmaakt van paypal of iDeal. Digid moet een nieuw certificaat aanvragen DUO and BD niet.
En je weet hoe de bureaucratie is :+
Hoe kan je dit zien aankomen. Dit bedrijf is bij deze falliet. Immers zijn ze niet meer te vertrouwen.

Overigens is het intrekken van alles natuurlijk wel wat overdreven. Immers als je dit altijd doet zodra er ťťn dubieus is uitgegeven. Of misschien wel terecht is uitgegeven, maar dubieus in de verkeerde handen is gevallen. Dan zijn al deze bedrijven binnenkort failliet.
ja en? - dat is ook direct DE reden dat je ~500 of meer per cert betaalt...

als het iets simpels was wat iedereen kan en mag, dan had je ook wel sect voor 1,95 euro gehad bij de AH.
2000 euro, voor een overheid die zo'n cert koopt. En verplicht bij een van twee leveranciers. Diginotar en Getronics.
Hoe kan je nog vertrouwen in digiNotar als ze ongeldige certificaten uitgeven, dit zou de overheid gewoon moeten afstraffen door naar een andere toko te gaan...
Nee, op verzoek van onze overheid is er een uitzondering geprogrammeerd in de DigiNotar check:

http://hg.mozilla.org/mozilla-central/rev/fcca99426576#l1.44

Ik word alleen niet blij van de laatste reactie in het bugreport:
https://bugzilla.mozilla.org/show_bug.cgi?id=682927#c90

Volgens die reactie is DigiNotar op dit moment bezig om SSL certificaten van klanten opnieuw te signen met hun PKI Overheid certificaat. Dat certificaat zou alleen voor overheidsdoeleinden gebruikt mogen worden, op deze manier wordt onze overheid verbonden met zaken waar ze helemaal niks mee hebben te maken.
Het systeem werkt juist wel: Een SSL-autoriteit heeft ten onrechte een certificaat uitgegeven (of dat via een hack of misleiding of whatever is geweest doet er in dezen even niet toe), en deze SSL-autoriteit wordt daarvoor gestraft en buitengesloten.

Ik neem aan dat als alle plannen doorgaat de overheid heel snel moet switchen naar een andere autoriteit, dan zijn de problemen ook opgelost en gaat DigiNotar ter ziele.
Echter duurt het weer een tijdje voor de overheid naar een andere autoriteit die SSL-certificaten verstrekt.
Hierdoor zullen een hoop Nederlanders raar opkijken als ze een foutmelding krijgen over een niet vertrouwd certificaat, waardoor een (groot?) aantal mensen die niet op de hoogte zijn van de oorzaak, vertrouwen verliesen in DigiD .. Wat dus weer gedonder geeft bij DigiD. Ik denk dat DigiNotar hier heel veel last mee krijgt.
Da's ook precies de bedoeling, als ik vanuit m'n zolderkamertje 'registrar' kan worden, is het systeem brak. Op deze manier stelt zo'n certificaat wat voor, en worden slechte bedrijven geweerd. Dat daar ook wat goede bedrijven de dupe van worden, omdat ze een verkeerde registrar kiezen, is jammer, maar er is weinig alternatief. Gewoon op zoek naar een betrouwbare tent, of anders dubbel betalen.
Maar daar rest de vraag, hoe weet je van te voren, welk bedrijf er betrouwbaar is.
Dat kan je nooit 100% zeker weten.
De overheid heeft niet voor niets geÔnvesteerd in certificaten van dit bedrijf, de overheid vertrouwd(e) dit bedrijf, en dit bedrijf heeft een blunder begaan.
Kan bij elk bedrijf gebeuren.
Alleen is dit nogal erg groot.
Het is wel een blunder van gigantische proporties. Het is niet zomaar een random bedrijfs domeinnaam dat van een SSL voorzien is maar een van de grootste online bedrijven die bestaat. Dit had natuurlijk wel tot verbazing moeten leiden binnen het bedrijf als in dat het vreemd is.
Je kan je identiteit laten verifiŽren bij 2 verschillende root ca. Dan kan er 1 geschrapt worden zonder dat er een probleem optreed.

Ik ben ook van mening dat dit bewijst dat het systeem werkt. DigiNotar heeft gefaald in zijn primaire en enige taak, namelijk het controleren van de identiteit van een persoon of instelling die een certificaat aanvraagd. Als dit 1 keer is gebeurt dan is er twijfel over de kwaliteit van de controle. Als DigiNotar de enige root ca is die de indetiteit van DigiD kan bevestigen, dan is er twijfel bij de identiteit van DigiD.

Een oplossing is dan ook op korte tijd te regelen zonder dat de gebruiker hier iets van moet merken. DigiD moet gewoon zijn identiteit laten verifiŽren door een root ca die nog wel vertrouwd word.

Ik vind het echter wel een vreemde uitspraak van het Ministerie van Binnenlandse Zaken dat ze het 'volle vertrouwen' in DigiNotar behouden. Ten eerste is dus net aan het licht gekomen dat dit niet helemaal terecht is. En ten tweede doet het weinig ter zake, je betaald een ca om je identiteit te verifiŽren omdat je gebruikers, deze vertrouwen (onrechtstreeks via de browser bouwers) en dit is niet meer het geval. Door vast te houden aan DigiNotar gaan de problemen echt niet opglost geraken.
Het werkt wel inderdaad. Maar aan de andere kant is het niet dynamisch genoeg. Je kunt niet een uniek certificaat ongeldig verklaren.

Het probleem is IMO ook dat er veel te veel "erkende" root CA's komen.
Je hebt betrouwbare partijen zoals Verisign e.d. maar ook "onbetrouwbare" partijen zoals Comodo en DigiNotar.

nieuws: Opnieuw Comodo-reseller gehackt
nieuws: Comodo geeft frauduleuze ssl-certificaten uit na hack

Het is IMO jammer is dat er geen centraal CA orgaan is. Momenteel beslissen Mozilla, Microsoft, Opera etc. zelf welke CA's ze vertrouwen.

Waarom richt date EU niet zelf een Root CA op alle overheidszaken, dan heb je dit probleem niet. Je hebt een centrale security organisatie die de certificaten uitgeeft en een wederverkopers.

