Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 136, views: 37.422 •

Browsermakers hebben het vertrouwen in ssl-autoriteit DigiNotar defintief opgezegd. Dat betekent dat browser bij sites die gebruik maken van DigiNotar-certificaten, zoals Nederlandse overheidssites en DigiD, foutmeldingen gaan geven.

Na een update geeft Firefox daarom foutmeldingen bij alle ssl-certificaten van DigiNotar, meldt Mozilla in een blog. Andere browsermakers doen hetzelfde, meldt Mozilla. De verwijdering van DigiNotar-certificaten is definitief, zegt Mozilla.

De browserbouwer geeft drie redenen voor de verwijdering: DigiNotar stelde Mozilla niet tijdig op de hoogte, terwijl er ook valse certificaten voor Mozilla.org zijn uitgegeven bij de hack anderhalve maand geleden. Daarnaast is het onduidelijk hoeveel gevolgen de hack heeft gehad en worden vervalste certificaten in de praktijk ook misbruikt.

De stap volgt enkele uren nadat minister Donner bekendmaakte de banden met DigiNotar te verbreken. Uit een niet-gepubliceerd rapport van beveiligingsbedrijf Fox-IT zou blijken dat de veiligheid van PKIoverheid-certificaten, onder meer die van de elektronische identificatie DigiD, niet gegarandeerd kon worden. De overheid neemt de certificaten tijdelijk in eigen beheer, totdat er een overeenkomst wordt gesloten met een nieuwe ssl-autoriteit.

Nu de overheid en de browsermakers het vertrouwen hebben opgezegd, werken de ssl-certificaten binnenkort niet meer in alle grote browsers. Dat maakt de certificaten van het bedrijf uit Beverwijk zo goed als waardeloos. Daarmee is het bedrijf, dat begin dit jaar is overgenomen door het Amerikaanse Vasco, zijn bron van inkomsten kwijt.

DigiNotar kwam afgelopen week in opspraak, toen bleek dat vervalste certificaten door de Iraanse overheid zijn misbruikt om Gmail-verkeer van eigen burgers af te tappen. Niet lang daarna werd duidelijk dat het bedrijf was gehackt. Wie de hackers waren en hoe de hack is uitgevoerd, is nog altijd onduidelijk.

Overheidssites zullen komende tijd wel blijven werken. Donner adviseerde gebruikers wel om niet verder te gaan als de browser foutmeldingen geeft. Het tijdelijk offline halen van diensten als DigiD zouden te grote gevolgen hebben, meent de minister.

Foutmelding Firefox bij Diginotar-certificaat

Gerelateerde content

Alle gerelateerde content (29)

Reacties (136)

Reactiefilter:-11360135+1105+217+31
Net op tijd overgenomen zullen die bestuurders wel denken dan, denk ik zo.

Zien gebruikers van oude versies van Firefox/IE ook dat die certificaten zijn ingetrokken? Of zit dit enkel in nieuwe updates van browsers?
Geen idee hoe het "systeem" erachter functioneert, maar als je met een oude browser deze certificaten nog kunt gebruiken, is er iets grondig mis met de manier waarop deze werken...
Het heet niet voor niets root certificaat... Een bron met betrouwbaar geacht worden. Als de top dat niet meer is, moet er iets gewijzigd worden. Of je moet op een of andere manier alle roots tegen elkaar gaat controleren of iets. Maar dat is geen functionaliteit. Dan kun je nog tegen een externe partij aanpraten ter controle roots, maar die kan ook worden vervalst. Er is altijd een vertrouwd geachte partij.

[Reactie gewijzigd door Rinzwind op 3 september 2011 10:40]

De certificaten waarvan bekend is dat ze zijn gekaapt zijn wel al ingetrokken als het goed is. Zonder update dus.

[Reactie gewijzigd door Grauw op 3 september 2011 10:59]

Ik zou wel eens willen weten hoe je een certificaat kan intrekken zonder dat aan de clients te laten weten.
Elke browser verifieert de certificaat dat het van de server krijgt tegen de CA met de vraagje is deze echt. Als de CA dan antwoord nee dan zegt de browser oké. Wat er nu bij gekomen is dat de browsers de diginotar als CA op blacklist hebben staan en dus zonder verificatie elke certificaat van hun afkeuren.
Min of meer komt het daar op neer.
Waarom kan ik digid.nl en overheid.nl dan nog steeds bezoeken zonder melding dat de certificaten onbekend zijn?
DigiNotar is een van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven.

