Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 143, views: 34.404 •

De overheid stopt per direct met gebruik van PKIoverheid-certificaten van DigiNotar, omdat niet kan worden gegarandeerd dat de certificaten nog veilig zijn en de identiteit van overheidssites dus niet meer kan worden gegarandeerd.

DiginotarVanaf nu kunnen gebruikers die een overheidssite benaderen, de melding krijgen dat deze site niet kan worden vertrouwd. Dat maakte minister Piet Hein Donner van Binnenlandse Zaken vrijdagnacht bekend. De overheid zegt het vertrouwen in certificaat-autoriteit DigiNotar op en kiest voor andere certificaat-autoriteiten.

Daartoe is besloten omdat niet kan worden uitgesloten dat de PKIoverheid-certificaten van DigiNotar, die worden gebruikt om de identiteit van overheidssites te kunnen controleren, ook gehackt zijn. Donner adviseert om overheidssites met ongeldige certificaten tijdelijk niet te gebruiken. De komende tijd zullen deze certificaten worden omgeruild voor veilige certificaten. Het advies volgt op een onderzoek van beveiligingsbedrijf Fox-IT naar de hack.

DigiNotar is een van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Hoewel die overheidscertificaten gescheiden van de gehackte certificaten worden uitgegeven, roepen de gebeurtenissen de vraag op in hoeverre DigiNotar nog kan worden vertrouwd. "Hoe kan het publiek nog vertrouwen hebben in een bedrijf dat een zeer serieuze hack heeft stilgehouden?" vraagt Roel Schouwenberg van Kaspersky zich af.

Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen dat dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen. Browsermakers zegden deze week collectief het  vertrouwen in het bedrijf op.

DigiD, met certificaat van Diginotar

Gerelateerde content

Alle gerelateerde content (24)

Reacties (143)

Reactiefilter:-11430138+181+29+30
Ik wist niet dat de overheid s'nachts ook werkte :)

Maar goed, ik kan het mij goed voorstellen dat de overheid het vertrouwen opzegt, want daar gaat het uiteindelijk om bij deze certificaten.

Ik kan nu alleen maar DigiNotar erg veel succes en vooral sterkte wensen met de voortzetting van hun business,
Ik neem aan dat donner door Fox.it gebriefed is over deze hack, en dat dit pas vanavond is gebeurd. Vervolgens heeft hij een persco belegt, en diginotar bij het afval heeft gezet.
Nog erger: IT specialisten van de overheid nemen het management van DigiNotar over totdat de overdracht naar een andere certificaar leverancier is afgerond

In principe wordt DigiNotar dus voor de komende tijd genationaliseerd

Overigens: Belastingdienst.nl wordt niet beveiligd door DigiNotar, maar door VeriSign.

[Reactie gewijzigd door Lantashh op 3 september 2011 01:48]

Ik kijk nu net op https://belastingdienst.nl en op https://www.belastingdienst.nl, en krijg geen antwoord...?
Die site reageert ook inderdaad niet op https. https://mijn.belastingdienst.nl/ wel, en daar zit een Verisign cert achter.
Dat is heel normaal hoor. Als het bij een bank niet gaat zoals het hoort bijvoorbeeld wordt het bestuur ook overgenomen. De DSB is daar een voorbeeld van, maar het geldt voor alles wat cruciaal is voor de continuiteit van Nederland NV. Ik kan dit niet meer dan toe juichen en toont aan dat de nationale overheid de laatste jaren duidelijk heeft geleerd en zo nu ook durft te handelen.
DSB was failliet. Dan wordt er een curator aangesteld als bewindvoerder om het faillissement af te wikkelen. Dat is echt iets heel anders.
Ik denk dat army ABN-AMRO bedoeld. Die werd namelijk wel genationaliseerd om te voorkomen dat de bank failliet ging.
Niet helemaal:

Op 12 oktober 2009 werd bij de DSB Bank de noodregeling van kracht. Pas een week daarna (19 oktober 2009) werd de DSB Bank failliet verklaart.
Nog erger: IT specialisten van de overheid nemen het management van DigiNotar over totdat de overdracht naar een andere certificaar leverancier is afgerond

In principe wordt DigiNotar dus voor de komende tijd genationaliseerd
Officiële mededeling lijkt te zijn:
"De minister heeft officieel bevestigd dat Diginotar onder toezicht is gesteld. De doelstelling van de ondertoezichtstelling is dat er zo snel mogelijk duidelijkheid komt over welke overheidssites gekraakt zijn door de vermoedelijk Iraanse hackers."

Is Lijkt me nog geen nationalisatie of managements overname. Mogelijk wordt Diginotar daarna gewoon definitief gedumpt en is het over en uit tussen de staat en Diginotar.