[Reactie gewijzigd door worldcitizen op 30 augustus 2011 12:20]

- Het is juist een hele goede zaak dat er geen unieke certificaten ongeldig verklaard kunnen worden. Certificaten berusten volledig op vertrouwen. Als een CA een ongeldig certificaat uitgeeft dan heeft hij blijkbaar zijn zaakjes niet op orde en kun je dus die CA niet vertrouwen!

- Het is een hele goede zaak dat er geen centraal CA orgaan is. Dat zou een monopolie betekenen met direct daar aan verbonden verhoging van registratiekosten en dergelijken.

Het werkt volledig volgens het Amerikaanse systeem: Iedereen mag doen wat ie wil maar doe je dat fout dan ga je ook dusdanig hard onderuit dat je je boeltje kunt pakken. Simpel en doeltreffend. DigiNotar is door deze domme actie simpelweg zijn bestaansrecht kwijt en zal dus inderdaad op korte termijn opgeheven moeten worden.
Een centraal orgaan op Europees niveau met als doelstelling veiligheid, duidelijkheid en voorkomen van dit soort issues, en niet geld verdienen, lijkt mij niet schadelijk.

Een CA is sowieso erg belangrijk en zou eigenlijk al geen private instelling hoeven zijn, omdat dan financiŽle belangen een rol spelen.
Ja Leuk! laten we het vooral aan overheden overlaten. Bijvoorbeeld de Iraanse overheid (waar dit hele geval om begonnen is) of de Chinese!
Een systeem als dit is net als de meeste beveiligingssystemen gebaseerd op vertrouwen.

Er zijn mensen die hun overheid blind vertrouwen dit doen ze met bijvoorbeeld persoonsgegevens (digid, belastingdienst, duo etc.) als criminele gegevens (vingerafdrukken politiehistorie etc.)

Dit hebben we voor 1940 ook gedaan, en we hadden een prachtige administratie. We hebben deze toen zo netjes gemaakt dat de duitsers er erg handig gebruik van hebben kunnen maken, en nederland zodoende een van de hoogste percentages jodenexport had van alle europeese landen.

Vertrouwen is iets wat je moet verdienen, en hier zitten aardig wat aspecten aan.

Je vertrouwen stellen in private organisaties is ook niet veel waard. In dit geval is het certificaat ontdekt, maar voor hetzelfde geld had dit nog een maand of wat geduurd.
Als nu ook maar 1 persoon binnen Verisign een smak geld kan verdienen door even een certificaat uit te geven zal dit misschien gebeuren.

Zeg dan maar 'zwaai zwaai' met je vertrouwen. De ketting is zo sterk als de zwakste schakel, en mensen zijn nou eenmaal geen sterke schakel.

Samenvatting:
Het systeem is gebaseerd op menselijk handelen (het uitgeven van certificaten) mensen zijn chantabel, en zodoende de zwakste schakel.

Er is in mijn ogen geen verschil tussen overheid of privaat. In beide werken mensen.
Ik neem aan dat als alle plannen doorgaat de overheid heel snel moet switchen naar een andere autoriteit, dan zijn de problemen ook opgelost en gaat DigiNotar ter ziele.
Daar zit hem nu net het probleem. Heel veel bedrijven en consumenten hebben een gratis (of duurbetaalde) sleutel van Diginotar om te kunnen communiceren met de overheid.

De overheid zit nu door Diginotar in de knel.

Applicaties geprogrammeerd om met de belastingdienst te communiceren zullen waarschijnlijk de impact niet merken.

Web based applicaties hebben hier wel direct impact op. Zie jij alle consumenten en bedrijven nieuwe DigID's aanvragen?

Nieuwe autoriteit: Weer een kosten verslindende operatie.

Mensen informeren: Ook een kostenverslindende operatie, en zoals hierboven gezegd gewenning. Alhoewel gewenning relatief is omdat het steeds vaker voorkomt dat mensen gewoon doorklikken....

Al met al zal er nu gekozen moeten worden tussen 2 belabberde en geldvretende oplossingen....

Als 2de punt: Dit lijkt mij een eenzijdige 'Amerikaanse' aktie. DigiNotar wordt bijna onmiddelijk als ongeldig verklaart. Comodo is nog steeds trusted. Er wordt hier schijnbaar met 2 verschillende standaarden gemeten. Of juist met 1. De amerikaanse....

[Reactie gewijzigd door kwakzalver op 30 augustus 2011 15:02]

Er is helemaal geen probleem met DIGID's e.d. Het betreft hier de authenticatie van de WEBSITE. Gewoon nieuwe sleutel eronder, webserver herstarten, gaan met de banaan. Website wordt weer erkend.

OK het is iets moeilijker, maar dit kan dus snel gedaan worden zonder echte impact of mensen te informeren
Waarom moet ik een nieuwe DigID aanvragen? Mijn DigID heeft geen barst te maken met een SSL certificaat van de website - dat is iets tussen de site en Diginotar, daar heb ik verder weinig mee te maken, tenzij ik toevallig een keer op een DigID website in moet loggen. Je krijgt dan van Firefox, Chrome en IE een waarschuwing voor je neus dat ze niet kunnen verifiŽren dat degene die de website draait, is wie hij zegt dat hij is. Jouw DigID staat daar los van.
Ze kunnen wel een uniek certificaat ongeldig verklaren.
Echter is dit net zoals liegen; er is bewezen dat DigiNotar certificaten niet te vertrouwen zijn, dus word het aangemerkt als onbetrouwbaar. Dat werpt dus een smet op de andere certificaten.

Zoals je ook op de foutmelding kan zien, word er niet gezegd dat het certificaat fout IS, maar fout KAN zijn - vanwege de reputatie die het bedrijf nu heeft.
Het kan best zijn dat een certificaat klopt, het kan alleen niet meer worden gegarandeerd omdat het bedrijf betrapt is op uitgeven van valse certificaten.


En met overheidsdiensten en veiligheid is het nou juist van belang dat iets vertrouwd is en gegarandeerd kan worden. 50/50 is niet goed genoeg.
Als je in firefox naar options -> advanced -> view certificates gaat kan je ze per stuk distrusten of verwijderen.
Dus je kan prima zelf kiezen wie of wat je zelf wilt vertrouwen.
Je kunt prima een enkel certificaat ongeldig verklaren. De CA kan het certificaat intrekken, en een browser kan ook prima op een specifiek certificaat controleren. Bij de foute Comodo certificaten is dat ook gebeurt, de hashes daarvan worden expliciet geweigerd in Firefox en Chrome.

