Overheid vertrouwt blunderende ssl-autoriteit
Het standpunt van de overheid dat de PKIoverheid-ssl-certificaten van DigiNotar nog te vertrouwen zijn, is gebaseerd op informatie van het gehackte bedrijf zelf. Er is geen eigen onderzoek verricht naar aanleiding van de onthullingen.
De overheid stelt zonder eigen onderzoek dat de zogenoemde PKIoverheid-ssl-certificaten van DigiNotar nog te vertrouwen zijn. Opvallend genoeg baseert de overheid dit op informatie van het gehackte bedrijf zelf. "Wij hebben na de gebeurtenissen contact opgenomen met DigiNotar en ze een behoorlijk aantal vragen gesteld", aldus Nathalie Doesberg, woordvoerster van de overheidsorganisatie Govcert.
"Die informatie heeft ons tot op heden geen reden gegeven om het vertrouwen in de PKIoverheid-certificaten van DigiNotar op te zeggen." De PKIoverheid-certificaten worden onder meer gebruikt op overheidssites als DigiD, de Belastingdienst en de DUO. DigiNotar is een van de zes bedrijven die deze certificaten mogen uitgeven.
Dat de overheid de informatie van DigiNotar vertrouwt zonder eigen onderzoek te doen, is op zijn minst merkwaardig te noemen: niet alleen zijn hackers erin geslaagd om de systemen van dat bedrijf binnen te dringen, ook heeft het bedrijf anderhalve maand lang niet gemerkt dat minstens één door die hackers gegenereerd ssl-certificaat nog niet was ingetrokken.
Ook door het bedrijf ingehuurde onderzoekers van PwC bemerkten dit niet. Er wordt momenteel door Fox-IT een onderzoek uitgevoerd, maar de resultaten daarvan zijn nog niet bekend. Het gaat hierbij overigens wel om een ander type certificaat, dat door een aparte root-autoriteit - DigiNotar zelf - wordt uitgereikt. De hack roept echter vragen op over de beveiliging van DigiNotar.
Nadat Iraanse Google-gebruikers ontdekten dat een certificaat van DigiNotar werd gebruikt in een man in the middle-aanval, waarbij verkeer naar een server wordt onderschept, lichtte Govcert.nl DigiNotar in. Toen pas werd het betroffen certificaat door DigiNotar ingetrokken. Het is onduidelijk of er nog andere, valse ssl-certificaten van DigiNotar in omloop zijn; het bedrijf kan dat niet uitsluiten.
Volgens de overheid is dat echter nog steeds geen reden om aan de betrouwbaarheid van de PKIoverheid-certificaten te twijfelen: de overheidscertificaten zouden losstaan van de certificaten die DigiNotar zelf als root-autoriteit uitreikt. Hoe die processen precies gescheiden zijn, is echter onduidelijk. Volgens Doesberg heeft de overheid daar 'inzicht' in verkregen, maar ze wil niet in details treden.
Beveiligingsexpert Roel Schouwenberg van antivirusbedrijf Kaspersky stelt dat er wel degelijk reden is om te twijfelen aan de veiligheid van die certificaten. "Ze stellen dat er een externe audit is uitgevoerd, maar daarin is het vervalste Google-certificaat over het hoofd gezien", aldus Schouwenberg.
In de nieuwste Google Chrome-versie zijn 247 certificaten van DigiNotar geblokkeerd. Volgens de topman van beveiligingsbedrijf F-Secure, Mikko Hypponen, betekent dat dat de DigiNotar-hackers 247 frauduleuze ssl-certificaten hebben uitgegeven. Dat zegt hij op Twitter.
Het Beverwijkse bedrijf DigiNotar kwam maandag in het nieuws toen bekend werd dat een certificaat van het bedrijf waarschijnlijk in Iran is gebruikt om gebruikers van Google te bespioneren door middel van een man in the middle-aanval. Het certificaat, dat voor alle subdomeinen van Google.com geldig was, had nooit mogen worden uitgegeven.
Ondertussen hebben verschillende browsermakers het vertrouwen in DigiNotar-certificaten opgezegd. Voor de PKIoverheid-certificaten heeft dat geen gevolgen. Alleen Firefox was aanvankelijk van plan om ook die certificaten te blacklisten, maar daar is het na een verzoek van de Nederlandse overheid op teruggekomen. In de nieuwste Firefox-update worden DigiNotar-certificaten niet meer vertrouwd, maar worden de PKIoverheid-certificaten uitgezonderd. Daardoor kan op DigiD.nl nog zonder foutmelding via https worden ingelogd.
Dat kan echter niet wanneer een andere website DigiD gebruikt om in te loggen, zoals MijnOverheid.nl: de root-autoriteit 'Staat der Nederlanden Root CA - G2' is niet gewhitelist, waardoor in dat geval alsnog een foutmelding wordt weergegeven. Dat meldt overheids-ict-organisatie Logius in een mail. Overigens ontkent Govcert.nl-woordvoerster Doesberg dat de overheid Mozilla heeft verzocht de certificaten niet te blacklisten: er zou wel overleg met Mozilla zijn geweest, maar de browsermaker zou een 'eigen afweging' hebben gemaakt.
DigiNotar hoopt dat Mozilla, Google en Microsoft zijn certificaten eind deze week weer accepteren. Het bedrijf geeft gedupeerde klanten met een geblacklist certificaat echter ook de mogelijkheid om over te stappen op een PKIoverheid-certificaat. Daarvoor gelden wel strengere regels. Govcert heeft er geen problemen mee dat certificaten die voor de overheid zijn bedoeld, worden gebruikt als workaround.
Reacties (125)
DigiNotar heeft hier z'n eigen graf gegraven door geheimzinnig te doen en niet te melden wat er gebeurd is. Dat is gedrag wat niet past bij een betrouwbare CA.
Wat mij betreft kunnen ze hun biezen pakken, voor de PKIoverheid zijn er nog andere CSP's.
Wat mij betreft kunnen ze hun biezen pakken, voor de PKIoverheid zijn er nog andere CSP's.
Inderdaad, het viel mij ook al op dat een CA nota bene geen enkele melding doet van hacks en frauduleus uitgegeven certificaten. Dat dit specifieke geval al anderhalve maand speelt is onacceptabel en had direct gemeld moeten worden. De eerder uitgevoerde hacks ook trouwens.
Verder vind ik het erg storend dat ze niet eens alle sporen van de hack wisten te verwijderen (de paar die publiek zichtbaar en bekend waren hebben ze gisteren weggehaald) en dat ze, gezien de gebeurtenissen, kennelijk zelf nog vertrouwen hebben in het niet-compromised zijn van hun key. Op het moment dat derden certificaten kunnen ondertekenen zonder je medeweten en je zelfs zelf nog een certificaat mist, kan je m.i. helemaal niet meer stellen dat je infrastructuur veilig is en zal je opnieuw moeten beginnen vanaf scratch.
Verder vind ik het erg storend dat ze niet eens alle sporen van de hack wisten te verwijderen (de paar die publiek zichtbaar en bekend waren hebben ze gisteren weggehaald) en dat ze, gezien de gebeurtenissen, kennelijk zelf nog vertrouwen hebben in het niet-compromised zijn van hun key. Op het moment dat derden certificaten kunnen ondertekenen zonder je medeweten en je zelfs zelf nog een certificaat mist, kan je m.i. helemaal niet meer stellen dat je infrastructuur veilig is en zal je opnieuw moeten beginnen vanaf scratch.
Als een CA elke poging (gelukt of niet gelukt) zou vermelden, zou je waarschijnlijk ook minder vertrouwen in een CA hebben.
Het is een wisselwerking...
Het is een wisselwerking...
Gezien hun rol in de infrastructuur is het toch ook hartstikke terecht om het vertrouwen in een CA te verliezen na een geslaagde hack? Je kan anders net zo goed het hele systeem in de prullenbak flikkeren aangezien je dan nooit meer kan vertrouwen dat je op de juiste site terecht bent gekomen.
Pogingen die niet gelukt zijn hoef ik niet noodzakelijkerwijs van te weten (ze zijn niet gelukt, dat was het punt van de beveiliging dus daarmee is de kous wat mij betreft af), maar waar dat wel gelukt is is het erg belangrijk dat dat bekend is zodat dergelijke certificaten geblacklist kunnen worden, en als het erg genoeg is de CA certificate zelf gerevoked.Als een CA elke poging (gelukt of niet gelukt) zou vermelden, zou je waarschijnlijk ook minder vertrouwen in een CA hebben.
Ik zei het al in een eerdere thread: het is een CA op zich te vergeven als ze een keer een inbraak hebben. Geen beveiliging is perfect en als je te maken hebt met iemand die specifiek bij jou tracht in te breken gaat 'm dat waarschijnlijk op een gegeven moment wel lukken.
Het belangrijkste is hoe je daar mee om gaat. De correcte respons is ten eerste disclosure: je vertelt de gemeenschap wat er gebeurd is.
Aan de hand van wat er gebeurd is kun je kijken wat de impact is op je CA. Als de daadwerkelijke signing key gecompromitteerd is, bijvoorbeeld, onmiddelijk je hele certificaat revoken en een nieuwe maken. Als alleen maar een systeem om geautomatiseerd certificaten te maken gecompromitteerd is (dwz, een hypothetische request in -> certificiaat uit service), kan het genoeg zijn om de individuele certificaten te revoken. Wat hierin precies juist is ligt aan de exacte situatie, maar in geen geval is het acceptabel om stilletjes de certs te revoken en daarna te doen alsof er niets gebeurd is.