Donner zegt dat: "... de gebruiker niet langer de garantie heeft dat je op een website van de overheid bent. [...] en je een melding kunt krijgen dat de website niet langer betrouwbaar is." En dan moet je niet inloggen, zegt een NOS medewerker.
Aldus het filmpje .
Edit: aangepast n.a.v. bekijken later gevonden filmpje NOS met Donner.

[Reactie gewijzigd door Xubby op 4 september 2011 01:43]

Sorry dat ik wederom misschien een beetje uit mijn slof schiet...

Maar hier moeten mensen gewoon voor hangen. Niet langs start, geen 20.000 (of wachtgeld of whatever). Gewoon een proces; en dan de bak in wegens grove nalatigheid, of weet ik wat (IANAL)

Ten eerste heeft diginotar overdruidelijk de boel belazerd.

De ENGIE reden dat de overheid na de afgelopen periode zou hebben mogen instemmen met het ' we vertrouwen erop dat diginotar veilig is want dat hebben ze zelf gezegd' *wc eend iemand???!?!??!?!?!!* is als diginotar heeft gemeld dat de applicaties die de PKIOverheid certificaten uitgeven NIET (dus totaal niet via internet whatever) in verbinding hebben gestaan met de servers die de applicaties draaien voor de rest van diginotar.

Dat is namelijk de enige manier waarop ze de overheid zouden kunnen overtuigen van de relatieve onschuld van de zaak. Als ik het mis heb hoor ik het graag...(ik probeer dan van de goede wil van de overheid uit te gaan...)

Na een onderzoek van een externe auditor (de TWEEDE!!!!! snotverdrie) blijkt er nu dus wel degelijk een mogelijkheid van een verdere suffigheid van Diginotar en blijken die dingen GVD WEL!!!! met elkaar in verbinding te hebben staan..(ik wil weten wie die eerste is geweest; HALLOOOOOO WAKKER WORDEN!!! misschien eens ander werk zoeken!)

Sorry dat ik het zeg; maar ik vind dit dus echt iets waarvoor iemand moet hangen (bij digi & bij de overheid)..

Buiten het FEIT dat het aangetoond is dat er door Iran misbruik (en dus dat er mensen zijn afgeluisterd; die wellicth door het 'misschien bij de volgende verkiezing is er meer vrijheid voor mijn denkbeelden' gemaild te hebben nu in de *@&*#^$ dodencel of martelcel zitten! Zullen we misschien nooit weten) is er (en dat is misschien wat abstracter) een loopje genomen met de privacy van geheel nederland.

(even terzijde; de ENIGE reden dat we nu zo veel weten is dat er een IRANIER was die merkte dat er verdachte servers ineens met diginotar *.google.com certs' tussen hem en gmail geplaatst waren..

Ten tweede moeten ze diegene bij govcert of whatever dat overheidsburo dat meteen *rustig mensen; niks aan de hand hiero; gewoon doorlopen AUB* riep zwaar op z'n falie geven; want HEEL nederland heeft de afgelopen dagen te horen gekregen dat er NIKS aan de hand is.Hoeveel mensen hebben (zoals ik via de helpdesk van DigiD te horen kreeg een paar dagen geleden) gewoon bepaalde site's in de trusted site's gezet?

Nu ga ik er echt niet vanuit dat heel nederland nu gehackt is en dat er allemaal MitM (Man in the Middle) servers overal staan (of het nu wel of niet door de defacementclaimers is gedaan of niet)... Het gaat erom dat snotverdrie het systeem waarop dat vertrouwen gebaseerd is overduidelijk niet werlt/ Het gaat erom dat dit soort dingen gebouwd zijn op 100% VERTROUWEN!.

Helaas laat dit zoveelste voorbeeld (Medisch dossier; IT politie anyone?) maar weer eens blijken dat we niet bepaald blij moeten zijn met wat er nu allemaal gebeurd.
Het KAN niet toch niet zo zijn dat er ambtenaren/managers rondlopen die totaal geen technische knowhow hebben; en die zo gemakjelijk over dat 'vertrouwen' heenstappen? de (weliswaar onofficiele) cyber-regels aan hun laars lappen?

HELLO WORLD is al een poosje geleden heren en dames!

Zoals ik al eerder door mede-tweakers werd geattendeerd zijn er gewoon regels (hoewel geen wetten; maar toch strenge aanwijzigingen) in de vorm van RFC's en zo.

Blijkbaar als er belangen anders dan de gewone burger in het spel komen (Geld; bonus; niet af willen gaan; risicomijdend en kostenbeparende afwegingen; Ik ben bijna aan de beurt voor een promotie; whatever) dan gaan die andere belangen een grote rol spelen; zowel particulier (diginotar) als bij de overheid/

Misschien is het eens een idee om gewoon eens in de grondwet op te nemen dat diegene die ON-etisch handeld (en laten we eerlijk zijn; dit stinkt zodanig dat er wel degelijk sprake van is) strafbaar is en vervolgd moet worden.

misschien als er eens een paar van dit soort MOEDWILLIG bagitalliserende kneuzen gestraft worden; dat er dan door de powers-that-be een beetje beter voor de belangen van het volk opgekomen zal worden.