In dit geval had dat ook kunnen gebeuren, maar niemand weet hoe dat certificaat aangemaakt is. Als het Iran gelukt is om ten onrechte een certificaat voor Google.com te krijgen is het bepaald niet onwaarschijnlijk dat ze meer certificaten aangemaakt hebben. Maar vanuit Diginotar komt geen enkele informatie op het moment, dus niemand die weet of er nog meer foute certificaten in omloop zijn en of het nog steeds mogelijk is om nieuwe certificaten aan te maken. Alleen dit ene certificaat blokkeren als ze in Iran zo een nieuwe aan kunnen maken gaat natuurlijk niets oplossen. Bij gebrek aan communicatie vanuit Diginotar blijkt er weinig anders over dan aannemen dat certificaten die door hen ondertekend zijn niet vertrouwd kunnen worden.

Enne, en EU root CA lijkt leuk, maar gaat niets oplossen. We hebben in Nederland een eigen 'Staat der Nederlanden CA', waarvoor de certificaten uitgegeven worden door, jawel, Diginotar. Het Digid certificaat is er daar een van. Wat maar weer bewijst dat dit soort dingen aan de overheid overlaten bepaald niet garandeert dat het allemaal goed gaat.
Dat laatste is dus het probleem wat nu is. De nederlandse staat vertrouwd Diginotar die dus naast overheids certificaten ook certificaten uitgeeft voor andere publieke partijen.

Een EU root of een daadwerkelijk losstaand Staat der Nederlanden CA zou dit wel oplossen. Dan moet je er wel voor zorgen dat die echter 100% los staat. De Staat der Nederlanden CA is te verweven met Diginotar, waardoor Mozilla en andere partijen dit niet los kan zien en dus alles gaat blokkeren, incl. alle overheids certificaten.

Had de Staat der Nederlanden CA een losse overheidsondersteunende dienst geweest, dan had DigID gewoon nog gewerkt zoals het zou moeten. Die dienst geeft dan alleen certficaten aan vertrouwde overheidsinstanties.
Waarom richt date EU niet zelf een Root CA op alle overheidszaken, dan heb je dit probleem niet. Je hebt een centrale security organisatie die de certificaten uitgeeft en een wederverkopers.
Dan heb je het probleem ook, je moet dan de EU vertrouwen om mensen niet af te luisteren. Iets dat je met geen enkele overheid kan doen. Op het moment dat een overheid dit soort dingen gaat besturen dan komt er pas gedonder van. Kijk naar het .XXX domein en hoe dat wel/niet/wel/niet/niet/wel/tocht weer niet tot stand is gekomen (Amerika) of de manier waarop .com domeinen keer op keer worden afgenomen (Amerika) en meer van dat soort zaken. Het vertrouwen van een overheid is simpel weg niet de oplossing.

Ik ben het met je eens dat er teveel CA's zijn die allemaal hun eigen Root certificaten uit mogen geven en dat de browser bouwers te veel van deze bedrijven vertrouwen.
Ik zou veel liever zien dat er maar een beperkt aantal bedrijven zijn die dit soort dingen uitgeven en dat ze zo als nu met DigiNotar gebeurt zo snel mogelijk gestraft worden door de browser bouwers door de Root CA niet meer te vertrouwen.
Te weinig CA's is ook een probleem omdat de overheid van het land waar het bedrijf vandaan komt dan te veel macht heeft over het reilen en zijlen binnen het bedrijf.

Een echte oplossing is er niet maar het lijkt me een hele erg goed idee om een CA alleen een certificaat uit te laten geven na dat het van de eigenaar van het domein toestemming heeft gekregen om dit te doen. Dat houd dus in dat als ik als eigenaar van mijndomein.nl verisign vraag om een SSL certificaat voor mijn domein ui te geven dat zij eerst zullen moeten vragen om toestemming te geven voor het uitgeven van het certificaat. Op die manier kan ik als iemand anders een certificaat voor mijn domein aan vraagt altijd ingrijpen voor het te laat is. Natuurlijk zijn ook hier weer manieren voor te verzinnen om er om heen te werken maar het maakt het wel net weer eens stapje moeilijker om dit een certificaat uit te geven voor een domein dat dit niet wil.
Dan heb je het probleem ook, je moet dan de EU vertrouwen om mensen niet af te luisteren. Iets dat je met geen enkele overheid kan doen.
Maakt dat dan uit? Als de overheid een Root CA opzet voor enkel overheidszaken, dan ga je toch al communiceren met de overheid en dan hoeft diezeflde overheid je toch niet af te luisteren? Ze krijgen immers de informatie al van je...
Ik kan me vergissen, maar volgens mij is het hele punt van het opzetten van een Root CA nou juist dat het een onafhankelijke partij is. Jij wilt de overheid laten certificeren dat je echt met een site van de overheid te maken hebt - beetje pointless, volgens mij. Het is juist het idee dat dat door een derde partij wordt gedaan, en liefst nog een vierde en een vijfde ook.
Het certificeren is bedoeld om te controleren of je met de juiste site verbinding maakt en niet met een site verbinding maakt die zegt dat hij de juiste is. Het certificeren an sich geeft alleen maar aan dat je met de juiste site te maken hebt, nog niet of de partij die hem host/heeft gemaakt (in dit geval de overheid) te vertrouwen is...

Om die reden zie ik ook geen probleem in als de overheid hun sites zelf certificeert doormiddel van zelf een vertrouwde Root CA te worden. Zolang ik dan maar zeker weet dat ik als ik met DigiD ergens inlog ik met de overheid heb te maken en niet dat ik wordt omgeleid doormiddel van een virus/trojan/man-in-the-middle-attack...
Als Microsoft het root certificaat intrekt dan kunnen een aantal windows applicaties/services die connectie maken met een site die een SSL certificaat van deze firma gebruik maakt ook wel eens stoppen met werken.

Lijkt mij dus nu zaak om de certificaten zo snel mogelijk te vervangen bij de overheid e.a. instanties voordat dit een shitload aan problemen gaat opleveren.