Als je in het buitenland zit en bijvoorbeeld gmail gebruikt, was het wel handig als deze hack bekend was.
Figuurlijk gezichtsverlies voor een bedrijf is minder fataal dan letterlijk verlies je hoofd omdat je e-mails onderschept zijn.
Figuurlijk gezichtsverlies voor een bedrijf is minder fataal dan letterlijk verlies je hoofd omdat je e-mails onderschept zijn.
Ik wil helemaal geen vertrouwen hebben in een CA die zoiets overkomt en er dan zo op reageert.
Eerder stond in een tweakers bericht dat er wel degelijk melding is gemaakt van de hack(s). De schade, valse certificaten, is alleen niet bekend. Door dit zo rigoureus op te pakken in de media wint er niemand wat mee.
Het 'aantonen' door hackers van het gebrek aan beveiliging op verschillende sites is ook niet goed te praten. Als iemand wilt, komt hij/zij altijd binnen (denk maar aan Brinks). Op het web is dit niet anders. Je kijkt raar op als thuis al je spullen weg zijn met een briefje dat het slecht beveiligd was omdat je geen bewakers en beveiliging dag en nacht rond je huis hebt.
Ik wacht op een initiatief van politie/overheid waarbij digitale criminaliteit (beter en harder) wordt aangepakt. Personen en bedrijven (zoals DigiNotar) zouden hier melding kunnen doen (aangifte) waarna de klopjacht op de 'boeven' kan beginnen. DigiNotar is een slachtoffer.
- De hackers die prachtig werk hebben verricht om zo aan hun gestolen en valse waar te komen bezitten ongeldige certificaten.
- De eigenaar/personeel van DigiNotar krijgen het thuis behoorlijk spannend. Komt er nog wel brood op de plank om vrouwlief en de 3 kinderen te onderhouden de aankomende tijd?
- De overheid zou nieuwe certificaten aan moeten vragen wat ons allemaal uiteindelijk geld kost.
Het 'aantonen' door hackers van het gebrek aan beveiliging op verschillende sites is ook niet goed te praten. Als iemand wilt, komt hij/zij altijd binnen (denk maar aan Brinks). Op het web is dit niet anders. Je kijkt raar op als thuis al je spullen weg zijn met een briefje dat het slecht beveiligd was omdat je geen bewakers en beveiliging dag en nacht rond je huis hebt.
Ik wacht op een initiatief van politie/overheid waarbij digitale criminaliteit (beter en harder) wordt aangepakt. Personen en bedrijven (zoals DigiNotar) zouden hier melding kunnen doen (aangifte) waarna de klopjacht op de 'boeven' kan beginnen. DigiNotar is een slachtoffer.
...maar aan de andere kant net zo goed verantwoordelijk voor het falen van dit geheel. Onafhankelijk van hoe zwaar hacken bestraft moet worden is het draaien van een root-CA een extreem zware verantwoordelijkheid: feitelijk rust zo ongeveer het complete vertrouwen in alle publieke encrypted verbindingen op je. Op het moment dat je dan niet alleen gehacked word, maar ook nog es faalt in het afhandelen ervan, mag je wat mij betreft op de fles. Natuurlijk is het klote voor het personeel van Diginotar, maar zeg nu zelf: als jij je brood bij een bakker haalt en het blijkt ineens dag in dag uit aangebrand te zijn, blijf je er toch ook geen klant omdat het anders zo zielig voor de familie van de bakker is dat die man ineens zonder werk zit?
Ik zeg: wieberen die handel. En dan heb ik het nog niet eens gehad over de rare beslissing om gedupeerde bedrijven dan maar onder een overheidscertificaat te laten vallen.
Ik zeg: wieberen die handel. En dan heb ik het nog niet eens gehad over de rare beslissing om gedupeerde bedrijven dan maar onder een overheidscertificaat te laten vallen.
Ja, laten we Iran aansporen hun hackers harder te straffen, dat zal ze leren! Dat is natuurlijk een oplossing van niks. Leuk als je de Nederlandse criminelen ermee kunt pakken, maar je beschermen tegen hackers uit andere landen of zelfs overheidsdiesten doe je er niet mee.Laten we niet vergeten dat er door de acties van hackers (weer) een (Nederlands) bedrijf kapot wordt gemaakt. Het is een kwalijke zaak vandaag de dag en er moeten echt meer, betere en hardere straffen op worden gezet.
Jawel, bedrijven moeten zich leren te realiseren dat dergelijke hacks bepaald geen kattepis zijn, en dat ze daar goed tegen op moeten treden. DigiNota heeft hier gewoon belangrijke steken laten vallen. Blijkbaar is er een certificaat door een audit heen geslipt, dat wekt niet echt de betrouwbaarheid dat de rest van de certificaten wél stuk voor stuk valide zijn. Kunnen we wel medelijden gaan hebben met het personeel, maar feit blijft dat ook jouw privacy mogelijk in het geding is de volgende keer dat je inlogt op DigiD. Leesvoer.Door dit zo rigoureus op te pakken in de media wint er niemand wat mee.
Dat is de schuld van dat bedrijf zelf, niet van de media. Wie zijn billen brandt, moet op de blaren zitten.De eigenaar/personeel van DigiNotar krijgen het thuis behoorlijk spannend
[Reactie gewijzigd door .oisyn op 31 augustus 2011 14:45]
Sterk verhaal op 1 stuk na:
Je kunt niet van mensen (met blijkbaar heel veel kennis van beveiliging) verwachten dat ze kosteloos je website checken en eventuele problemen bij je onder de aandacht brengen, voor niets gaat immers de zon op.
Ik vindt dit absoluut goed te praten, sterker nog die mensen zouden ervoor betaald moeten worden zolang ze het met goede bedoelingen doen.Het 'aantonen' door hackers van het gebrek aan beveiliging op verschillende sites is ook niet goed te praten. Als iemand wilt, komt hij/zij altijd binnen (denk maar aan Brinks).
Je kunt niet van mensen (met blijkbaar heel veel kennis van beveiliging) verwachten dat ze kosteloos je website checken en eventuele problemen bij je onder de aandacht brengen, voor niets gaat immers de zon op.
De medewerkers van DigiNotar zijn inderdaad een slachtoffer van hackers.
De problemen die 'zo rigoureus in de media worden opgepakt' zijn niet alleen het gevolg van de hack, iedereen kan immers gehacked worden. De problemen die nu worden beschreven zijn hoofdzakelijk het gevolg van de acties die DigiNotar heeft genomen om de gevolgen van de hack te elimineren.
De enige correcte actie van de kant van DigiNotar was geweest dat zij direct hun root-certificaten hadden ge-revoked, en hier (en voor al hun klanten) nieuwe voor hadden gegenereerd. Dit is de reden dat klanten veel geld betalen voor een 'simpel certificaatje', als de pleuris uitbreekt wordt er door een CA direct, en adequaat op gereageerd.
Dit heeft DigiNotar niet gedaan, en daarin zijn zij in gebreke gebleven. Elke idioot kan een ssl-certificaat ondertekenen, een CA moet integer zijn en instaat zijn om bij problemen direct te reageren en de juiste acties te ondernemen om het probleem te tackelen. Hierin is DigiNotar niet geslaagd.
Het feit dat we nu, 1.5 maand nadat DigiNotar de hack zou hebben ontdekt, nog steeds geen nieuw root-certificaat hebben gekregen ondermijnt het hele systeem van vertrouwen waar SSL-keysigning van samenhangt.
Als we een CA niet kunnen vertrouwen, wie dan wel?
De problemen die 'zo rigoureus in de media worden opgepakt' zijn niet alleen het gevolg van de hack, iedereen kan immers gehacked worden. De problemen die nu worden beschreven zijn hoofdzakelijk het gevolg van de acties die DigiNotar heeft genomen om de gevolgen van de hack te elimineren.
De enige correcte actie van de kant van DigiNotar was geweest dat zij direct hun root-certificaten hadden ge-revoked, en hier (en voor al hun klanten) nieuwe voor hadden gegenereerd. Dit is de reden dat klanten veel geld betalen voor een 'simpel certificaatje', als de pleuris uitbreekt wordt er door een CA direct, en adequaat op gereageerd.
Dit heeft DigiNotar niet gedaan, en daarin zijn zij in gebreke gebleven. Elke idioot kan een ssl-certificaat ondertekenen, een CA moet integer zijn en instaat zijn om bij problemen direct te reageren en de juiste acties te ondernemen om het probleem te tackelen. Hierin is DigiNotar niet geslaagd.
Het feit dat we nu, 1.5 maand nadat DigiNotar de hack zou hebben ontdekt, nog steeds geen nieuw root-certificaat hebben gekregen ondermijnt het hele systeem van vertrouwen waar SSL-keysigning van samenhangt.
Als we een CA niet kunnen vertrouwen, wie dan wel?
Ze hebben natuurlijk wel ook nog door een externe partij als Price Waterhouse Coopers een audit laten doen.
Dat was op zich ook een correcte actie.
Dat was op zich ook een correcte actie.
Dat ben ik helemaal met je eens, dat is de een correcte actie die is uitgevoerd.
edit:
Hierin is PWC dus ook niet vrij te pleiten. Maar DigiNotar blijft verantwoordelijk.
edit:
Hierin is PWC dus ook niet vrij te pleiten. Maar DigiNotar blijft verantwoordelijk.