(alvast sorry voor de rant; maar zoals je aan mijn eerdere posts kunt merken zit dit me behoorlijk hoog)

Jammer dat ik steeds cynischer aan het worden ben; en dat ik telkens weer nieuwe brandstor ervoor krijg..

Zucht...
Heel verhaal, maar ik haakte al af toen je begon over wachtgeld... Diginotar is een bedrijf, geen overheidsorgaan. Try again...
In dit geval doelt hij waarschijnlijk op de verantwoordelijk aan de zijde van de overheid ;)
Na een onderzoek van een externe auditor (de TWEEDE!!!!! snotverdrie) blijkt er nu dus wel degelijk een mogelijkheid van een verdere suffigheid van Diginotar en blijken die dingen GVD WEL!!!! met elkaar in verbinding te hebben staan..(ik wil weten wie die eerste is geweest;
In andere artikelen word PWC als 1e auditor genoemd. Die hebben het "over het hoofd" gezien, lees waren niet volledig bekwaam want het ging blijkbaar niet om 1 certificaat maar meerdere. Dat is niet iets over het hoofd zien maar gewoon vergeten te controleren!
Ligt eraan wat PwC doet als 1ste auditor.

Als accountant (ook auditor) houd je je niet bezig met deze processen, anders dat het tegenwoordig steeds meer gebeurt in accountantscontrole dat EDP auditoren worden ingezet voor 1/8-1/4 van je controlebudget... :X .

Als EDP auditor controleer je of de bestaande, zelf opgezette procedures goed zijn opgezet en kijk je of er voldoende borgingen zijn aangebracht in het proces. Daarnaast worden EDP auditors betaald door de organisatie (in dit geval DigiNotar zelf) ingehuurd.

De forensische auditoren zijn meestal RA (register accountants) met postdoc RE (Register EDP auditor) en aanvullende Registered forensic auditor.

Dat zegt overigens niks over de kwaliteit van deze mensen, want PwC heeft naar mijn weten behoorlijk goed gekwalificeerd personeel op dit laatste gebied rondlopen. Al zal ik niet ontkennen dat deze met name op het gebied van financiele fraude en de technische mogelijkheden hoe dergelijke fraude wordt uitgevoerd worden ingezet.

[Reactie gewijzigd door Black Piet op 3 september 2011 11:49]

samenvatting van zijn post: er moeten koppen rollen!
Als je ' sorry' in een post zet, tel dan tot 10 voordat je hem post. Als je vaker dan 1x 'sorry' in post zet, post dan niet. Je schiet totaal naast.

1. Er maakt een bedrijf een fout en lost dat niet heel netjes op. Dat een auditor iets niet ziet is niet raar (loop eens een bedrijf binnen en zoek de lijken in de kast, makkelijker gezegd dan gedaan). Dit gebeurt vaker en zal blijven gebeuren zolang de wereld draait. Get a life.

2. De overheid reageert tamelijk accuraat. Dit soort beslissingen zijn lastig in complexe organisaties het overzien van de consequenties is namelijk niet eenvoudig. Er is veel informatie die door niet-technische leidinggevende (minister) moet worden beoordeeld.

3. Iran = boef. Martelkamers e.d. komen voor hun rekening. Blaas niet te hoog van de toren, ook jouw server kan gehackt worden.

4. Onetiisch handelen is al verboden, maar het is geoperationaliseerd, zie wetboek van strafrecht. Als er voor 'alles' dat mis kon gaan een wet was, schreef jij hier een rant over ziekelijk verstikkende bureaucratische dictatoriale overheidsdiensten.
Als blijkt dat er bij diginotar enige vorm van opzet is danwel grove nalatigheid dan zou dit ook gezien kunnen worden als hoogverraad. Ze hebben hierdoor immers faciliteiten aangeboden waardoor de vrijheid van burgers in gevaar komt.
interessante stelling namen, en als het te beweizen is ben ik er groot voorstander van... maar ik vrees dat het OM daar nooit genoeg bewijs van kan leveren, en heb ik dus liever dt ze op tig tal mindere wetten worden veroordeeld dan vrij gesproken op hoogverraad..

zou er toevallig nog ergens perongeluk een wetje zijn die de doodstraf op hoogverraad zet... - misschien een vergeten wetje uit wo2...???
Hoogverraad is een groot woord, maar strafrechtelijke vervolging hoef je helemaal niet uit te sluiten. Ze wisten het al geruime tijd en ze hebben daarmee willens en weten risico's genomen met gegevens van de nlse overheid. De gevaren voor Iraniers zijn vanuit nl wellicht lastiger te vervolgen.
Ik vraag me nu alleen af of de ambassadeur van Iran niet op het matje moet komen en verantwoording moet gaan afleggen.