Donner wil n.l. digid.nl niet uit de lucht? halen ,wegens te grote gevolgen die er aan hangen

Dus nog 5 andere die wel voldoen

[Reactie gewijzigd door postbus51 op 3 september 2011 16:17]

Je krijgt nu nog geen foutmelding omdat Mozilla de intrekking alleen via een browserupdate kan regelen.
Hangt dat van de versie af?
Mijn FF7beta geeft geen sjoege.
Bij 'opties/geavanceerd/encryptie kun je zien welke certificaten FF heeft, DigiNotar staat er nog steeds vrolijk tussen bij 7Beta4.
Deze versie is gister op de FTP gezet, verwacht vandaag of morgen wel Beta 5 dus.
Wellicht een overweging om die handmatig te verwijderen?

[Reactie gewijzigd door marco275 op 3 september 2011 23:59]

Ik gebruik ook Firefox 7 beta 4, maar bij mij staat ie er niet bij. Bij Firefox 6.0.1 staat ie er niet eens bij trouwens.
Een overname is niet zo simpel, meestal is er wel een potje gereserveerd voor zogenaamde lijken uit de kast zodat de partij die de overname doet enigszins beschermd is. Dit lijkt me een goed voorbeeld van een flinke tegenvaller.
Het ziet er na uit dat het lijk na de overname in de kast is gestopt.
Dit is duidelijk iets van na de overname dus dit zal hoogstwaarschijnlijk geen gevolgen hebben voor een eventuele clawback.
Dit zal hooguit gevolgen hebben voor een eventuele prestatiebonus die nog in de verkoopprijs verwerkt is, met andere woorden als de verkoper nog een extra stuk verkoopprijs krijgt als het bedrijf het in de jaren daarna goed doet.

In ieder geval kan Diginotar zijn deuren wel sluiten want dit komen ze niet meer te boven. Als het vertrouwen weg is dan is het einde oefening, want net als met banken draait alles om vertrouwen van je klanten bij dit soort instanties.
Daar ben ik nog niet zo zeker van, de oorzaak van deze ellende ligt natuurlijk voor de overname.
Ik kan me niet voorstellen dat Vasco nu denkt "ach jammer laten het zo". Daarvoor gaat het gewoon om te veel geld.

Ik heb zelf bij een bedrijf gewerkt dat ook een lijk in de kast bleek te hebben na overname.
Ook een dusdanig groot lijk dat het wel het bedrijf om zeep heeft geholpen.
Ondanks dat de schade pas na de overname is ontdekt heeft de vorige eigenaar ook wel degelijk aansprakelijk gesteld.
Mijn vermoeden is dat hier nog wel een rechtzaak of 2 aan gespendeerd zal worden.
De overname is al uit januari. Hoe is een hack uit juni iets waarvan de oorzaak ligt voor de overname?
De hele kast zit er vol mee. Dit is Grote Einde voor dit bedrijf. Hun core-buisness is het vertrouwen. Deze is nu compleet weg. Mede doordat zij nadat de hack bekend werd, nog steeds valse ssl-certificaten uitgaven. Dat geeft een indicatie hoe zij met het vertrouwen van klanten omgingen en zullen omgaan.

[Reactie gewijzigd door vinnixx op 3 september 2011 12:22]

Ben bang van wel, dat geeft dus ook een enorm veiligheidsrisico bij oudere browsers.
Ik gebruik nu de laatste stabiele Firefox versie 6.01 en krijg nog geen foutmelding bij https://as.digid.nl is nog geverifieerd door DigiNotar.

Maar het echte probleem ligt dus bij dat een CA gehackt is en voordat de browsers zelfs maar geupdate zijn de schade al gemaakt is in Iran.
Dan zou je toch denken dat het misschien veiliger is om certificaten door twee onafhankelijke bedrijven te verifiëren in plaats van één.