[Reactie gewijzigd door psyBSD op 31 augustus 2011 15:58]
Audit is niet meer dan checken of procedures worden gevold en of er mogelijke problemen zijn met deze procedures. Een hack is technisch, je hebt dan een beveiligingsbedrijf nodig; niet zo zeer een auditbedrijf.
En hoe er op die hack wordt gereageerd is een procedurele actie.
Ze hebben dus duidelijk niet een goede procedure gehad, of de procedure die ze hadden is niet gevolgd.
Twee redenen voor PWC om niet akkoord te gaan met wat ze tijdens hun (door Diginotar betaalde!) audit hebben gevonden.
Ze hebben dus duidelijk niet een goede procedure gehad, of de procedure die ze hadden is niet gevolgd.
Twee redenen voor PWC om niet akkoord te gaan met wat ze tijdens hun (door Diginotar betaalde!) audit hebben gevonden.
linkje naar nieuwswebsite:Eerder stond in een tweakers bericht dat er wel degelijk melding is gemaakt van de hack(s). De schade, valse certificaten, is alleen niet bekend.
[...]
Laten we niet vergeten dat er door de acties van hackers (weer) een (Nederlands) bedrijf kapot wordt gemaakt. Het is een kwalijke zaak vandaag de dag en er moeten echt meer, betere en hardere straffen op worden gezet.
[...]
Ik wacht op een initiatief van politie/overheid waarbij digitale criminaliteit (beter en harder) wordt aangepakt.
[...]
DigiNotar is een slachtoffer.
“This cert was issued in JULY of 2011 and it is now just a few days before SEPTEMBER. It is being used in the wild against real people in Iran *right* now.”
Ofwel sinds juli(!) kan Iran onderschepte versleutelde verbindingen van eigen bevolking decrypten. Die verbindingen zijn wellicht niet zonder reden encrypt voor de Iraanse staat.
En dan zeggen dat de Nederlands politie wat moet doen: de boodschapper en Iraniërs arresteren? En Digitar "slachtoffer" is. Ruim een maand later en dan pas weten wat of de gevolgen van een inbraak in de beveiligingsbedrijf zijn, bij benadering, ook dat nog. Te triest voor woorden. Digitar is het vertrouwen bij mij definitief kwijt.
Hmmm, je eindconclusie zou moeten zijn, 'Diginotar is slachtoffer van zichzelf'.
Het feit dat dit commerciële bedrijf ten onder zou moeten gaan, komt toch echt door eigen incompetentie, op verschillende niveau's, zowel technisch als communicatief. Dit is in de vele reacties al redelijk vaak aangegeven. Dat hierbij mensen zonder werk komen te zitten moet je de directeur aanrekenen, die is hier verantwoordelijk voor. Ik vind het bijna stuitend dat je een paar personeelsleden (die hier in dit fijne land toch wel een nieuwe baan of anders een uitkering krijgen) boven het grotere belang van deze discussie zet, namelijk de veiligheid van het internet, helemaal in het licht van het mogelijke gevolg voor de mensen in Iran.
Ik praat niet het hacken goed, maar je redenering hierover klopt ook niet. Dat internetcriminaliteit moet worden aangepakt, ja, maar heb niet de naïeve houding 'je niet mag inbreken, boefje'. Zeker een bedrijf wat zo'n essentieel onderdeel van de veiligheid van het internet juist verzorgt, moet hierop behoedt zijn, heeft een hele grote verantwoordelijkheid hierdoor. Deze zijn ze niet nagekomen, dus verlies je het recht om dit nog te verzorgen, zo simpel is het uiteindelijk.
Je opmerking over het geld dat het 'ons' kost valt in het niet bij het hierbovengenoemde.
Het feit dat dit commerciële bedrijf ten onder zou moeten gaan, komt toch echt door eigen incompetentie, op verschillende niveau's, zowel technisch als communicatief. Dit is in de vele reacties al redelijk vaak aangegeven. Dat hierbij mensen zonder werk komen te zitten moet je de directeur aanrekenen, die is hier verantwoordelijk voor. Ik vind het bijna stuitend dat je een paar personeelsleden (die hier in dit fijne land toch wel een nieuwe baan of anders een uitkering krijgen) boven het grotere belang van deze discussie zet, namelijk de veiligheid van het internet, helemaal in het licht van het mogelijke gevolg voor de mensen in Iran.
Ik praat niet het hacken goed, maar je redenering hierover klopt ook niet. Dat internetcriminaliteit moet worden aangepakt, ja, maar heb niet de naïeve houding 'je niet mag inbreken, boefje'. Zeker een bedrijf wat zo'n essentieel onderdeel van de veiligheid van het internet juist verzorgt, moet hierop behoedt zijn, heeft een hele grote verantwoordelijkheid hierdoor. Deze zijn ze niet nagekomen, dus verlies je het recht om dit nog te verzorgen, zo simpel is het uiteindelijk.
Je opmerking over het geld dat het 'ons' kost valt in het niet bij het hierbovengenoemde.
Misschien ben ik gek, maar het is toch precies de bedoeling dat de bad guys geen geldige certificaten hebben...!?wint er niemand wat mee.
- De hackers die prachtig werk hebben verricht om zo aan hun gestolen en valse waar te komen bezitten ongeldige certificaten.
Dat is inderdaad een probleem, maar wat is het alternatief? DigiNotar in de lucht houden en een heleboel Iraanse dissidenten laten "verdwijnen" zodat de werknemers van DigiNotar hun baan kunnen houden?- De eigenaar/personeel van DigiNotar krijgen het thuis behoorlijk spannend. Komt er nog wel brood op de plank om vrouwlief en de 3 kinderen te onderhouden de aankomende tijd?
Zie boven; dat is me eenmalig wel die paar ton (??) kosten voor de overheid waard. Je zou overigens ook kunnen proberen deze kosten te verhalen op de eigenaar / het management van DigiNotar.- De overheid zou nieuwe certificaten aan moeten vragen wat ons allemaal uiteindelijk geld kost.
Op de website van DigiNotar zijn de eerste meldingen pas op 30-8 verschenen, veel te laat dus. Duidelijk een bedrijf dat pas fouten toegeeft als het door anderen al in de publiciteit is gebracht.
Als CA is het niet uit te leggen dat ze blijkbaar geen onafhankelijke volledig gescheiden traces hebben van al het dataverkeer, zeker wat betreft uitgegeven certificaten waardoor ze beter hadden kunnen zien welke certificaten verdacht waren. Ze hebben hun systemen/beveiliging gewoon niet goed op orde.
Als CA is het niet uit te leggen dat ze blijkbaar geen onafhankelijke volledig gescheiden traces hebben van al het dataverkeer, zeker wat betreft uitgegeven certificaten waardoor ze beter hadden kunnen zien welke certificaten verdacht waren. Ze hebben hun systemen/beveiliging gewoon niet goed op orde.
Dit is natuurlijk onzin, als jij thuis iets hebt wat van dergelijke waarde is of een dergelijk belang heeft dan ga je dat netjes beveiligen of naar de bank brengen. Tevens zijn er 3 enorme verschillen tussen Brink en Diginotar.Het 'aantonen' door hackers van het gebrek aan beveiliging op verschillende sites is ook niet goed te praten. Als iemand wilt, komt hij/zij altijd binnen (denk maar aan Brinks). Op het web is dit niet anders. Je kijkt raar op als thuis al je spullen weg zijn met een briefje dat het slecht beveiligd was omdat je geen bewakers en beveiliging dag en nacht rond je huis hebt.
1 Er is geen geweld bebruikt, daar kan een private instantie inderdaad weinig tegen beginnen.
2 Het gaat om hacken, hackers kunnen in principe binnen komen, hun dingen doen en verbinding verbreken zonder opgemerkt te worden, dat mag nooit gebeuren. Gebeurt je dit wel dan heb je je beveiliging niet op orde - punt.
3 Brinks heeft na de 'kraak'/'roof' de politie gebeld. Diginotar heeft niets gezegd.. Achteraf blijkt dat hun doofpot tactiek niet gewerkt heeft.
Wil je nu werkelijk zeggen dat een bedrijf waar wij ons vertrouwen in moeten leggen ons mag bedonderen (doofpot), vervolgens kan claimen dat er verder niets ergens aan de hand is zonder aan te tonen dat dit werkelijk zo is, en nu verder te gaan alsof er nooit iets is gebeurd? Vrouw en kinderen komen echt niet om van de honger, zo erg is het hier nog niet. Anders dan in Iran waar je opgepakt kan worden omdat je iets hebt gemaild wat de staat niet aan staat. Ik wil je ook niet horen als je per ongeluk je hele bankrekening overhandigd aan deze Iraanse hackers..
Als dit soort gedrag en werkwijzen niet bestraft worden kunnen we net zo goed geen CA's meer hebben. We kunnen zelf ook wel een certificaat genereren. Het punt van een certificaat is juist dat je weet dat je met de ECHTE server contact legt. Dat punt is er niet meer als we niet op CA's kunnen rekenen. Kortom, blacklist - einde oefening. De staat moet IMO ook geen vertrouwen in een dergelijk bedrijf hebben.
Mja, gaat het niet vaak zo met de overheid op gebied van IT?
Ik vind het wel vreemd, de sleutel die eigenlijk moet garanderen dat je op het juiste netwerk zit kan in gevaar zijn, maar dan vertrouw je het bedrijf zelf die het gevaar heeft veroorzaakt...