Dat een server gehacked wordt ala. Dat een PKI uitgever gehacked word ala. Maar als jij als burger met een groepje vrienden RTL-Z een D-DOS aanval zou uitvoeren komt de antitereur wetgeving bij je langs!!

Andere worden, we zien geen woord over wat er met Iran gaat gebeuren op politiek vlak. Denk dat dit toch wel als een soort van oorlogs daad mag worden gezien?? (neem woord oorlog niet al te hoog op aub ;) )

Wat ik bedoel, als ze overheids PKI sleutels nagemaakt hadden gemaakt, dan konden ze bij onze belastingdienst, justitie, Defensie en ga zo maar door!!
heb je wel een punt, als er ook maar 1 pki-overheid cert in handen is gevallen van iran dan zou dat als 'act of war' kunnen en mogen worden gezien...

al heb je hedendaags wel wat meer redenen nodig om toestemming van de vn te krijgen voor vergeldin...
Gaat niet echt om vergelding, Men maakt zich druk en ziet een d-dos aanval op een oevrheids dienst als tereurdaad. Wat misschien wel begrijpelijk kan zijn.

Bij het in handen krijgen van overheids veiligheids certificaten door een ander land wordt alleen afgedaan als. Fout van de uitgever, die gaan we we aansprakelijk stellen. Wat opzicht terecht is. Alleen de aanvaller in dit geval is een Land dat door de VN als agressief en vijandig wordt gezien..

Contrast met terreur en deze actie van Iran is erg dun. en ben zelf van mening dat daar best wel actie op genomen mogen worden. Dat hoeft echt niet het binnen vallen van het land. De overheid heeft vast nog wel andere slag om de arm.
Zo ernstig is dit probleem nu ook weer niet. Zelfs als er misbruik gemaakt word dienen ze of eerst de dns records aan te passen zodat je naar de verkeerde site gaat (vrij onmogelijk) of er moet een stukje kwaadaardige software op je pc draaien die je naar de verkeerde site stuurt.

Dan moet op die andere site nog een correct certificaat draaien. Nou eer je zover bent is het certificaat allang vervangen voor één van een andere maatschappij. Maak je niet zo druk.
Uhh onmogelijk?? Als je de DNS server beheerd zoals veel landen onder dictatuur gewoon verkeer via je eigen server routeren.

Dus ja simple gezegd is het niet zo eenvoudig zoals je aangeeft. Het ging hier voornamelijk in de vorm van afluistertechnieken van GMAIL. Maar als je eenmaal certificaten zou kunnen namaken zijn er nog veel meer mogelijkheden mits de juiste kennis aanwezig is.
Die business is nu non-existent geworden en dus zal Diginotar failliet gaan. Jaren geleden bij de start van diginotar/pki-overheid heb ik al gewezen op de risico's, die de overheid loopt door een dergelijke essentiele dienstverlening door een particulier bedrijf te laten uitvoeren. Het was in het begin tijdperk van het internet en beveiligde ssl-verbindingen. De verschillende ambtenaren zaten mij aan te kijken alsof ze water zagen branden en men weigerde dit als een probleem te zien. Nu heb ik gelijk gekregen en moet men maar op de blaren zitten. Een pki is zoiezo een draak van een systeem. Het beheer van de certificaten wordt snel, zoals je nu ook ziet, een NACHTMERRY !
Het beheer van de certificaten ...
... is niet waar het fout ging; het probleem zat bij de beveiliging van de servers.

Als de overheid dit niet had uitbesteed had het evengoed fout kunnen gaan; het is niet alsof staatsbedrijven onhackbaar zijn...!?

All-caps is lelijk, een ontzettende spelfout in all-caps is ontzettend lelijk...
Is de beveiliging van de certificaten niet de nr 1 prioriteit van het beheer ?
dit soort hacks zijn niet altijd te voorkomen, het is alleen de vraag hoe integer reageer je na de ontdekking....

laat je je hele bedrijfsvoering direct doorlichten, met een extreem grondige audit...
en vervang je direct ALLE certs... of doe je alsof je neus bloed, wie komt er immers achter?
de website van diginotar is ook niet meer te bereiken!! slecht en traag te bereiken.
wat zou daar opgemaakt van kunnen worden?

Alleen jammer dat de website nieuws nog niet is aangepast.
Laatste nieuws 30 aug, overheid vertrouwd nog steeds PKI certificaten diginotar

[Reactie gewijzigd door To_Tall op 3 september 2011 14:15]

Ik kan nu alleen maar DigiNotar erg veel succes en vooral sterkte wensen met…
Erg misplaatst. Dit bedrijf had nooit mogen bestaan.
Goede zaak dat er een verdenking van dood door schuld kan komen.