Dit is inderdaad hoe het zou moeten werken. Als de private key van het rootcertificaat van DigiNotar is bemachtigd kan iedereen hiermee certifacten gegenereren worden voor elke willekeurige site. Dus zolang dit niet bekend is moeten ze het wel blokkeren anders is het hele systeem ontbetrouwbaar.
Als de private key van het rootcertificaat van DigiNotar is bemachtigd
WOW nu maak je schokkend nieuws! Als de private key van het rootcertificaat van Diginotar gelet is is dat van een heel andere orde dan een verkeerd uitgegeven certificaat.
Niemand weet er gebeurd is. Een maand geleden (!) Kwam DigiNotar erachter dat er iets fout gegaan is. Als het zo simpel was als een verkeerd uitgegeven cert dan hadden ze dat al 3 weken geleden uiterlijk ingetrokken.

Dus twee mogelijkheden: Of ze wisten van het probleem met de Iraanse overheid en google en hebben dat bewust laten voortduren (moreel verwerpelijk en zeer ongewenst), *of* hun root cert is gejat.

In beide gevallen is het intrekken van de trust voor hun root certs de goede actie, omdat certs uitgegeven door Diginotar geen garantie meer zijn voor de goede verbinding.

[Reactie gewijzigd door Jasper Janssen op 30 augustus 2011 19:15]

+1 Als de internetgemeenschap zulke blunders tolereert kunnen we nergens meer op vertrouwen. We moeten voorbeelden stellen, andere CA's dwingen beveiliging hoog te houden.
Google en Microsoft hebben aangegeven het root-certificaat van DigiNotar te zullen intrekken, maar of dit ook gevolgen heeft voor DigiD, is onbekend.
Ik denk het niet want het root certificaat van Diginotar is niet hetzelfde als het root certificaat dat DigiD gebruikt, laastgenoemde gebruikt het root certificaat van "De staat der Nederlanden". Met een intemediair certificaat van Diginotar, de reden dat het in firefox niet meer werkt. Ook Chrome is al ge-update: https://diginotar.nl/ "Dit is waarschijnlijk niet de site die u zoekt!"

Even een ABN vertaling van de woordvoerderpraatjes.
Jochem Binst, woordvoerder van DigiNotar-eigenaar Vasco Security, claimde eerder dat de problemen bij DigiNotar geen problemen zouden hebben voor diensten van de overheid.
Meneer Binst zegt eigenlijk zijn bedrijf niet falliet te willen zien gaan en tevens niet te willen dat Vasco imago schade oploopt, het bedrijf achter de random readers en andere tokens; o.a. gebruikt door de Rabo bank. (hij heeft overigens dus wel gelijk)
Het Ministerie van Binnenlandse Zaken heeft aangegeven het 'volle vertrouwen' in DigiNotar te hebben.
Het Ministerie van Binnenlandse Zaken geeft nogmaals aan incompetent te zijn.

[Reactie gewijzigd door Incr.Badeend op 30 augustus 2011 12:39]

Ook Chrome is al ge-update: https://diginotar.nl/ "Dit is waarschijnlijk niet de site die u zoekt!"
Dit zou ook nog kunnen komen omdat het certificaat niet geldig is voor het adres zonder www. ervoor. Zonder www krijg ik ook meldingen van een ongeldig certificaat, met niet...
Dit zou ook nog kunnen komen omdat het certificaat niet geldig is voor het adres zonder www. ervoor. Zonder www krijg ik ook meldingen van een ongeldig certificaat, met niet...
Daar lijkt het wel op ja. Hoe incompetent ben je dan als CA als je de certificaten voor je eigen website al verneukt?
Het Ministerie van Binnenlandse Zaken geeft nogmaals aan incompetent te zijn.
_o_

zwaar mee eens.
In een situatie als dit moet je niet proberen een bedrijf een hart onder de riem te steken. Dat is pure onzin.
Je moet je eigen haggie veilig stellen. Voor hetzelfde geld zijn ze gehackt, zo lek als een mandje, en zeg jij als overheid "we vertrouwen ze volledig"

Dat is echt een stomme actie!

[Reactie gewijzigd door BasieP op 30 augustus 2011 15:06]

Het systeem werkt juist wel: Een SSL-autoriteit heeft ten onrechte een certificaat uitgegeven (of dat via een hack of misleiding of whatever is geweest doet er in dezen even niet toe), en deze SSL-autoriteit wordt daarvoor gestraft en buitengesloten.

Ik neem aan dat als alle plannen doorgaat de overheid heel snel moet switchen naar een andere autoriteit, dan zijn de problemen ook opgelost en gaat DigiNotar ter ziele.
Je gaat aan het feit voorbij dat dit bij andere partijen nooit gebeurd is. (En ja,ook verisign maakt dit soort fouten ) en dat digid in feite niet door DigiNotar is uitgegeven of beheerd wordt. "Toevallig" is de naam die de nederlandse staat gebruikt vrijwel hetzelfde maar Mozilla zou dit onderscheidt moeten maken. Dit soort vergaande ingrepen vereisen een vergaande vorm van nauwkeurigheid en de gevolgen van de actie overzien.

En helaas viert deze keer weer eens het opportunisme hoogtij. Dat deze actie het vertrouwen in veilige https verbindingen geen goed doet kan mozilla blijkbaar weinig intereseren. Het is dus hoog tijd voor een ander systeem. Een systeem waar browser ontwikkelaars niet de beslissers zijn over wie we moeten vertrouwen. Mozilla kan die verantwoordelijkheid overduidelijk niet aan.

[Reactie gewijzigd door humbug op 30 augustus 2011 12:47]

Je praat onzin. Mozilla blokkeert het Digid certificaat, omdat het ondertekend is met het DigiNotar certificaat. De naam heeft er 0,0 mee te maken.

Nee, de actie die het vertrouwen in https: ondermijnt is de ondertekening van een *.google.com certificaat door DigiNotar. Mozilla herstelt het vertrouwen in https: juist door incompetente partijen te schorsen (het is geen perma-ban)
Het DigiD.nl certificaat is niet ondertekend door "DigiNotar Root CA", maar door "DigiNotar PKIoverheid CA Overheid en Bedrijven". Door het intrekken van de eerste blijven in principe de tweede en diens kinderen overeind.