Vreemde bedoeling allemaal, als ze nou eens een onafhankelijke expert er over raadplegen
Ik vind het wel vreemd, de sleutel die eigenlijk moet garanderen dat je op het juiste netwerk zit kan in gevaar zijn, maar dan vertrouw je het bedrijf zelf die het gevaar heeft veroorzaakt...
Vreemde bedoeling allemaal, als ze nou eens een onafhankelijke expert er over raadplegen
Dit heeft niets met de overheid te maken en alles met Vasco's volle dochter DigiNotar. Kijk voor de gein gelijk even wie je Rabo Random Reader levert.
Dit heeft zeker wel wat met de overheid te maken....
Je gaat toch niet een bedrijf vertrouwen dat zijn eigen zaakjes qua beveiliging niet op orde heeft?
De overheid moet een eigen onafhankelijke expert raadplegen of het nog verstandig is om in zee te gaan met diginotar.
Bovendien heb ik geen rabo reader.
Je gaat toch niet een bedrijf vertrouwen dat zijn eigen zaakjes qua beveiliging niet op orde heeft?
De overheid moet een eigen onafhankelijke expert raadplegen of het nog verstandig is om in zee te gaan met diginotar.
Bovendien heb ik geen rabo reader.
ABN e.dentifier 1, SNS digipass of Fortis mischien wel? Allemaal Vasco.
of te wel de enige grote bank die geen vasco doet is ING.
of te wel de enige grote bank die geen vasco doet is ING.
Raad eens, ik zit bij ING 
Ik krijg gewoon TAN codes op mijn mobiel die beveiligd is met kaspersky, dus ja dat is veilig (volgens de Russen
)
Ik krijg gewoon TAN codes op mijn mobiel die beveiligd is met kaspersky, dus ja dat is veilig (volgens de Russen
)
Kaspersky mobile
Do I need to say more?
Do I need to say more?
Ook SMS-en vertoont wat scheurtjes. En ik denk niet dat Kaspersky dat oplost .
http://www.computable.nl/...thenticatie.html#reacties#ixzz0cL7VD5ZF
http://www.computable.nl/...thenticatie.html#reacties#ixzz0cL7VD5ZF
Met dit nieuws.
DigiNotar: mogelijk nog valse certificaten in omloop.
Lijkt het me dat de Nederlandse overheid nog eens serieus naar deze zaak moet kijken.
Wat is belangrijker vriendjes politiek of de belangen van je burgers?
DigiNotar: mogelijk nog valse certificaten in omloop.
Lijkt het me dat de Nederlandse overheid nog eens serieus naar deze zaak moet kijken.
Wat is belangrijker vriendjes politiek of de belangen van je burgers?
De AIVD is er ook mee bezig...
En dus ? zoals je hieronder kan zien mogen commerciele instellingen nu kosteloos ook de overheids certificaten gebruiken.
Ik durf te wedden dat mening ICT-er dit hele verhaal met grote ogen zit te volgen over hoe stom onze regering en dit bedrijf handel hiermee.
Ik durf te wedden dat mening ICT-er dit hele verhaal met grote ogen zit te volgen over hoe stom onze regering en dit bedrijf handel hiermee.
Wat mij verbaast is het dat ook hier het gebruikelijke tempo van de overheid gehanteerd wordt. Met dit soort zaken kun je je echt geen weken bezighouden om eens tot actie over te gaan.
Daar ontbreekt nuancering. Bepaalde commerciele instellingen (reeds klant van DigiNotar) mogen nu op kosten van DigiNotar certificaten aanvragen die onder de PKIoverheid vallen. Dat mocht altijd al, maar dat is extra duur en extra ingewikkeld. Nu is 't alleen extra ingewikkeld want DigiNotar draagt de kosten.En dus ? zoals je hieronder kan zien mogen commerciele instellingen nu kosteloos ook de overheids certificaten gebruiken.
Ik ben geen ICT-er maar zit óók met grote ogen te kijken wat híer nu weer gebeurt.
En ik ben zeer bezorgd dat ik nu m'n niet-ING transacties blijkbaar óók al niet meer kan vertrouwen.
Misschien moest ik m'n bank maar eens vragen of ze 'n nieuw certificaat kunnen aanmaken bij een ander bedrijf, en me een nieuwe e-dentifier, uiteraard op de nieuwe key gebaseerd, kunnen sturen.
Ik snap trouwens niet dat ze niet per post een public key opsturen die ik dan in m'n computer kan invoeren, waarna ik zelf m'n eigen key-pair aanmaak en dan voortaan, zónder een DigiNotar of whatever te moeten 'vertrouwen', probleemloos zaken met hen kan doen.
En ik ben zeer bezorgd dat ik nu m'n niet-ING transacties blijkbaar óók al niet meer kan vertrouwen.
Misschien moest ik m'n bank maar eens vragen of ze 'n nieuw certificaat kunnen aanmaken bij een ander bedrijf, en me een nieuwe e-dentifier, uiteraard op de nieuwe key gebaseerd, kunnen sturen.
Ik snap trouwens niet dat ze niet per post een public key opsturen die ik dan in m'n computer kan invoeren, waarna ik zelf m'n eigen key-pair aanmaak en dan voortaan, zónder een DigiNotar of whatever te moeten 'vertrouwen', probleemloos zaken met hen kan doen.
De grote banken halen allemaal hun certificaat bij Verisign en niet DigiNotar, qua security maakt dat ook niet uit. Het is allemaal even sterk of zwak, het is maar hoe je het bekijkt. Als je zeker wilt zijn dat je met de website van de bank communiceert dan moet je de bank opbellen of even langs lopen en vragen of ze je de details van het certificaat kunnen geven. Dus het serienummer, de SHA1 en MD5 hash, de Issued To en de Issued By, en uiteraard aanvraag en verloopdatum van het certificaat.
Zet die laatste in je agenda zodat je op tijd opnieuw die gegeven kan opvragen. En wees niet bang dat het vreemd klinkt, maar er zijn meer mensen die het vragen hoor. Ik zou als je tijd hebt even bij een bankkantoor langslopen en vraag ook of de persoon die je die gegevens geeft ook zijn naam en personeelsnummer op het papier kan zetten.
De gegeven kan je vergelijken op het moment dat je inlogt (of iets "raars" ziet) op de website van de bank. Mocht het niet kloppen dan direct contact opnemen met de bank zoals veel banken bij het inlogscherm aanbevelen. En nogmaals, schaam je niet om het te vragen, want er zijn veel mensen die het vragen.
Zet die laatste in je agenda zodat je op tijd opnieuw die gegeven kan opvragen. En wees niet bang dat het vreemd klinkt, maar er zijn meer mensen die het vragen hoor. Ik zou als je tijd hebt even bij een bankkantoor langslopen en vraag ook of de persoon die je die gegevens geeft ook zijn naam en personeelsnummer op het papier kan zetten.
De gegeven kan je vergelijken op het moment dat je inlogt (of iets "raars" ziet) op de website van de bank. Mocht het niet kloppen dan direct contact opnemen met de bank zoals veel banken bij het inlogscherm aanbevelen. En nogmaals, schaam je niet om het te vragen, want er zijn veel mensen die het vragen.
Heb je daar een bron van of deel je hier info die je eigenlijk niet mag delen?
bron: nu.nl
Vooral dit stukje:
Hoe kan onze overheid het ermee eens zijn dat PKI Overheid wordt misbruikt om commerciele SSL certificaten die niks te maken hebben met de overheid te signen? Dit is niks meer dan DigiNotar uit de shit helpen en vervolgens net doen alsof er niks aan de hand is. Dit zaakje stinkt.Bedrijven gratis naar PKI Overheid
Als tegemoetkoming kunnen gedupeerde klanten die gebruik maken van de commerciële root certificaten van DigiNotar kosteloos overschakelen naar een PKI Overheid certificaat die DigiNotar uitgeeft. Ze moeten daarvoor wel aan strengere regels voldoen. Het wachten is echter op een extern onderzoek om vast te stellen dat deze subroot voor overheden ook echt niet is gecompromitteerd.
Zowel het ministerie van BZK als overheidsbeveiliger Govcert zijn positief hierover. Govcert schrijft naar aanleiding van de kwestie: "Voor zover nu bekend zijn de beveiligingscertificaten van de PKIoverheid ("De Staat der Nederlanden") niet getroffen. Certificaten die door deze autoriteit zijn ondertekend, beschouwen wij op dit moment als nog steeds te vertrouwen."
Dat mag. PKIoverheid is gewoon een normale PKI waar ook bedrijven en burgers van gebruik mogen maken. Alleen zijn de eisen voor het verkrijgen van een dergelijk certificaat zo streng dat bijna niemand 't doet, tenzij 't een overheidsinstantie of -bedrijf is, of een bedrijf dat zaken doet met de overheid en ertoe verplicht wordt. Het is namelijk 1400x makkelijker om bij Verisign of Thawte een certificaat aan te vragen.
[Reactie gewijzigd door CyBeR op 31 augustus 2011 13:51]
Mede naar aanleiding van dit bericht, en omdat niet kan worden bevestigd dat dit certificaat niet is gecompromiteerd, heb ik heb het root-certificaat van de Staat der Nederlanden uit mijn whitelists gehaald totdat de overheid hier acties tegen heeft ondernomen ofwel het DigiNotar PKI-overheid certificaat is verlopen (2015).