Eerder deze week ook al van die reacties in de trant van "wat zielig voor het personeel"... kan daar niet bij.
Ik wist niet dat de overheid s'nachts ook werkte :)
offtopic:
Ik ook niet. Maar heb het rond 1 uur vannacht wel gezien en aangehoord.Als er een persconferentie s'nachts gegeven wordt mag je stellen dat het goed mis is.
Ik kan nu alleen maar DigiNotar erg veel succes en vooral sterkte wensen met de voortzetting van hun business,
Met Diginotar is het gedaan in deze business.Juist vanwege het verzwijgen en het niet doen van aangifte.Dit speelde al sinds Juni jl.

[Reactie gewijzigd door Dutchphoto op 3 september 2011 10:27]

Beter: ik zeg mijn vertrouwen in deze "deskundige"overheid op, wat een stelletje amateurs daar
Niet erg netjes van diginotar om niet meteen aangifte te doen.
En de overheid werkt natuurlijk in crisis altijd door.
Gezien de persconferentie die nu aan de gang is.

[Reactie gewijzigd door alteclansing op 3 september 2011 01:24]

Eindelijk zeg. Snap niet dat het nu op eens een probleem is na de eerdere verklaringen, wat is er nu veranderd dat het vertrouwen wordt opgezegd?
Fox IT heeft advies uitgebracht na een onderzoek
De verandering is het resultaat van het onderzoek van FOX IT, een onbemiddeld expertise bedrijf.

Ik baal hier wel enorm van, omdat het een enorme impact heeft op een groot aantal systemen en beheerders in Nederland.

Men moet weten: de PKI Overheid certificaten zijn niet alleen voor de websites van de Overheid gebruikt, maar ook voor webservices (dus geen websites) van bedrijven die iets met burgergegevens doen, zoals het bedrijf waar ik werk.
Dat betekent voor ons o.a. dat een systeem dat maandag live zou gaan, uitgesteld wordt, om eerst andere certificaten aan te vragen en te implementeren.

Het is niet alleen erg dat we deze wijzigingen moeten aanbrengen, maar het ergste is dat dit een vertrouwde autoriteit heeft moeten overkomen:
Als een autoriteit als Diginotar z'n beveiliging niet op orde heeft, hoe kunnen we dat dan van andere bedrijven verwachten? ...

Het is natuurlijk allang bediscusseerd, maar hoe heeft in heavens name een bedrijf als Diginotar via een geautomatiseerd toegangspunt certificaten uit kunnen geven?
Had daar nou niet permanent iemand tussen kunnen zitten?
Als een autoriteit als Diginotar z'n beveiliging niet op orde heeft, hoe kunnen we dat dan van andere bedrijven verwachten? ...
Niet. En van Diginotar ook niet. Dat is ook het probleem niet; het probleem is de manier waarop DigiNotar daarmee om is gegaan. Ze hebben het hele voorval getracht te verbergen en zelfs niet eens aangifte gedaan. En dáárom is het zaakje niet te vertrouwen.
Het is natuurlijk allang bediscusseerd, maar hoe heeft in heavens name een bedrijf als Diginotar via een geautomatiseerd toegangspunt certificaten uit kunnen geven?
Had daar nou niet permanent iemand tussen kunnen zitten?
Strict gezien mag dat ook voor PKIoverheid-certificaten niet, maar wat de impact daarop was moeten we uit het Fox-IT rapport halen (mits dat ooit beschikbaar komt.)
"Niet. En van Diginotar ook niet. Dat is ook het probleem niet; het probleem is de manier waarop DigiNotar daarmee om is gegaan. Ze hebben het hele voorval getracht te verbergen en zelfs niet eens aangifte gedaan. En dáárom is het zaakje niet te vertrouwen."

En dat is nu precies waarom ik daar een zware straf op wil hebben.

Het gaat bij dit soort personen (bedrijfsleven EN ambtenaren zoal zovaak blijkt) niet om de mogelijke impace; maar om een manier om de impact zoveel mogelijk minimaal te houden voor zichzelf; terwijl ze DONDERS goed weten dat het voor anderen misschien totaal fout kan zitten. (en dit geld dus in dit geval voor IEDEREEN in iran en nederland (potentieel))
Overheid ICT projecten worden wel vaker uitgesteld, dus zo er is het niet.
En als de wil er is, hebben ze morgen nog nieuwe cert's. Dan zou het voor de betreffende beheerder('s) niet meer dan 10min werk per services mogen zijn.

Dus zo'n ramp is het niet.

Daarnaast zitten er meestal op andere plekken, wel andere problemen die erger zijn dan een geldige cert. Maar daar praten we niet over.
Ik begin zelfs weer wat vertrouwen te krijgen in onze overheid op IT gebied.

Dit was eigenlijk gewoon de enige logische "oplossing", maar meestal negeren ze die gewoon en gaan ze vrolijk verder.