[Reactie gewijzigd door Soldaatje op 3 september 2011 12:18]

ik zie trouwens dat hun CRL Distribution Point uit de lucht is - mijn Chrome browser kan niet checken of dit certificaat ingetrokken is of niet... |:(


[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://service.diginotar.nl/crl/PKIOverheidenBedrijven/latestCRL.crl
sinds vandaag staat er dit op de site van DigID:
3 september 2011 - U kunt een beveiligingswaarschuwing krijgen als u DigiD gebruikt. Houd deze website in de gaten voor meer informatie. De DigiD helpdesk is dit weekend extra geopend van 8.00 tot 17.00 uur. Bereikbaar via 0800 - 023 04 35.
na een keer doorklikken verschijnt er dit op mijn scherm:
Beveiligingswaarschuwing bij gebruik DigiD

zaterdag, 3 september 2011

U kunt mogelijk beveiligingswaarschuwingen krijgen als u DigiD gebruikt. Deze beveiligingswaarschuwingen komen doordat uw internetbrowser het beveiligingscertificaat van DigiD niet meer vertrouwt. Beveiligingscertificaten beveiligen de verbinding tussen uw internetbrowser en DigiD. Ook geeft het certificaat zekerheid dat u op de echte website van DigiD bent en niet op een nepsite.

Oorzaak

De reden waarom uw internetbrowser een waarschuwing geeft, is omdat alle certificaten van de leverancier van het certificaat, DigiNotar, niet meer vertrouwd worden.

Wat kunt u doen?

Momenteel zijn wij de certificaten van DigiD aan het vervangen. Wij adviseren u te wachten tot DigiD weer gebruikmaakt van de nieuwe certificaten. Vanaf dan krijgt u geen waarschuwing meer en kunt u veilig gebruikmaken van DigiD. Houd de DigiD website in de gaten voor meer informatie.

Algemene informatie

Op www.rijksoverheid.nl vindt u algemene berichtgeving.

'Overheid zegt vertrouwen in de certificaten van Diginotar op' (red. link)
oftewel Diginotar kan het wel schudden. De overheid heeft ze vaarwel gezegd en de grootste klant is nu dus weg.
Niet alleen hun grootste klant, *al* hun klanten zijn weg. Het heeft totaal geen zin om certificaten daar te vernieuwen aangezien je er niets meer aan hebt.
Aangezien het onder amerikaans bestuur staat, zou het me niet verbazen als een amerikaanse hoge pief in het bedrijf de opdracht zelf gaf om het niet openbaar te maken.
Kom maar op met de bewijzen!
Zover bekend is dat alleen in de nieuwste versie van FireFox.
voor IE weet ik niet. Deze wellicht met een van de dinsdag patches uit gebracht kunnen worden.
Ik heb speciaal even mijn FF geüpdatet naar 6.0.1 maar kan nog steeds vrolijk inloggen. Met het verschil dat nu een paar plugins weer niet werken....
Even de xpi openen met winrar, het zich daarin bevindende rdf bestandje openen met wordpad en firefox <maxVersion>6.0</maxVersion> aanpassen naar 9.*
Nu ook de overheid hun vertrouwen heeft opgezegd in diginotar kunnen ze wel inpakken! Kan iemand mij trouwens uitleggen waarom certificaten alleen middels een update kunnen worden geupdate? Veel bedrijven (die toch al erg traag zijn met hun software updates) zullen natuurlijk nooit deze melding gaan geven, dit zou toch veel beter via servers kunnen gaan van mozilla/google/ie?
Ik vraag me juist af waarom de browser moet bepalen welke CA's vertrouwd worden. Dat lijkt me typisch een functie van het OS, op een manier dat applicaties niet zomaar mutaties kunnen uitvoeren op de lijst van Trusted CA's.
Goed punt, uitgevers die je toevoegt worden immers ook door een tool van het OS geïnstalleerd (zowel onder Windows als OS X), niet door de browser. Vreemd dat het niet volledig wordt afgehandeld door het OS... :|
Je kunt deze lijst dus ook gewoon lokaal bewerken.

Firefox: menu Extra -> dialoog Opties -> sectie Geavanceerd -> tab Encryptie -> knop Certificaten bekijken

Het gaat hier dus om de lijst met voorgeïnstalleerde root certificaten. Als die standaard leeg zou zijn zou browsen een vervelende ervaring worden. Je kunt hier gewoon je eigen certificaat tussen hangen of juist root certificaten weghalen. Dus ook oude browsers kun je wel bijwerken...

EDIT: Ik zie dat Diginotar hier inderdaad in de lijst staat, onder tabje Organisaties. Die weghalen komt dus op hetzelfde neer als de update draaien. Nu dus ook even zelf verwijderd :)

[Reactie gewijzigd door OddesE op 3 september 2011 12:53]

Als die standaard leeg zou zijn zou browsen een vervelende ervaring worden.
Ehm, ik zie het probleem niet als je OS dit afhandelt i.p.v. je browser(s << !!!). Als je OS hiervoor verantwoordelijk is zal deze ook met een standaard pakket aan root certificaten geleverd worden, m.a.w. is er geen verschil behalve dat deze op één centraal punt beheerd worden i.p.v. per browser.