Echter stelt FF nu voor om alles waar het woordje "DigiNotar" in voorkomt te blokken, zelfs als deze niet ondertekend is door het eerstgenoemde certificaat. Dat heeft dus alles met de naam te maken, en is zelfs een perma-ban. Als DigiNotar in dat geval opnieuw wil beginnen zal een nieuwe naam moeten worden gebruikt.
Nee zo doet Mozilla dat niet. De naam heeft er zoals gezegd echt niets mee te maken. Het gaat hierbij om de reputatie van de CA (=Diginotar) zelf. Zij blijven zich in stilzwijgen hullen en daarmee halen ze het bloed onder de nagels van o.a. webbrowser makers en security mensen vandaan. Het gevolg is dat zij nu roepen dat Diginotar als CA totaal niet meer te vertrouwen is omdat de o zo belangrijke openheid van zaken niet bij Diginotar aanwezig is. Dat heeft tot gevolg dat ALLE Diginotar root certificates worden geblokkeerd. Dat betekent heel concreet dat hun eigen Diginotar root CA de sjaak is (en je dus een mooie melding krijgt als je https://www.diginotar.nl bezoekt) maar ook het root certificaat die ze gebruiken voor de Nederlandse overheid ("DigiNotar PKIoverheid CA Overheid en Bedrijven"; o.a. gebruikt door DigiD). Het is natuurlijk van de zotte om bij het volledig kwijtraken van vertrouwen in een CA maar 1 root certificate van de CA te weren en de rest overeind te laten staan.

Het heeft dus niets met de naam te maken maar alles met de reputatie van de CA. Er had dus moeten staan "Toevallig is Diginotar ook de CA die voor de Nederlandse overheid het root certificaat in beheer heeft". Dat komt veel beter overeen met de werkelijkheid en laat ook beter zien wat het probleem is als je als CA zijnde zo'n enorme fout maakt. Alles wat onder je vleugels valt wordt er door getroffen.
Sorry maar ik ben het absoluut niet met je stelling dat het systeem wel werkt eens: het 'systeem' heeft vrij lang *niet* gewerkt - het bewuste certificaat werd in Iran namelijk daadwerkelijk gebruikt om verkeer te onderscheppen. Dit hele probleem is aan het licht gekomen nadat gebruikers het probleem aan hebben gekaart bij Google en het certificaat was kennelijk al 2 maanden geleden uitgegeven.

[Reactie gewijzigd door Aphax op 30 augustus 2011 12:50]

Geen enkel systeem werkt goed als mensen fouten blijven maken, dit was duidelijk een menselijke fout bij Diginotar en dat zal je niet oplossen met een ander systeem.
Enige nuancering op mijn bovenstaande reactie is hier toch wel op zn plaats. Laten we er voor het gemak even vanuitgaan dat inderdaad de Iraanse geheime dienst achter de aanvraag van het betwiste certificaat zit. Dan kan ik me goed voorstellen dat diginotar het certificaat via reguliere weg en na alle gebruikelijke checks heeft uitgegeven.

Zelfs bij een EV-certificaat is de controle beperkt: Je moet ingeschreven staan bij de KvK, briefpapier tonen, vermeld staan in een telefoongids en de telefoon (vast nummer) opnemen bij de telefonische check.

Ik kan me goed voorstellen dat *elke* geheime dienst met voldoende kennis en middelen door deze procedure heen moet kunnen fietsen.

Het zou dus kunnen dat Diginotar niet zoveel te verwijten valt in dezen. En dat het intrekken van het root-certificaat wel eens hele nadelige gevolgen kan gaan hebben. Procedures moeten dan zo worden aangescherpt dan zelfs geheime diensten niet meer door de controle heen kunnen glippen. Gevolg: Nog omslachtiger procedures en onbetaalbare certificaten.
Als het om een minder bekend domein zou gaan kan ik je redenatie nog wel volgen, maar niet nu het gaat om het google.com domain.

[Reactie gewijzigd door jony op 30 augustus 2011 13:11]

Als dat zo lukt, zouden ze op dezelfde manier aan andere certificaten kunnen komen, b.v. van Digid. Terecht dus dat Diginotar niet meer vertrouwd wordt.
Sorry, maar iedere verificatiestap waar mensen naar kijken en nota bene *google.com* wordt doorgelaten is *of* human error van de bovenste plank *of*, en dat is veel waarschijnlijker, een corrupte medewerker. Ik ga er voor het gemak maar van uit dat het niet een corrupt bedrijf is, al kan dat ook nog.

Corrupte medewerker die certificaten heeft lopen uitgeven == geen enkel certificaat waarbij die medewerker mogelijk betrokken kan zijn is te vertrouwen. DigiNotar heeft zelf nog geen enkele maatregel genomen (Het intrekken en vervangen van ieder certificaat dat door deze medewerker is uitgegeven is wel het minste). En dus zijn *al* hun certificaten niet te vertrouwen. Ook niet die van de overheid.
Mooi zo laat de overheid maar overstappen op een andere partij, hiermee dwingt iig FF dat al af, IE en Chrome nog en dan moeten ze wel!

DigiNotar = onbetrouwbaar gebleken...

edit: ongewenst omdat????
Het is gewoon een goede zaak dat partijen die niet goed opletten bij zaken waar dat WEL vereist is uit de markt worden gehaald!

[Reactie gewijzigd door watercoolertje op 30 augustus 2011 12:03]

Ben het wel met je eens, ik gebruik zelf ook DigiD, en vertrouw dan die partij ook niet na zulke acties. Dit is gewoon een actie die je absoluut niet mag doen als jij door de overheid vertrouwd wordt als SSL-autoriteit.

Het is niet zomaar een misstap, maar een misstap waar privacy kwesties mee geschonden zijn van mensen.
Eens, ze hebben (al dan niet onwetend) een dictatoriaal regime geholpen bij het bespioneren van hun burgers. Als er mensen zijn opgepakt (of erger) nadat hun mailverkeer aldaar werd onderschept dan heeft DigiNotar bloed aan de handen. Schandalig!
Zouden er dan ook geen mensen bij DigiNotar hier voor veroordeeld kunnen worden?
Ik heb wel eens gehoord dat iemand die kunstmest aan het Iraakse regime verkocht is ook veroordeeld is omdat hiermee gifgas werd gemaakt.
Dat is vooral omdat het leveren van dat soort spullen voorbehouden is aan overheden en niet aan mensen zoals bijvoorbeeld Van Amraat.
Ik vind het niet meer als terecht dat de root wordt ingetrokken: DigiNotar kan niet bevestigen of ontkennen dat er nog meerdere certificaten ongeldig zijn uitgegeven. Dat is erg slecht, en als je dit soort dingen toe staat dan heeft de hele certificaat business geen zin meer.