Kan mozzila ook z'n broncode weer aanpassen om de uitzondering eruit te halen, wel wat veiliger.
niks broncode aanpassen, de CA wordt geblacllisted
In de code van Firefox staan op dit moment twee dingen die hiermee te maken hebben:
- Een stuk code dat hardcoded alles van DigiNotar blacklist (overridebaar) omdat DigiNotar ook intermediate CA's heeft, en direct daaraan vast een stukje dat hetzelfde doet maar dan niet te overriden als het certificaat in kwestie nieuwer is dan 1 july=i 2011.
- Een specifieke uitzondering voor DigiNotar certificaten uitgegeven onder de Staat der Nederlanden Root CA.

Die laatste wordt er weer uitgehaalt nudat de regering het vertrouwen in DigiNotar opgezegd heeft. De rest blijft erin.
Mozilla hoeft de code niet aan te passen. De Staat der Nederlanden CA moet het certificaat van DigiNotar PKIOverheid revoken, dan hoort het vanzelf goed te komen (al zal vast wel weer blijken dat dergelijke mechanismes niet werken...)
Heb je gekeken waar de revokelist staat van de staat der Nederlanden :p
Het is weer dramatische gestemd met de kennis van journalisten in Nederland en van onze minister.

-Edit_
Brunno de Winter maakt het gelukkig weer aardig goed :)

[Reactie gewijzigd door Xacky op 3 september 2011 01:33]

Voor de tweakert die hem begreep wel, maar voor de "gewone" gebruikert, waaronder de nieuwslezer, was het hogere wiskunde... Donner had gewoon moeten zeggen dat mensen even moeten wachten tot na het weekend, ipv de browser-afhankelijke oplossing met of zonder slotjes en of updates.. Dat snappen vrij weinig mensen denk ik. Denk zelfs dat het Donner boven de pet groeide, zelfs na een avond crisisberaad
Ofwel dit is gewoon HET nieuwsbericht van het jaar voor tweakers...

ik ga helemaal stuk om me pa, 95% van de bevolking begrijpt er niks van
dat komt omdat 95% van de bevolking jaren lang gehoord heeft dat het eenvoudig en simpel en vooral erg makkelijk is dat internet.

sommigen mensen gebruiken het wel maar weten niet wat ze doen.

net als mensen in een auto ze hebben wel ooit een rijbewijs gehaald maar nooit echt leren auto rijden, :+
Hoezo dramatisch? Donner is geen minister geworden omdat hij alles van PKI weet...
Nee, klopt, maar ik krijg steeds vaker het idee dat ze eigenlijk maar van heel weinig verstand hebben.
Het Ministerie van Justitie geeft voor mensen een Verklaring Omtrent gedrag uit. Dat is ook een soort certificaat. Waarom kan de overheid voor belangrijke overheidsservers niet zelf een certificaat uitgeven. Zijn daar per sé derden voor nodig?
Ja. Zo werkt het systeem. Ik zeg dat ik jou vertrouw, en teken jouw vertrouwbaarheidsverklaring (VOG, verklaring van goed gedrag) ook.
En ik als vertrouwde partij, wordt ook geloofd. En daar ging het mis....
Het Ministerie van Justitie geeft voor mensen een Verklaring Omtrent gedrag uit. Dat is ook een soort certificaat. Waarom kan de overheid voor belangrijke overheidsservers niet zelf een certificaat uitgeven. Zijn daar per sé derden voor nodig?
Ik las bij de NOS dat 'ie overweegt om dat, in ieder geval voor de overheid, inderdaad zelf in handen te nemen.
Dat wordt 'm waarschijnlijk niet: zelf een root CA beginnen is niet bepaald makkelijk. Als je al door het proces heen komt zit je bijvoorbeeld met oude browsers die de nieuwe root niet meenemen. Als overheid is dat niet bepaald ideaal en dus ook een onwaarschijnlijke optie.

Loop eens bij 20 verschillende mensen naar binnen en gebruik hun computer om op digid in te loggen. Hoeveel computers geven ook echt een beveiligingswaarschuwing? Waarschijnlijk ergens tussen de 0 en de 5. Dit illustreert goed waarom het zo lastig is.

[Reactie gewijzigd door TvdW op 3 september 2011 03:05]

Dat hoeft niet. De overheid heeft al een root CA die door alles wat belangrijk is vertrouwd wordt. Het enige wat moet gebeuren is dat Logius (of een soortgelijke partij) even zelf CSP moet worden en er een intermediate CA gemaakt moet worden voor die partij (wat per definitie een taak voor Logius is.)

[Reactie gewijzigd door CyBeR op 3 september 2011 03:15]

Wat ook kan is wat Google gedaan heeft. Dit artikel http://www.imperialviolet.org/2011/05/04/pinning.html is al van Mei dit jaar, maar wijst erop dat Google zich erg bewust van het gevaar van ´rogue´ organisaties als DigiNotar. Zeer lezenswaardig in het licht van de huidige onthullingen.