In OS X is dat overigens (volgens mij) al het geval, nml. via de hulp-app "Sleutelhangertoegang". Ik weet alleen niet of Firefox hier gebruik van maakt, Safari in ieder geval wel :)
Vergeet dan niet om onder het kopje "Staat der nederlanden" het DigiNotar PKI overheid certificaat OOk mee te nemen! ;)
Heb zowel Staat der Nederlanden Diginotar als Digitnotars eigen CA verwijderd maar kan nog steeds vorlijk op deze website: https://as.digid.nl (FF 6.0.1).
Ik gebruik hier FF7
Als ik de certificaten weg haal, zijn ze in een flits weer op hun plek zodra ik digid.nl bezoek.
Diginotar blijft geldig in mijn browser.
Na herstarten FF blijk Diginotar er weer vrolijk tussen te staan.
Is dat een bug in FF7beta?
Microsoft levert af en toe via Windows Update ook nieuwe (root) CA's mee, of een lijst met intrekkingen.
Bij IE gebeurt dit reeds online dacht ik en is er geen update nodig.
Bij Mozilla, Opera en Chrome wel denk ik, daar mijn huidige Chrome (13.0.782.218), huidige Firefox (6.0.1) en huidige Opera (11.51) nog geen fout geeft bij de url uit het screenshot.
FF 6.0.1 op linux geeft wel een foutmelding op digid.nl. De linux update was iets later, wellicht daarom
FF 6.0.1 op linux geeft wel een foutmelding op digid.nl. De linux update was iets later, wellicht daarom
Yep same here
Opera doet het online, waarschijnlijk hebben ze het vertrouwen nog niet helemaal opgegeven.
Bron: http://my.opera.com/secur...-authorities-are-hacked-2
Opera geeft nu insucure aan
Misschien is dit al bij een eerder bericht gesteld maar, waarom zit dit hardcoded en werkt het pas na een update? Enige wat ik zou kunnen bedenken dat als je het dynamisch ophaalt hackers hier misschien ook tussen kunnen zitten maar daar moet toch vast wel iets op te vinden zijn? Je hebt ook mensen die niet zo vaak updaten en die geen tweakers lezen dus die hebben hier helemaal geen weet van.. is dit bij alle browsers zo, dat het hardcoded is?
Bij Internet Explorer (in elk geval de nieuwe versies van Vista en 7) worden de SSLcertificaten realtime gecheckt. Als MS dus wijzigingen hierin aanbrengt (zoals het intrekken van de Diginotar rootcertificaten wat ze laatst hebben gedaan: http://www.microsoft.com/...ity/advisory/2607712.mspx), dan hoeft de gebruiker dus niet eerst de browser te updaten, maar krijgt hij gelijk een melding voor z'n neus.

Bij oudere IEversies is dat niet zo (XPusers moeten nog een update draaien), maar users die een modern OS draaien hebben er dus een stuk minder last van. Echt hardcoded zoals bij bijv Firefox is gedaan is dat bij IE dus niet zo.
Misschien is dit al bij een eerder bericht gesteld maar, waarom zit dit hardcoded en werkt het pas na een update?
Online lijkt me een probleem want wat dan als het controle kanaal wordt onderschept, dan sta je met lege handen. Dus als er onverhoopt een vals certificaat in omloop komt van de site waar de online controle op certificaten plaatsvind. Je moet het netwerk niet vertrouwen totdat het geverifieerd is en dat geld dus ook voor de netwerk verbinging voor de online controle.

Door het hardcoded in de browser te stoppen is het kennis in de client waar je niet zomaar met een hack bij kan komen en zeker niet op grote schaal, anders dan een vervalste versie van de browser verspreiden. Maar daar heb je dan weer SHA1 of MD5 checksums voor. Dat is in elk geval vele malen moeilijker om ongemerkt te doen.
De oplossing daarvoor is dat de browser wordt geleverd met een ingebouwd root certificaat van de browser-fabrikant. Alle certificaat-wijzigingen die via internet worden opgehaald, worden ondertekend met dit root certificaat van de browser.

Dat is net zo veilig als het direct met de browser meeleveren van de root certificaten.