Knap lastig voor de cliŽnten, maar ja. Dan maar andere certificaten regelen, dat kan vrij snel en andere partijen zullen nu vast wel 'overstap-deals' aan gaan bieden :)
Het is wel terecht maar gaat allemaal wel iets te snel.

Het bijzonder slechte aan deze gang van zaken is dat gebruikers in de tussen tijd wordt aangeleerd om bij dit soort meldingen van de browser op "Ik begrijp de risico's" te klikken. Straks is iedereen dat gewent en is het hele certificaten gebeuren waardeloos.
Dat is maar kwestie van het opvoeden van gebruikers: als je iemand zoiets zou laten doen, moet je erbij zeggen dat ze dat anders nooit of te nimmer mogen aanklikken.

Volgens mij mag je de veiligheid van onwetende gebruikers niet op het spel zetten voor hun gebruiksgemak. Dat ze zelf de keuze maken om die op het spel te zetten, is hun eigen verantwoordelijkheid; je kan gebruikers immers wel trachten te beschermen tegen hun eigen stupiditeit (of tegen fouten van anderen), maar uiteindelijk moet de gebruiker ook gewoon de afweging kunnen maken om de raad die de software geeft in de wind te slaan en daar de gevolgen van dragen.

In mijn ogen is het dus beter om direct alles in te trekken. Als je dat niet doet, verliezen de experts het vertrouwen in dat systeem en dan zit je in nog grotere problemen.
DigiNotar gaat natuurlijk in de pers niet zomaar toegeven dat er nog meer ongeldige certificaten zijn uitgegeven.
Dit omdat het hen nog meer kan schaden dan nu al het geval is.

Mag hopen dat ze hun klanten wel netjes informeren.
Meer schaden dan nu het geval is? Hoe dan?

Hun root certificate wordt al verwijderd uit de trusted list door mozilla, microsoft en google. Hoeveel erger kunnen ze het maken voor zichzelf? Juist door openheid van zaken te geven en uit te leggen hoe dit heeft kunnen gebeuren zouden ze een klein stukje vertrouwen terug kunnen krijgen.
Die pagina geeft aan dat deze defacements jaren geleden zijn gebeurd echter nooi opgeruimd.

[Reactie gewijzigd door ShadowBumble op 30 augustus 2011 12:01]

En daarmee komt natuurlijk de vraag wat er nog meer niet opgeruimd is na de defacements. Of waarom een bedrijf wat nota bene specialiseert in de veiligheid van andere websites het niet voor elkaar krijgt om zichzelf goed te beschermen. Hier gaat inderdaad iets echt goed mis, kan me nu wel voorstellen dat mozilla de keuze heeft gemaakt om alles terug te trekken zonder een onderzoek af te wachten.
een bedrijf wat nota bene specialiseert in de veiligheid van andere websites
Een SSL certificaat heeft niets te maken met hoe veilig of onveilig een website is. Het stelt alleen dat al het verkeer tussen de gebruiker en de site in kwestie versleuteld is, en dus niet zonder meer af is te luisteren.

Ook dient een SSL certificaat om aan te duiden dat de hostname waarmee je praat, echt van die partij is. ( wat door diginotar dus een te betwijfelen verhaal wordt, maar het was altijd al een op vertrouwen gebaseerd systeem )

De site zelf kan nog steeds zo lek zijn als een mandje.

[Reactie gewijzigd door arjankoole op 30 augustus 2011 12:52]

Een SSL certificaat heeft wel degelijk te maken met hoe veilig een website is -- het geeft aan dat je kan vertrouwen dat de site waar je verbinding mee hebt ook echt die site is (rabobank.nl), en niet een of andere namaak.

En dat is wel degelijk een aspect van de veiligheid. Als ze hun website laten defacen valt er af te vragen of ze hun private key wel kunnen beschermen.
Hehe, deze en deze links doen het nog steeds. Er gaat echt iets goed mis met dat bedrijf..
Hier werken ze niet. Snel opgeruimd zeg.
Ik heb ze net nog gezien, en gezien die bestanden er al sinds 2009 op stonden zou ik het niet snel noemen. (date modified header van de server gaf 2009 tussen zoals in het bron artikel aangegeven)
Bizar dat dit soort dingen letterlijk zitten ingebakken in de browser. …ťn geval van misbruik kan dus leiden tot dit soort ongein. Is er niet iets voor te zeggen dat dit losse bestanden/licenties moeten zijn die snel kunnen worden verwijderd of aangepast?
Het ten onrechte afgegeven certificaat kan natuurlijk direct worden ingetrokken, neem aan dat dat allang is gebeurd. Maar omdat er van certificaten zoveel afhangt is dat niet voldoende: Het feit dat er ten onrechte een geldig certificaat is afgegeven geeft aan dat de uitgever van het certificaat, DigiNotar, OF zijn beveiliging niet op orde heeft OF heeft zitten slapen bij het controleren van de aanvraag van het certificaat. Daardoor zijn ALLE certificaten die DigiNotar heeft uitgegeven nu 'verdacht' verklaard door Mozilla.

Natuurlijk is dat vervelend voor andere partijen (zoals digID) die wel geheel legitiem zijn en nu ook met een ongeldig certificaat zitten opgescheept, maar dat is de prijs die je betaalt om het systeem veilog te houden. Bedenk dat certificaten niet alleen gebruikt worden bij het 'groene balkje' in je webbrowser, maar ook bij de beveiliging van applicaties, code, emails etc. Hier zijn soms miljoenen mee gemoeid.
Ik denk eerder dat hij bedoelt dat het vreemd is dat er een update voor geheel Firefox moet komen speciaal voor dit. Lijkt me dat die certificaten via een apart update systeem snel beheerd moeten kunnen worden.
Zo vaak gebeurt het niet dat een hele registrar eruitgeschopt wordt. Natuurlijk kan het allemaal via een mini-update, maar er wordt toch al eens per maand/week/dag* een nieuwe versie uitgebracht, dus dan kan dit mooi mee.

*doorhalen wat niet meer van toepassing is
Root certs veranderen over het algemeen een keer in de paar jaar. Een apart updatemechanisme is volledig overbodig.
Is er niet iets voor te zeggen dat dit losse bestanden/licenties moeten zijn die snel kunnen worden verwijderd of aangepast?
Er is volgens mij een mechanisme binnen SSL/TLS wat expliciet voorziet in het intrekken van gecompromiteerde certificaten, alleen wordt dit systeem door niemand geimplementeerd. Hopelijk schud dit wat mensen wakker.
Jawel, dat mechanisme wordt prima geÔmplementeerd. Het is alleen juist niet van toepassing op *root* certificaten. Roots (er zijn er een stuk of 6, 7, laatste keer dat ik in m'n browser keek) zijn juist de basis van alle vertrouwen.