[Reactie gewijzigd door psyBSD op 31 augustus 2011 13:53]
Dat zou ik niet doen. Nu kun je niet meer controleren of je wel werkelijk met DigiD.nl, belastingdienst.nl of duo.nl (als je nog student bent) te maken hebt.
Dat verandert niets aan de huidige situatie, waarin diginotar mij verteld of ik werkelijk met digid.nl te maken heb. Die informatie is ook niet betrouwbaar.
Het verschil is dat mijn browser nu waarschuwt voor een mogelijk probleem met het certificaat.
En dan kan ik het handmatig controleren, meer werk, maar wel zekerder dan blind vertrouwen.
Het verschil is dat mijn browser nu waarschuwt voor een mogelijk probleem met het certificaat.
En dan kan ik het handmatig controleren, meer werk, maar wel zekerder dan blind vertrouwen.
[Reactie gewijzigd door psyBSD op 31 augustus 2011 14:06]
Die informatie wordt door de overheid zelf als betrouwbaar beschouwd. Ik heb geen reden om aan te nemen dat ze daar niet de waarheid over vertellen.Dat verandert niets aan de huidige situatie, waarin diginotar mij verteld of ik werkelijk met digid.nl te maken heb. Die informatie is ook niet betrouwbaar.
Behalve dan dat je nu ook direct de certificaten van andere toko's dan DigiNotar niet meer vertrouwt. Als je dan per see DigiNotar niet wilt vertrouwen kun je beter hun intermediate importeren en daar de trust van wijzigen.Het verschil is dat mijn browser nu waarschuwt voor een mogelijk probleem met het certificaat.
En dan kan ik het handmatig controleren, meer werk, maar wel zekerder dan blind vertrouwen.
Voor de volledigheid: de CA van de Staat der Nederlanden zelf is niet gecompromitteerd. Dat kan ook in essentie niet want die sleutel is alleen off-line beschikbaar.
Waarschijnlijk door een bug in mijn browser (firefox 6.0.1) werkt deze methode niet.
Dit is inderdaad de actie die ik als eerst heb genomen, maar het zorgt er alleen voor dat digid.nl geen 'slotje' krijgt, niet dat ik een groot waarschuwings-scherm 'ik vertrouw dit niet, haal me hier vandaan' melding krijg.
Omdat het vertrouwen van de staat der nederlanden blijkbaar genoeg is om mij niet meer te waarschuwen heb ik ook dit certificaat uit mijn whitelist gehaald.
Dit is inderdaad de actie die ik als eerst heb genomen, maar het zorgt er alleen voor dat digid.nl geen 'slotje' krijgt, niet dat ik een groot waarschuwings-scherm 'ik vertrouw dit niet, haal me hier vandaan' melding krijg.
Omdat het vertrouwen van de staat der nederlanden blijkbaar genoeg is om mij niet meer te waarschuwen heb ik ook dit certificaat uit mijn whitelist gehaald.
[Reactie gewijzigd door psyBSD op 31 augustus 2011 14:18]
Het gaat niet over of de overheid het zaakje nog vertrouwt. Voor hetzelfde geld hebben de hackers ook certificaten voor digid.nl gemaakt, getekend door DigiNotar. Hoe weet jij dan of je op de echte site zit?Die informatie wordt door de overheid zelf als betrouwbaar beschouwd. Ik heb geen reden om aan te nemen dat ze daar niet de waarheid over vertellen.
Dat is mijn punt dus: er is op dit moment geen reden om aan te nemen dat die mogelijkheid bestaat. Zoals ik het begrijp is DigiNotar's infra voor het genereren van PKIoverheid-certificaten gescheiden van die voor hun 'gewone' certificaten. Als het een gecompromitteerd is, is het ander dat niet noodzakelijkerwijs.[...]
Het gaat niet over of de overheid het zaakje nog vertrouwt. Voor hetzelfde geld hebben de hackers ook certificaten voor digid.nl gemaakt, getekend door DigiNotar. Hoe weet jij dan of je op de echte site zit?
Ik heb gisteren de documenten van Logius over PKIoverheid zitten doornemen, en dat heeft mij er van overtuigd dat er met die kant van het verhaal ook echt geen probleem is.
Je moet wel goed doorhebben dat DigiNotar CA was onder meerdere roots, waaronder hun eigen. Het was hun eigen root die gecopromitteerd is, niet die van de Staat der Nederlanden.
De manier waarop DigiNotar om is gesprongen met de hack en de compromittering van hun eigen certificaten is voor mij vooralsnog reden genoeg om aan te nemen dat DigiNotar als CA niet te vertrouwen is.Je moet wel goed doorhebben dat DigiNotar CA was onder meerdere roots, waaronder hun eigen. Het was hun eigen root die gecopromitteerd is, niet die van de Staat der Nederlanden.
Het klopt dat het Certificaat van de Staat der Nederlanden niet gecompromitteerd is, maar we kunnen datzelfde niet zeggen over het certificaat dat de Staat der Nederlanden heeft uitgegeven aan DigiNotar, en dus (net als hun eigen root-certificaten) in beheer is bij DigiNotar.
Dit is het certificaat dat ik niet vertrouw, omdat ik DigiNotar als CA niet vertrouw.
edit:
Laatste zin aangevuld met stuk achter de komma
Laatste zin aangevuld met stuk achter de komma
[Reactie gewijzigd door psyBSD op 31 augustus 2011 15:02]
Dat snap ik, en ik ben het met je eens dat het zaak is voor alle gebruikers van DigiNotar PKIoverheid-certificaten om die om te ruilen door certificaten uitgegeven door een andere uitgever (Getronics bijvoorbeeld), maar gegeven dat er naar alle waarschijnlijkheid geen technisch probleem is met de DigiNotar PKIoverheid Intermediate CA, is er mijns insziens geen reden om retroactief al hun uitgegeven certificaten te revoken. Dat kan nadat al die certificaten vervangen zijn.[...]
De manier waarop DigiNotar om is gesprongen met de hack en de compromittering van hun eigen certificaten is voor mij vooralsnog reden genoeg om aan te nemen dat DigiNotar als CA niet te vertrouwen is.
Het klopt dat het Certificaat van de Staat der Nederlanden niet gecompromitteerd is, maar we kunnen datzelfde niet zeggen over het certificaat dat de Staat der Nederlanden heeft uitgegeven aan DigiNotar, en dus (net als hun eigen root-certificaten) in beheer is bij DigiNotar.
Dit is het certificaat dat ik niet vertrouw, omdat ik DigiNotar als CA niet vertrouw.
edit:
Laatste zin aangevuld met stuk achter de komma
Revoken van certificaten is namelijk permanent-- je kunt niet ze 'even' revoken terwijl je onderzoekt wat er gebeurd is.
Dat snap ik, maar de manier waarop DigiNotar met de communicatie en beveiliging omtrend hun root-certificaten is omgesprongen is naar mij idee bron voor 'gerede twijfel' over de betrouwbaarheid van de door heb gesigneerde certificaten.Dat snap ik, en ik ben het met je eens dat het zaak is voor alle gebruikers van DigiNotar PKIoverheid-certificaten om die om te ruilen door certificaten uitgegeven door een andere uitgever (Getronics bijvoorbeeld), maar gegeven dat er naar alle waarschijnlijkheid geen technisch probleem is met de DigiNotar PKIoverheid Intermediate CA, is er mijns insziens geen reden om retroactief al hun uitgegeven certificaten te revoken. Dat kan nadat al die certificaten vervangen zijn.
Revoken van certificaten is namelijk permanent-- je kunt niet ze 'even' revoken terwijl je onderzoekt wat er gebeurd is.
Gerede twijfel is voor mij genoeg reden om het certificaat als gebruiker niet meer te vertrouwen.
Ik bedenk me ineens, keys die je bijvoorbeeld gebruikt voor PGP en signed/encrypted email werken met een 'web of trust', waarbij dezelfde public-key door meerdere partijen wordt ondertekend. Zou voor dit soort certificaten eenzelfde aanpak niet gerechtvaardigd zijn? - Dus dat je het certificaat voor bijvoorbeeld digid.nl door ten minste 2 CA's laat ondertekenen, mocht er 1 gerevoked worden dan is er nog steeds 1 chain of trust beschikbaar en daarmee blijft het certificaat van digid.nl bruikbaar?
100% eensch, ik was net van plan het zelfde te typen, SHAN-DA-LIG..
wat mij betreft wordt het tijd niet alleen voor kamervragen, maar ook om bedrijven als google MS en mozilla te dwingen alsnog alle (inclusief pki-oveheid) te blacklisten...
dit is meer dan een grove schending van het vertrouwen in het hele SSL-systeem..
wat mij betreft wordt het tijd niet alleen voor kamervragen, maar ook om bedrijven als google MS en mozilla te dwingen alsnog alle (inclusief pki-oveheid) te blacklisten...
dit is meer dan een grove schending van het vertrouwen in het hele SSL-systeem..
En hoe precies wil je ze dwingen? Er is geen enkele wettelijke basis voor een dergelijke eis.dwingen
Als ik klant was, zou ik, naast een schadeclaim, liever een certificaat halen bij een nog niet gecompromiteerde leverancier. Het is eigenlijk bizar dat de overheid niet deze lijn van certificaten voor de zekerheid vervangt, better safe than sorry. Om dan vervolgens als een soort goedmakertje de gedupeerde klanten een niet-bewezen-niet-gecompromiteerd certificaat aan te bieden. Wederom stuitend en onverantwoord.
artikel citaat:
Als tegemoetkoming kunnen gedupeerde klanten die gebruik maken van de commerciële root certificaten van DigiNotar kosteloos overschakelen naar een PKI Overheid certificaat die DigiNotar uitgeeft.