Google heeft straffe maatregelen genomen door voor haar eigen diensten/subdomeinen pinning te gebruiken en slechts 4 certificates te accepteren, de drie meest serieuze en hun eigen natuurlijk.. Mogelijk hebben ze daarmee al een boel schade voorkomen in Iran door dit preventief te doen.

De overheid zou hetzelfde kunnen doen.

edit: hai, heb je het artikel gelezen? Ze pinnen hun eigen services en acceptereren alleen certificates van 4 authorities. Dat zou in het geval van de Nederlandse staat in mijn ogen een prima handeling zijn. Je moet je eigen overheid kunnen vertrouwen en dus ook zeker weten dat je geen MiM hebt. Google gelooft niet in het huidige systeem voor haar eigen diensten en we hebben nu gezien dat dit correct is.

Als ze geen certificate pinning gedaan zouden hebben zou dit probleem met gmail.com en google.com nooit aan het licht gekomen zijn en zou de Iraanse overheid inderdaad MiM hebben kunnen spelen. Lijkt me toch heel verstandig en prettig van zo´n cruciale search en mail service.

Daar DigIID zéér privacy gevoelige gegevens moet beschermen hebben overheden hier een taak. Ik zou google dus gewoon volgen in dit beleid.

[Reactie gewijzigd door max3D op 3 september 2011 13:13]

De overheid zou hetzelfde kunnen doen.
Het hard vastleggen van de oorsprong van certificaten in bepaalde browsers is een hele foute oplossing. Zeker structureel.
Als je een tweede partij wilt inzetten voor een extra controle van de certificaten of een soort dubbele certificering is dat op zich geen verkeerd idee maar dan moet dat wel een andere onafhankelijk partij zijjn.
De overheid zou hetzelfde kunnen doen.
Hoe had je dat (technisch) in gedachte? De overheid geeft geen browser uit! En de pinning die Google doet voor haar domeinen werkt alleen in Chrome (niet in IE, FF, Opera, Safari, Lynx, ...); dat kan ook niet anders, want die pinning zit in de code van de browser, niet in het certificaat (het wel in het certificaat stoppen is geen optie, een MitM-server gebruikt gewoon een certificaat van een willekeurige, gehackte CA en laat dan natuurlijk de pinning-optie weg).

Wat je uiteindelijk probeert te bereiken (een onderscheidd maken tussen "gewone certificaten" en "extra-betrouwbare certificaten") bestaat al, onder de naam EV ("extended validation"). In veel browsers zie je dit terug doordat gewone certificaten een (meestal) blauw balkje laten zien, terwijl EV-certificaten een groene balk geven. Helaas weten de meeste gebruikers niet dat als de website van (laten we zeggen) je bank "alleen maar" blauw wordt, er waarschijnlijk iets ontzettend mis is.

Dit kun je mensen moeilijk kwalijk nemen; net even geprobeerd in Firefox 6, als je niet weet wat het verschil is tussen blauw en groen, dan moet je klikken op het certificaat, ""More Information", "View Certificate", "Details", het Certificate Field "Certificate Policies" selecteren en dan staat er eindelijk "Extended Validation"... (Altijd nog beter dan IE7, waar ik het helemaal niet terug kan vinden...!?)
Lijkt mij hoog tijd dat browsers (zowel bij EV, als bij gewone certificates), een tekst opnemen (voor EV) "This certificate is intended to secure critical services such as online banking and very privacy sensitive applications" en (voor gewone) "This certificate is only intended to verify the authenticity of regular website; it should NOT be used to secure online banking or very privacy sensitive applications".
[...]
Wat je uiteindelijk probeert te bereiken (een onderscheid maken tussen "gewone certificaten" en "extra-betrouwbare certificaten") bestaat al, onder de naam EV ("extended validation"). In veel browsers zie je dit terug doordat gewone certificaten een (meestal) blauw balkje laten zien, terwijl EV-certificaten een groene balk geven. Helaas weten de meeste gebruikers niet dat als de website van (laten we zeggen) je bank "alleen maar" blauw wordt, er waarschijnlijk iets ontzettend mis is.
Zelf geloof ik niet in een onderscheid tussen "gewone" en "extra betrouwbare" certificaten.
Een certificaat is veilig of niet. Ik wil geen tussenweg. Je mag een onderscheid in encryptie zwaarte maken, maar dat was het dan ook wel, wat mij betreft.

Internetten zelf, certificaten, virussen, back-doors, mal-ware enz. is voor veel mensen al ingewikkeld genoeg. Ze weten regelmatig niet eens dat je een virusscanner (regelmatig) moet updaten ("ik heb toch een virusscanner?") Laten we even niet over "groene" en "blauwe" of zo certificaten beginnen. Dan is het voor velen echt niet meer te volgen. En dan nog: een onveilig certificaat maak je rood ... en een blauw certificaat soms veilig, soms niet, zoals ik begrijp, laat ook mij afhaken.