Daarom is dit ook juist een Really Big Deal.
176 stuks, in mijn browser, om precies te zijn.
Jochem Binst, woordvoerder van DigiNotar-eigenaar Vasco Security, claimde eerder dat de problemen bij DigiNotar geen problemen zouden hebben voor diensten van de overheid.
Blijkbaar wel...zie het screenshot van Firefox. het is even afwachten wat Chrome en Internet Explorer gaan doen maar het lijkt mij dat dat een vergelijkbaar resultaat op gaat leveren.
Het Ministerie van Binnenlandse Zaken heeft aangegeven het 'volle vertrouwen' in DigiNotar te hebben.
Wat is dit? Gevalletje van belangenverstrengeling? Struisvogel politiek? Of gewoon dommigheid?

Hoe kun je het als overheid verkopen certificaten te gebruiken van een frauduleuze partij voor een systeem wat al onder vuur ligt? (nieuws: Ombudsman veegt de vloer aan met DigiD)

Wanneer komt dan de doodsteek voor DigiD en wordt dit miljoenen project weer gestopt ?
Als het ministerie van binnenlandse zaken zijn vertrouwen in DigiNotar niet opzegt moeten we ons afvragen of wij het root-certificaat van de staat der nederlanden wel moeten vertrouwen.

Diginotar heeft door onoplettendheid, onkunde, of fraude de levens van miljoenen mensen in gevaar gebracht. Welke van deze twee zaken het is, is nu nog onbekend, maar dit is hoe dan ook onvergeeflijk.

Als een Arts een medische fout maakt waardoor het leven van 1 patient in gevaar wordt gebracht moet hij zich al verantwoorden. Nu hebben we een bedrijf dat de levens van miljoenen mensen in gevaar heeft gebracht, en het vertrouwen is niet geschaad?

Die mensen van diginotar zitten wel heel hoog (up the *ss) bij BZ.

(Ze hebben igg de schijn tegen)

[Reactie gewijzigd door psyBSD op 30 augustus 2011 12:18]

Daarom zegt het internet het vertrouwen in DigiNotar ook op ;)
Dat er bij de overheid enige incompetente figuren zitten is niets nieuws, de grote vraag is hoe we ze ertussenuit vissen en naar minder belangrijke baantjes doorverwijzen...
Lijkt me dat er hier gewoon een foutje is gemaakt met het intrekken van de certificaten. Neem aan dat dit wel recht gezet wordt voordat deze build gereleased wordt. Anders zou het inderdaad een enorme blunder zijn.
Lijkt me geen foutje, vertrouwen is geschonden (en dat was hun enige waarde).
Dit is geen blunder, maar gewoon de realiteit van SSL-certificaten. Certicaten werken middels een chain-of-trust. Die chain is nu onderbroken en alles wat is uitgegeven op basis van die chain is nu ongeldig. Dat is juist de bedoeling van de revoke functionaliteit.

DigiD (en andere partijen welke hun certificaat via DigiNotor hebbe verkregen) moet gewoon heel snel via een andere partij een nieuw certificaat aanvragen. Kosten uiteraard verhalen op DigiNotor maar da's voorlopig bijzaak.
Nu de enige inkomstenbron voor diginotar lijkt te verdampen, denk ik dat je weinig kunt gaan verhalen bij ze. Het is nu aftellen naar een failissement. Misschien moet je dat juist nog proberen voor te zijn.
opzich een beetje jammer dat direct alles als ''niet te vertrouwen'' wordt aangevinkt zonder dat er verdere controle uit wordt gevoerd op de reeds geleverde diensten van het bedijf in kwestie.
Heel jammer voor DigiNotar, de overheid zal een andere leverancier moeten zien te vinden voor een certificaat voor DigiD (of overstappen op een ander systeem >:) ).
Tja in deze zaken zijn de kleinste fouten al genoeg... SSL certificaten is volledig op vertrouwen gericht, een fout en je bent je vertrouwen kwijt, heel simpel...

Goede zaak dit dit zorgt er voor dat andere partijen alles 3 of 4x dubbel-checken en dat betekend dus kleinere kans op dit soort fouten...
Ik vindt juist dat dit de juiste manier is om met deze kwestie om te gaan!

Diginotar heeft bewezen niet betrouwbaar te zijn, dus is het het beste om gelijk alles te schrappen. Op die manier kunnen ze niet hetzelfde truukje opnieuw flikken met bijvoorbeeld Digid en wordt diginotar gelijk aan de digitale schandpaal genageld!

Alles eruit en diginotar nooit meer een dergelijke belangrijke vertrouwenspositie toekennen!
Nooit meer lijkt me een beetje overdreven, maar ze mogen wat mij betreft wel het hele toelatingstraject opnieuw doorlopen, inclusief alle controles en audits die daarbij horen.
Juist wel nooit meer, de site is gehackt sinds 2009 (zie hierboven) maar nooit opgemerkt of lek gedicht. Dit houd in dat er daar al jaren geen fatsoenlijke beveiliging word gedaan en er misschien tientallen of honderden certificaten zijn uitgedeeld.

Het is dus niet een eemalig foutje dat iedereen kan overkomen, maar gebeurt al jaren constant bij dat bedrijf.
Het probleem is dat schijnbaar de Nederlandse overheid een eigen rootcertificaat heeft en dat dit ook niet vertrouwd wordt door Mozilla. Dat slaat simpelweg nergens op.
De Nederlandse overheid word nog vertrouwd door Mozilla, alleen het intermediate certificaat wat ze aan DigiNotar gegeven hebben onder de Staat der Nederlanden CA niet meer.
Nee, de overheid vertrouwde op DigiNotar voor dat certificaat... Nu zij onbetrouwbaar gebleken zijn, dondert het systeem dus even in elkaar.
Ze hebben geen "eigen" rootcertificaat. Ze hebben een certificaat dat door Diginotar wordt beheerd. Oftewel de private key van dat rootcertificaat staat bij diginotar. En is dus gecompromitteerd. Terecht untrusted dus.
Als Mozilla blijft vasthouden aan het schrappen van alle DigiNotar-certificaten, kunnen Firefox-gebruikers dus niet meer vertrouwen op een veilig inlog op DigiD

Ik vind dit ietwat kort door de bocht. Men moet zelf de beslissing nemen het certificaat wat op dit moment daar draait te vertrouwen, en is het veilig inloggen, dus eigenlijk niet in het geding. Dat uitspreken van vertrouwen gebeurt nu impliciet, maar dat zegt dus ook niet altijd alles, zoals deze affaire aantoont.