Staat der Nederlanden Root CA
- Staat er Nederlanden Overheid CA
- - DigiNotar PKIoverheid Ca Overheid en Bedrijven
- - - as.digid.nl (hier als voorbeeld, of jouwberijf.nl)
Onder het certificaat: DigiNotar PKIoverheid Ca Overheid en Bedrijven kun je nu dus een Diginotar certificaat krijgen, gratis.
Dus omdat je Diginotar (een "sub" onder de root) certificaat niet te vertrouwen is, krijg je een certificaat waarvan nog vastgesteld moet worden of het te vertrouwen is.
En dan over een maandje of zo weer je klanten weer een nieuw certificaat (gratis?) geven. Wat moeten de relaties van die laatste klanten daar van denken?
Als tegemoetkoming kunnen gedupeerde klanten die gebruik maken van de commerciële root certificaten van DigiNotar kosteloos overschakelen naar een PKI Overheid certificaat die DigiNotar uitgeeft.
Certificaten pad Staat der Nederlanden:Vooral dit stukje:
[...]
Hoe kan onze overheid het ermee eens zijn dat PKI Overheid wordt misbruikt om commerciele SSL certificaten die niks te maken hebben met de overheid te signen? Dit is niks meer dan DigiNotar uit de shit helpen en vervolgens net doen alsof er niks aan de hand is. Dit zaakje stinkt.
Staat der Nederlanden Root CA
- Staat er Nederlanden Overheid CA
- - DigiNotar PKIoverheid Ca Overheid en Bedrijven
- - - as.digid.nl (hier als voorbeeld, of jouwberijf.nl)
Onder het certificaat: DigiNotar PKIoverheid Ca Overheid en Bedrijven kun je nu dus een Diginotar certificaat krijgen, gratis.
Dus omdat je Diginotar (een "sub" onder de root) certificaat niet te vertrouwen is, krijg je een certificaat waarvan nog vastgesteld moet worden of het te vertrouwen is.
En dan over een maandje of zo weer je klanten weer een nieuw certificaat (gratis?) geven. Wat moeten de relaties van die laatste klanten daar van denken?
Vriendjes politiek? Het draaiende houden van alle online overheidsdiensten bedoel je. Stel je eens voor wat voor chaos er ontstaat als al deze diensten voor een zekere tijd plat gaat (bijv. een maand om nieuwe certificaten aan te vragen bij een andere partij en deze in te regelen).
We moeten de afweging maken, meer zekerheid omtrent veiligheid (helemaal geen certificaten van DigiNotar vertrouwen) of zorgen dat alle diensten die hiervan gebruik maken draaiende houden. Ik kies voor de laatste optie...
We moeten de afweging maken, meer zekerheid omtrent veiligheid (helemaal geen certificaten van DigiNotar vertrouwen) of zorgen dat alle diensten die hiervan gebruik maken draaiende houden. Ik kies voor de laatste optie...
En laten we wel zijn, als VeriSign dit was overkomen had niemand de root CA geblokkeerd.
Een second opinion kan geen kwaad. Ik zou als overheid toch maar eens achter de oren krabben...
Zeker als de first opinion van het bedrijf zelf komt 
Wie vertrouwd dit las ik dat zou zeggen:
Wie vertrouwd dit las ik dat zou zeggen:
He mensen jullie kunnen me allemaal je pincode geven, ik ben te vertrouwen!
[Reactie gewijzigd door watercoolertje op 31 augustus 2011 13:47]
Dit is in feite wel hoe het gegaan is, heel cru even.
Onze overheid heeft dat bedrijf vragen gesteld, dat bedrijf geeft hun antwoorden, en dat is voor de overheid voldoende. Dit vind ik een fail ..
Dan ga je toch een onderzoek doen, en daarnaast een objectieve 3rd-party omgeving erbij roepen om ook een onderzoek te doen naar deze CA?
Er is geen enkel opinion geweest in feite ..
Onze overheid heeft dat bedrijf vragen gesteld, dat bedrijf geeft hun antwoorden, en dat is voor de overheid voldoende. Dit vind ik een fail ..
Dan ga je toch een onderzoek doen, en daarnaast een objectieve 3rd-party omgeving erbij roepen om ook een onderzoek te doen naar deze CA?
Er is geen enkel opinion geweest in feite ..
Het erge is nog dat er een 3rd party audit is gedaan en het blijkt nu, dat geeft zelfs diginotar toe, dat daar fouten zijn gemaakt. Dat hebben ze naar de media toe verteld.
Dan maakt het wat mij betreft al niet meer uit wat ze de overheid direct vertellen. Het huidige nieuwe onderzoek van Fox-IT is niet afgerond maar diginotar probeert nu alvast conclusies te geven naar de overheid hierover. Zolang die al niet eens van Fox-IT zelf komen zou ik eieren voor mijn geld kiezen en op zijn minst alvast verder kijken.
Maar dit geval is gewoon weer puur een geld kwestie. Als er weken niet gebruik gemaakt kan worden van veel van de overheid diensten kost het simpelweg miljoenen omdat de halve ambtenarij dan werkeloos zit. Ook kosten nieuwe certificaten van dit niveau toch al genoeg om te vervangen. Begrijpelijk, maar zeg dan dat dit tijdelijk is en dat je met alternatieven bezig bent
Ik zou als een van de ander 5 goedgekeurde bedrijven voor dit soort certificaten, toch eens kijken of ze niet een mooie aanbieding kan doen voor de overheid. Want de situatie lijkt me uiteindelijk onhoudbaar en de whitelist van firefox nu kan zomaar tijdelijk blijken.
Dan maakt het wat mij betreft al niet meer uit wat ze de overheid direct vertellen. Het huidige nieuwe onderzoek van Fox-IT is niet afgerond maar diginotar probeert nu alvast conclusies te geven naar de overheid hierover. Zolang die al niet eens van Fox-IT zelf komen zou ik eieren voor mijn geld kiezen en op zijn minst alvast verder kijken.
Maar dit geval is gewoon weer puur een geld kwestie. Als er weken niet gebruik gemaakt kan worden van veel van de overheid diensten kost het simpelweg miljoenen omdat de halve ambtenarij dan werkeloos zit. Ook kosten nieuwe certificaten van dit niveau toch al genoeg om te vervangen. Begrijpelijk, maar zeg dan dat dit tijdelijk is en dat je met alternatieven bezig bent
Ik zou als een van de ander 5 goedgekeurde bedrijven voor dit soort certificaten, toch eens kijken of ze niet een mooie aanbieding kan doen voor de overheid. Want de situatie lijkt me uiteindelijk onhoudbaar en de whitelist van firefox nu kan zomaar tijdelijk blijken.
Jammer dat Mozilla de certificaten wel goed gekeurd heeft op aandringen van de overheid. Als de makers van de populaire browsers de ballen hadden om objectief te handelen hadden ze geen van allen gewerkt.
Het hoeft maar in één browser wel te werken en praktisch half Nederland stapt over naar een browser die onveilig is. Beter dan totdat dit zooitje opgelost is een minder betrouwbaar certificaat toch accepteren dan alle mensen massaal aan een browser met beveiligingsniveau IE6...
Ja en dan hadden we nu met z'n allen een megagroot probleem gehad, aangezien dan een groot deel van de semi- en overheidsapplicaties op hun gat hadden gelegen.
Dat is de afweging tussen een werkbare oplossing en een technisch-correcte oplossing. Nu in één keer PKIoverheid blacklisten levert talloze practische problemen op; het (voorlopig!) blijven vertrouwen van PKIoverheid en in de tussentijd aan de echte oplossing werken voorkomt chaos.Jammer dat Mozilla de certificaten wel goed gekeurd heeft op aandringen van de overheid.
Heel Nederland vertellen dat ze een maand (??) lang geen enkele overheidswebsite kunnen gebruiken gaat gewoon niet werken. Dan is het alternatief om mensen eraan te laten wennen dat ze een grote, scherm-vullende beveiligingswaarschuwing wegklikken als ze naar een overheids-website gaan; is dat echt wat je wilt? Het duurt jaren voor ze dat weer afleren!
Wederom een teken dat de overheid echt een eigen orgaan moet hebben voor alle IT/ICT gerelateerde zaken. De plank wordt erg vaak mis geslagen en er worden belachelijke bedragen over de balk geslingerd omdat er mensen met een 'gemiddelde kennis' van IT / ICT beslissingen moeten maken.
Dat bestaat al. Dat is Logius dus.
En Logius praat vrolijk Diginotar na en roept dat er niks aan de hand is met de DigiID/Digipoort certificaten..
Heb de afgelopen 2 dagen 7 emails met die strekking van ze gehad.
Geeft me niet veel vertrouwen in de technische kennis van Logius.
Heb de afgelopen 2 dagen 7 emails met die strekking van ze gehad.
Geeft me niet veel vertrouwen in de technische kennis van Logius.
Heb je al overwogen dat ze misschien gelijk hebben...?
Zou je alleen vertrouwen in hun technische kennis hebben als ze je vertellen dat de DigiD-certificaten ingetrokken moeten worden? Zou je ze alleen vertrouwen als ze je vertellen wat je wilt horen?
Zou je alleen vertrouwen in hun technische kennis hebben als ze je vertellen dat de DigiD-certificaten ingetrokken moeten worden? Zou je ze alleen vertrouwen als ze je vertellen wat je wilt horen?