Toegevoegd: de bank en ook fox-it.com geeft een groene balk links van de websitenaam, mijn.belastingdienst.nl b.v. of mijn werkgever inderdaad een (belasting ;) ) blauwe ...

[Reactie gewijzigd door Xubby op 4 september 2011 12:12]

Waarschijnlijk in het kader van 'bedrijven kunnen dit efficiënter en goedkoper'.
Dus daar heeft Donner ( &Co) een paar dagen over moeten doen...
Lekker vlot allemaal.
als bij je zelf de kennis ontbreekt ga je extern voor info zoeken dat duurt nu eenmaal wat langer. :+
Logisch! Deze beslissingen heeft behoorlijke impact en die neem je niet over 1-nacht-ijs omdat journalisten en bezoekers van tweakers hun mening allang klaar hebben...
Waarschijnlijk was deze beslissing vanaf het begin de enige serieus besproken optie. E waarschijnlijk zijn in de afgelopen paar dagen alle voorbereidingen al begonnen. Er moest alleen nog snel onderzoek verricht worden of het inderdaad de enige juiste optie was.

De overheid zegt het vertrouwen op in een voorheen vertrouwd faciliterend bedrijf, dat is niet niks. Dit is de doodsteek voor Diginotar. Wanneer dat mogelijk onterecht zou zijn (in de zin van door de rechter beslist dat de overheid te overhaast te werk is gegaan), heeft dat de nodige consequenties:
- Er worden een aantal mensen bij Diginotar heel erg rijk (door de schadevergoeding);
- De overheid krijgt een gigantische claim van alle bedrijven die last hebben van de ondergang van Diginotar (of in ieder geval het vertrouwensverlies);
- De overheid wordt als onbetrouwbaar gezien (in de zin van onberekenbaar).

Al met al denk ik dat er voor een nationale overheid redelijk rap is gehandeld.
Had toch allemaal veel eerder gekund, F.secure (en zowel T.net) berichte hier al veel eerder over.
Beetje vaag om dat midden in de nacht te doen, sites open te laten en dan hopen dat alles binnen een paar dagen wonderlijk verdwijnt.
Het probleem is dat dit soort beslissingen verstrekkende gevolgen hebben, niet alleen voor de burger maar ook voor de verschillende departementen (ministeries), en overheidsdiensten.

Met het nemen van dit soort beslissingen kun je simpelweg niet over een nacht ijs gaan.
Eerst het probleem goed in kaart brengen de opties op tafel leggen overwegen en de beste optie kiezen kost tijd.
Dat valt reuze mee hoor. Certificaten wisselen komt regelmatig voor (per n jaar) omdat die maar beperkt houdbaar zijn. In die zin kun je spreken van een vervroegde omwisseling.
Dat er dan heel veel certificaten moeten worden gewisseld kost even tijd en moeite maar je moet wel.
De verloopdatum van DigiD https site is 7-11-2011 dus die hadden het binnenkort toch al moeten vervangen.
De belastingportal voor ondernemers op https://mijn.belastingdienst.nl/ heeft een VeriSign certificaat dus daar is niets aan de hand. Lijkt me overigens niet heel veel werk om even wat certificaten aan te vragen bij andere CA's voor bijvoorbeeld DigiD.
Op de digid website heb je ook nog geen melding
Dat zou de komende uren wel aangepast moeten worden.
Lijkt me overigens niet heel veel werk om even wat certificaten aan te vragen bij andere CA's voor bijvoorbeeld DigiD.
Misschien niet veel, maar wel tijdrovend; bij het aanvragen van een certificaat moet je aan de uitgever van het certificaat aantonen dat (1) jij inderdaad de eigenaar bent van het domein (2) dat de persoon die de aanvraag doet daar inderdaad toe gemachtigd is door de aanvragende instantie (3) vast nog een boel andere dingen. En dat moet vervolgens allemaal handmatig gecontroleerd worden... Dus ja, dat duurt echt wel even.
Mwah als je als een autoriteit als de staat der nederlanden komt krijg je heus wel voorrang. Kost dan wel stukken meer maar goed
Donner adviseert om overheidssites met ongeldige certificaten tijdelijk niet te gebruiken.
Donner moet gewoon de meest risicovolle websites op zwart gooien. Echt weer een afschuif tactiek om de verantwoording te leggen bij het onwetende publiek. Om achteraf te kunnen zeggen we hebben het toch medegedeeld dat het gevaarlijk kon zijn.
Wat wil je daarmee bereiken? De sites zelf zijn veilig, alleen totdat ze van certificaat wisselen is er geen garantie meer dat je ook echt met digid.nl verbonden bent.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013