Dat het geen fijne melding is voor de gebruiker, en dus ook zeer onwenselijk voor de DigiD lijkt me natuurlijk wel duidelijk.
En wie zegt dat DigiNotar geen certificaten heeft verstrekt aan jan en alleman voor het digid domein? Bij google hebben ze dat kunstje ook gedaan.
Daar heb je gelijk in. Het hele systeem is gebouwd op vertrouwen, en dat is nu grof geschonden.

Hier wordt echter gesteld dat door het vasthouden van Mozilla aan het schrappen van de certificaten, de communicatie onveilig wordt. Daar ben ik het mee oneens. De veiligheid is afhankelijk van je vertrouwen in het certificaat. Of Mozilla dat wel of niet doet, heeft er dan niet zoveel mee te maken, en is puur een hulpmiddel, aangezien je zelf niet alle certificaten gaat nalopen. (of zoals chrome, even naar huis belt om het echt te checken)

Ik lees hierboven overigens dat DigiNotar mogelijk gehackt is, de portal site is dat iig. Dat versterkt mijn mening: ze zijn helemaal terecht geblokkeerd.

Edit: Typo

[Reactie gewijzigd door Flight77 op 30 augustus 2011 12:27]

Nee, het wordt wel degelijk onveilig. Als ik nu zelf een certificaat maak (zonder DigiNotar) en dat zelf onderteken zal de browser exact dezelfde foutmelding laten zien. Op het moment dat mensen gewend zijn aan het wegklikken van die melding voor DigID kan ik alles onderscheppen zonder dat ze dat merken.
Het feit dat Mozilla de ene, of de andere melding laat zien maakt het volgens mij niet veiliger of onveiliger. Daarnaast heeft Mozilla enkel een andere optie: geen melding weergeven.

De waarschuwing van Mozilla zou ook moeten dienen als een waarschuwing, zoals we verkeersborden kennen. Een verkeersbord dat een maximum snelheid van 50km/h aangeeft, wil niet zeggen dat die snelheid altijd veilig is. Aan de andere kant beperkt het de weggebruiker ook niet tot die snelheid.

De bestuurder moet zelf nadenken: bij mist/sneeuw misschien iets rustiger aan, terwijl de hulpdiensten wat harder kunnen/mogen als noodzakelijk is.

Het verkeersbord zelf wijst erop dat de bestuurder moet opletten en geeft een indicatie wat hij kan verwachten. Het verkeersbord ansich maakt de situatie niet veiliger/onveiliger. Het staat er maar een beetje te staan.

Zelfde geldt voor de melding in Mozilla. Als je dat niet begrijpt, weet je niet goed wat je doet. Als je niet leest, is dat je eigen verantwoordelijkheid (ook als het overgrote deel van de internetters het niet doet).

[Reactie gewijzigd door EnigmA-X op 30 augustus 2011 13:28]

Wel als mensen eraan gewend raken, hoe erg dat je eigen schuld is, lang niet iedereen weet wat het inhoudt en de meeste mensen denken daarnaast dat het wel mee zal vallen, al dan niet omdat het van de overheid is. Helemaal als de helpdesk vertelt dat het aan de browser ligt en niet aan DigID (Ex-KPN-er in 'nieuws: Firefox vertrouwt certificaat DigiD niet meer') werk je gewenning in de hand, niet alleen voor DigID maar ook voor andere sites ("hee dat had ik bij DigID ook, dat kan je zo oplossen").
Als je op dit moment het certificaat van DigiD download en in je trusted certificates plaatst (ok, ik weet dat niet iedereen dat kan), of in firefox een uitzondering maakt, komt de melding volgens mij niet meer terug voor dat certificaat, maar wel als er een ander (vervalst) certificaat staat.

Ik heb er zelf niet genoeg mee gespeeld om hier zeker over te zijn, maar zo zou het mijns inziens moeten werken.
Men moet zelf de beslissing nemen het certificaat wat op dit moment daar draait te vertrouwen, en is het veilig inloggen, dus eigenlijk niet in het geding.
Je beweert dat veilig inloggen niet in het geding is. Maar is dat wel zo?

Aan wie zou Diginotar nog meer een certificaat voor het domein digid.nl hebben verkocht?

Als dat gebeurd zou zijn, kan jij als gebruiker kan er niet meer van op aan dat als je inlogt bij digid.nl je ook echt op de servers van digid.nl inlogt.
Vind dat diginotar nooit een verkoop van ssl certificaten aan een dergelijk land had moeten doorvoeren om een soort belemmering te creŽren om met gevaar voor lijf en leven van burgers in het land door hun vrijheid op te offeren door een ssl bedrijf , je kan het op zijn minst een zeer kwalijke zaak noemen.

Bekent was ook dat er al eerdere pogingen/uitvoering door de Iraanse Regering heeft plaats gevonden omtrent deze praktijken, dus het bedrijf zou hebben kunnen weten wat er zou plaats kunnen vinden omtrent deze ssl certificaten.

Dat Mozilla zo reageert is goed te begrijpen zou zelf ook geen vertrouwen meer hebben in een bedrijf dat zulke verkopen met een land zoals Iran doet en hun geloofwaardigheid welke kenmerken in het vaandel beschreven staan in hun statement omtrent veiligheid op het internet, het lijkt me meer een slogan zonder betekenis te zijn.

Hiermee zet Mozilla /Microsoft eigenlijk een heel goed statement neer om DigiID die ook via diginotar loopt te weren waarschijnlijk om die zelfde reden, waarschijnlijk is de geloofwaardigheid van dit bedrijf omtrent veiligheid ver te zoeken en heeft het geholpen aan het schenden van internationaal mensenrecht of op zijn minst het in het gevaar brengen van personen die op eventuele vervolging kunnen rekenen door deze actie.

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Gamecontrollers Smartphones Apple Sony Microsoft Games Wetenschap Besturingssystemen Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013