Het heeft alles te maken met trust. Vroeger waren er een paar trusted root CA's waarvan Verisign de bekendste was. Die CA's hebben uitgebreide procedures om de identiteit van een aanvrager te waarborgen en je kunt er niet zomaar op de feitelijke CA inbreken omdat die niet aan het netwerk hangt.
Maar de heren managers vonden Verisign certificaten te duur. Toegegeven dat een paar honderd euro/dollar per jaar veel geld is. Maar de vele voordeligere CA's die er nu zijn hebben lang niet het veiligheids niveau dat de duurdere hebben. En dus is de goedkoop van sommige bedrijven (en kennelijk onze overheid) een duurkoop waar de internetters last van hebben.
Browser fabrikanten moeten nu eens ernstig na gaan denken wie er nu wel en niet trusted is. En of ze misschien hoog, middel en lage trus aan bepaalde CA's gaan geven. Dan kan de gebruiker zien of kiezen wat hij wel of niet toelaat. In elk geval wordt het tijd om budget CA's als Diginotar veel minder te vertrouwen.
Maar de heren managers vonden Verisign certificaten te duur. Toegegeven dat een paar honderd euro/dollar per jaar veel geld is. Maar de vele voordeligere CA's die er nu zijn hebben lang niet het veiligheids niveau dat de duurdere hebben. En dus is de goedkoop van sommige bedrijven (en kennelijk onze overheid) een duurkoop waar de internetters last van hebben.
Browser fabrikanten moeten nu eens ernstig na gaan denken wie er nu wel en niet trusted is. En of ze misschien hoog, middel en lage trus aan bepaalde CA's gaan geven. Dan kan de gebruiker zien of kiezen wat hij wel of niet toelaat. In elk geval wordt het tijd om budget CA's als Diginotar veel minder te vertrouwen.
De overheid heeft zijn eigen root CA, Diginotar deed niet meer dan certificaten leveren onder die root.
Ook niet meer dan logisch, wat nou als er oorlog uitbreekt? Dan zit je lekker met je certificaten bij het Amerikaanse Verisign.. Lijkt me niet zo'n goed idee.
Ook niet meer dan logisch, wat nou als er oorlog uitbreekt? Dan zit je lekker met je certificaten bij het Amerikaanse Verisign.. Lijkt me niet zo'n goed idee.
Er is niets mis mee dat de overheid zijn certificaten onderbrengt bij een andere, Nederlandse CA. Daarbij moet echter wel de identiteit van de aanvrager en de veiliheid gegarandeerd worden. Dus niet een CA met een lager veiligheidsniveau dan Verisign.
Daarbij, zoals ik de diverse berichte lees is de PKI overheid een subordinate van Diginotar, geen eigen root CA. De vraag is of je die afhankelijkheid wel wilt.
Daarbij, zoals ik de diverse berichte lees is de PKI overheid een subordinate van Diginotar, geen eigen root CA. De vraag is of je die afhankelijkheid wel wilt.
Het "Staat der Nederlanden" root certificaat is gewoon in handen van de overheid. Diginotar heeft daar een intermediate CA van, inderdaad "PKIoverheid".
Ze zijn ook niet 100% afhankelijk van Diginotar, er zijn namelijk meerdere bedrijven die intermediate CA certificaten hebben van die root, zie hier:
http://www.logius.nl/prod...sluiten/toegetreden-csps/
Dat het veiligheidsniveau van Diginotar nu onacceptabel laag ligt ben ik met je eens. De beste optie zou zijn om alle certificaten te migreren naar een andere intermediate CA en vervolgens de intermediate van Diginotar in te trekken. Dit zal de overheid echter niet zomaar doen zolang niet bewezen is dat die sleutel ook in gevaar is geweest.
Ze zijn ook niet 100% afhankelijk van Diginotar, er zijn namelijk meerdere bedrijven die intermediate CA certificaten hebben van die root, zie hier:
http://www.logius.nl/prod...sluiten/toegetreden-csps/
Dat het veiligheidsniveau van Diginotar nu onacceptabel laag ligt ben ik met je eens. De beste optie zou zijn om alle certificaten te migreren naar een andere intermediate CA en vervolgens de intermediate van Diginotar in te trekken. Dit zal de overheid echter niet zomaar doen zolang niet bewezen is dat die sleutel ook in gevaar is geweest.
"PKIoverheid" is van de staat. DigiNotar is daar een CSP voor.Het "Staat der Nederlanden" root certificaat is gewoon in handen van de overheid. Diginotar heeft daar een intermediate CA van, inderdaad "PKIoverheid".
Helaas is dat ook niet zo, Diginotar is eigendom van Vasco, en dat is een Amerikaans bedrijf. (en ook wel bekend van - bijvoorbeeld - de rabobank random readers)Er is niets mis mee dat de overheid zijn certificaten onderbrengt bij een andere, Nederlandse CA.
Mwah, wat ze nu hebben is niet veel beter hoor. Het root CA is van de overheid zelf, maar het certificaat waarmee gesigned wordt namens die root CA is van DigiNotar.
DigiNotar mag dan wel een Nederlands bedrijf zijn, ze zijn in Januari overgenomen door Vasco, een Amerikaans bedrijf.
DigiNotar mag dan wel een Nederlands bedrijf zijn, ze zijn in Januari overgenomen door Vasco, een Amerikaans bedrijf.
Diginotar is één van de duurste SSL leveranciers die ik ken. Voor de prijs moet je het zeker niet doen.
Ik ben het met je eens dat er een behoorlijke wildgroei in SSL-leveranciers is ontstaan met soms dubieuze controles, maar diginotar is geen goedkope.
Een SSL certificaat bij Diginotar kost 300 euro per jaar, met een minimum geldigheid van 4 jaar. Das dus 1200 euro.
Ik ben het met je eens dat er een behoorlijke wildgroei in SSL-leveranciers is ontstaan met soms dubieuze controles, maar diginotar is geen goedkope.
Een SSL certificaat bij Diginotar kost 300 euro per jaar, met een minimum geldigheid van 4 jaar. Das dus 1200 euro.
Zow...aannames.
Vergeet niet dat de meeste subordinates een certificaat hebben van één van de grote partijen als Verisighn, etc. Daardoor is uiteindelijk zo'n partij nog steeds verantwoordelijk voor hetgeen die subordinate uitdeelt. Als de laatste z'n procedures niet op orde heeft dan had de eerste die subordinate niet mogen accepteren.
Er zijn hier zoveel factoren in het spel dat je niet zomaar even ergens een vinger op kunt leggen:
1) Browser makers - Waarom vertrouwen we die op hun blauwe ogen dat zij de juiste dingen doen voor wat betreft opname van certificaten in de standaard lijst?
2) Root CAs - Wat zijn de procedures om daar subordinate van te worden? Hoe worden die subordinates geaudit en door wie?
3) Diginotar is gekocht door een amerikaanse partij, die vast meer CAs heeft. Is er een garantie dat een CA in, bijvoorbeeld, Afghanistan die onder dezelfde paraplu valt als Diginotar niet in staat is om certificaten te ondertekenen van de nederlandse PKI Overheid? Of wereldwijd geldige certificaten met de naam *.google.com? Wie geeft die garantie, als die gegeven wordt en zijn er technische maatregelen genomen om dit tegen te gaan?
4) CAs zijn per definitie zo'n beetje commerciele partijen. Een beetje geld doet een hoop, zeker bij een CA in een achteraflandje wat bekend staat om corruptie.
5) Waarom vertrouwen we met z'n allen eigenlijk nog steeds in een CA structuur die doorspekt is van incompetentie en geldzucht?
Gemak dient de mens en "we" hebben te makkelijk geaccepteerd dat iemand anders (met name amerikaanse commerciele partijen) bepalen wie we als collectief vertrouwen en wie niet. We moeten af van het impliciete vertrouwen. Dan maar wat minder gemak en voor elke partij weer een expliciet vertrouwen ingeven door het handmatig accepteren van certificaten (uiteraard na een eigen verificatie van de identiteit, op de verificatie van iemand anders kunnen we niet (meer) vertrouwen). De "markt" heeft wel zo'n beetje aangetoont het woordje "trusted" in de term "trusted third party" niet te verdienen.
Vergeet niet dat de meeste subordinates een certificaat hebben van één van de grote partijen als Verisighn, etc. Daardoor is uiteindelijk zo'n partij nog steeds verantwoordelijk voor hetgeen die subordinate uitdeelt. Als de laatste z'n procedures niet op orde heeft dan had de eerste die subordinate niet mogen accepteren.
Er zijn hier zoveel factoren in het spel dat je niet zomaar even ergens een vinger op kunt leggen:
1) Browser makers - Waarom vertrouwen we die op hun blauwe ogen dat zij de juiste dingen doen voor wat betreft opname van certificaten in de standaard lijst?
2) Root CAs - Wat zijn de procedures om daar subordinate van te worden? Hoe worden die subordinates geaudit en door wie?
3) Diginotar is gekocht door een amerikaanse partij, die vast meer CAs heeft. Is er een garantie dat een CA in, bijvoorbeeld, Afghanistan die onder dezelfde paraplu valt als Diginotar niet in staat is om certificaten te ondertekenen van de nederlandse PKI Overheid? Of wereldwijd geldige certificaten met de naam *.google.com? Wie geeft die garantie, als die gegeven wordt en zijn er technische maatregelen genomen om dit tegen te gaan?
4) CAs zijn per definitie zo'n beetje commerciele partijen. Een beetje geld doet een hoop, zeker bij een CA in een achteraflandje wat bekend staat om corruptie.
5) Waarom vertrouwen we met z'n allen eigenlijk nog steeds in een CA structuur die doorspekt is van incompetentie en geldzucht?
Gemak dient de mens en "we" hebben te makkelijk geaccepteerd dat iemand anders (met name amerikaanse commerciele partijen) bepalen wie we als collectief vertrouwen en wie niet. We moeten af van het impliciete vertrouwen. Dan maar wat minder gemak en voor elke partij weer een expliciet vertrouwen ingeven door het handmatig accepteren van certificaten (uiteraard na een eigen verificatie van de identiteit, op de verificatie van iemand anders kunnen we niet (meer) vertrouwen). De "markt" heeft wel zo'n beetje aangetoont het woordje "trusted" in de term "trusted third party" niet te verdienen.
[Reactie gewijzigd door PolarWolf op 31 augustus 2011 14:35]
Corruptie is bij overheidsinstellingen zo mogelijk een nog groter probleem dan bij commerciele partijen (vnl door minder kans op sancties), dus dat is juist een argument voor onafhankelijke, private CA's.4) CAs zijn per definitie zo'n beetje commerciele partijen. Een beetje geld doet een hoop, zeker bij een CA in een achteraflandje wat bekend staat om corruptie.
[Reactie gewijzigd door Dreamvoid op 31 augustus 2011 17:35]
Wellicht in andere landen maar in nederland volgt bij een dergelijk vergrijp bij de overheid gewoon ontslag op staande voet....
en aangifte bij justitie.
en aangifte bij justitie.
Dit benadrukt maar weer eens de 'lack of knowledge' die de NL overheid heeft op dit gebied.
Terwijl er in Nederland zo veel mensen zijn die zo nuchtere antwoorden geven
Waaronder hier op Tweakers zie ik sommige mensen voorbij komen, en dan denk ik van, waarom heeft de overheid niet zo iemand in dienst met een doorslag gevende mening qua functie op het IT gebied.
Er wordt iets te veel onder de tafel geschoven .. Wat als er nog een keer zoiets gebeurt, dan is het nog een grotere ellende.
Waaronder hier op Tweakers zie ik sommige mensen voorbij komen, en dan denk ik van, waarom heeft de overheid niet zo iemand in dienst met een doorslag gevende mening qua functie op het IT gebied.
Er wordt iets te veel onder de tafel geschoven .. Wat als er nog een keer zoiets gebeurt, dan is het nog een grotere ellende.
Mwah, hier op Tweakers komen vnml mensen die ooit met SSL hebben gewerkt en weten hoe het systeem inelkaar zit. Verder kan iedereen elkaar napraten, dus dan lijkt het net alsof iedereen er veel van weet.
Waarschijnlijk weten ze bij DigiNotar ook wel hoe het zit, maar hebben ze zoiets van "valt wel mee, zo gek gaat het niet lopen". Ze hebben destijds geprobeerd om de boel in de doofpot te stoppen door een paar certificaatjes in te trekken en gewoon stilletjes verder te gaan met wat ze deden, maar nu er niet genoeg certificaten zijn ingetrokken komt ineens alles los en is er geen redden meer aan.
Dat de overheid zelf niet ingrijpt komt ook een beetje door de goedgelovigheid waarmee alles maar wordt aangenomen. TLS zegt ook met blauwe oogjes dat het met fraude wel meevalt, en dus wordt dat voor waar aangenomen door onze overheid.
Waarschijnlijk weten ze bij DigiNotar ook wel hoe het zit, maar hebben ze zoiets van "valt wel mee, zo gek gaat het niet lopen". Ze hebben destijds geprobeerd om de boel in de doofpot te stoppen door een paar certificaatjes in te trekken en gewoon stilletjes verder te gaan met wat ze deden, maar nu er niet genoeg certificaten zijn ingetrokken komt ineens alles los en is er geen redden meer aan.
Dat de overheid zelf niet ingrijpt komt ook een beetje door de goedgelovigheid waarmee alles maar wordt aangenomen. TLS zegt ook met blauwe oogjes dat het met fraude wel meevalt, en dus wordt dat voor waar aangenomen door onze overheid.
Overheid is er voor continuiteit en niet voor anarchie. De huidige acties zijn wel te verklaren en te begrijpen, en zelfs te verdedigen. Veel dingen verdienen niet de schoonheidsprijs, maar dat komt door de context en omvang. De overheid zit nu in de fase om weer in control te komen en te blijven, maar hierna moet een verbetertraject worden ingezet. Helaas komen hier de problemen van oa schaal.
Dit doet me denken aan een collega die op een gegeven moment boos was dat hij na drie a vier maanden nog steeds niets merkte van beslissingen. Helaas moest hij nog zeker 18 tot 24 maanden wachten totdat resultaten merkbaar begonnen te worden. Nieuwe oplossingen verzinnen, ontwikkelen, testen, accepteren en dan beginnen met uitrollen kost gewoon tijd.
Zo ook voor een overheid, want overnacht een nieuwe aanbesteding doen, nieuwe PKI-infra opzetten en certificeren en uitrollen. Nee, damage control is dan een betere optie. Hier kan het wel beter, aan de andere kant is het nog vroeg, maar er zal wel een plan moeten worden gepresenteerd om dit over de komende jaren aan te pakken en wat er in tussen gedaan gaat worden. De overheid verschilt daar mee niet van elke grote multinational hoor.
Dit doet me denken aan een collega die op een gegeven moment boos was dat hij na drie a vier maanden nog steeds niets merkte van beslissingen. Helaas moest hij nog zeker 18 tot 24 maanden wachten totdat resultaten merkbaar begonnen te worden. Nieuwe oplossingen verzinnen, ontwikkelen, testen, accepteren en dan beginnen met uitrollen kost gewoon tijd.
Zo ook voor een overheid, want overnacht een nieuwe aanbesteding doen, nieuwe PKI-infra opzetten en certificeren en uitrollen. Nee, damage control is dan een betere optie. Hier kan het wel beter, aan de andere kant is het nog vroeg, maar er zal wel een plan moeten worden gepresenteerd om dit over de komende jaren aan te pakken en wat er in tussen gedaan gaat worden. De overheid verschilt daar mee niet van elke grote multinational hoor.
Ik zie hier op t.net voornamelijk mensen met een extreme mening en nul kennis van wat er werkelijk gebeurd is...of je zulke mensen in dienst wil nemen?
En dat baseer je op?
Wat een geklungel van de overheid. Alleen al de manier waarop dit in het nieuws komt duidt op een blunderende PR-afdeling van de overheid.
Het is heel menselijk als er een fout wordt gemaakt om eerst de fout te ontkennen en te doen alsof alles nog goed is. Maar dat soort oogkleppen-gedrag kan wel later tot nog grotere problemen leiden. Maar ja, het is zo lastig hè, als je ineens ongepland dingen moet gaan veranderen.
De overheid zou op z'n minst een onafhankelijke partij onderzoek moeten laten doen naar de betrouwbaarheid en veiligheid van DigiNotar.
Het is heel menselijk als er een fout wordt gemaakt om eerst de fout te ontkennen en te doen alsof alles nog goed is. Maar dat soort oogkleppen-gedrag kan wel later tot nog grotere problemen leiden. Maar ja, het is zo lastig hè, als je ineens ongepland dingen moet gaan veranderen.
De overheid zou op z'n minst een onafhankelijke partij onderzoek moeten laten doen naar de betrouwbaarheid en veiligheid van DigiNotar.
Heb je de namen PWC en FoxIt gezien in het artikel.?Enig idee wat voor bedrijven dat zijn?
Of te wel er zijn derde partijen die de werking van DigiNotar controleren . Dat die controles soms falen (PWC) is wel sneu. Maar niet iets dat je de overheid kan verwijten.
Of te wel er zijn derde partijen die de werking van DigiNotar controleren . Dat die controles soms falen (PWC) is wel sneu. Maar niet iets dat je de overheid kan verwijten.
"Onafhankelijk" betekent vooral, niet betaald door het bedrijf zelf. PWC werd gewoon betaald door DigiNotar. We hebben met de kredietcrisis gezien wat er geberut als de controleurs betaald worden door degenen die gecontroleerd worden; dan krijgt de grootste rommel een AAA status.
En ook hier heeft de controleur (PWC) iets overduidelijks over het hoofd gezien. Hoe competent ben je als je een *.google.com certificaat bij de controle mist? Dat had direct verdacht moeten wezen, en gecontroleerd moeten worden. Maar als de opdachtgever een fixed-price contract heeft gesloten met de salesmanager van PWC, dan is daar vast geen tijd voor.
En ook hier heeft de controleur (PWC) iets overduidelijks over het hoofd gezien. Hoe competent ben je als je een *.google.com certificaat bij de controle mist? Dat had direct verdacht moeten wezen, en gecontroleerd moeten worden. Maar als de opdachtgever een fixed-price contract heeft gesloten met de salesmanager van PWC, dan is daar vast geen tijd voor.
Ik denk niet dat je punt in dit geval terecht is. Zowel PWC als DigiNotar hadden er beide geen belang bij dat er een google certificaat over het hoofd zou worden gezien. Dus dat ze in dit geval door DigiNotar worden betaald hoeft niet direct een probleem te zijn.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