Uiteindelijk leun je op de integriteit van het download van de browser zelf. In dat opzicht is het precies even veilig als de weg via het software-update kanaal.
Pale Moon gebruikt dezelfde code als FF, maar heeft aangekondigd geen update te doen. Ze verwijzen naar een methode om het handmatig te doen.
Je moet dus weten dat er certificaten zijn ingetrokken, en zelf rommelen. Erg onhandig, en niet bijster veilig?
Pale Moon gebruikt dezelfde code als FF, maar heeft aangekondigd geen update te doen. Ze verwijzen naar een methode om het handmatig te doen.
Je moet dus weten dat er certificaten zijn ingetrokken, en zelf rommelen. Erg onhandig, en niet bijster veilig?
Inderdaad.. Net of iedereen die pale moon draait de website in de gaten houdt en dit berichtje leest
Dat is goed nieuws, Diginotar is een schande voor de SSL wereld, de overheid was er trouwens wel erg laat mee, eerst hadden ze nog vertrouwen in Diginotar maar nu toch schijnbaar niet, waarschijnlijk hebben ze zich nu wel goed laten voorlichten.
De overheid had in eerste instantie geen onderzoek verricht, en ging uit van de goede bedoelingen van Diginotar.

Gezien de kritiek op Tweakers.net en andere bekende fora, kan ik me voorstellen dat het aantal bezoekers op websites die afhankelijk waren van een Diginotar certificaat drastisch is afgenomen.
De overheid kan wel beslissen dat het certificaat nog intact is, maar als je 'klanten' daar anders over denken, moet je toch wat anders gaan verzinnen.

Ik denk dus persoonlijk dat de kritiek heeft geholpen om de beslissing alsnog te beïnvloeden.

Desondanks, gun ik het Diginotar niet om failliet te gaan, hedendaags worden er steeds meer hacks uitgevoerd en zullen grote bedrijven onwaarschijnlijk op hun tenen lopen.
Hoewel het natuurlijk onacceptabel is dat er al weken een vals certificaat werd uitgereikt als betrouwbaar, kun je gewoonweg iets wat op internet is aangesloten niet 100% hack-proof maken.

Toch ben ik blij dat de overheid terug is gekomen op haar beslissing, en heeft besloten om de certificaten alsnog niet te vertrouwen.
Dat ze gehacked zijn is 1 ding en is al heel zwak.
Dat er valse ceritificaten aangemaakt konden worden door een website hack is bijzonder slecht.
De manier waarop ze daarmee omgegaan zijn is weer iets heel anders en is ronduit schandalig te noemen.

[Reactie gewijzigd door hAl op 3 september 2011 11:00]

En dat er aanwijzingen zijn dat er al vanaf 2009 ongemerkt een hacker op de servers van Diginotar actief was is onvergefelijk!
Diginotar had een audit laten uitvoeren door PWC, kortom, zoals jij ervan uit gaat dat een certificaat door VeriSign (of tot kort geleden door Diginotar) vertrouwde, mag een bedrijf toch ook wel vertrouwen op de deskundigheid van een audit bedrijf?

Natuurlijk doet een audit bedrijf niet veel, behalve bekijken of bepaalde procedures worden gevolgd, maar die betreffen ook de veiligheid en bestendigheid tegen aanvallen buitenaf.

In dit geval zijn zowel Diginotar en PWC die de blaam delen, maar Diginotar zeker niet om nalatigheid of dergelijke, opgestelde procedures werden immers opgevolgd, volgens PWC.

Nu word het natuurlijk een ander verhaal als blijkt dat de audits werden afgekocht, of dat Diginotar geen gehoor heeft gegeven aan adviezen van PWC, maar dat is op dit moment allemaal speculatie.
Tja, ik zie PWC toch meer als een stel financieel professionals / accountants en niet zo zeer als een bedrijf wat kan oordelen over de technische veiligheid van systemen.

Hier zijn weer andere bedrijven voor.
PwC doet wel meer IT. Zijn wel erg duur en soms ook nog wel goed. Meestal alleen maar duur ;-)
Wanneer PWC niet meer doet dan een checklist aflopen om te kijken of de door Diginotar vastgestelde procedures worden gevolgd, kunnen zowel PWC als Diginotar nalatig zijn.
Wanneer de procedures niet voldoen en PWC controleert niet of die procedures voldoende zijn, zijn zij beiden schuldig.

Wanneer ik een checklist maak om mijn huis te beveiligen (voordeur op slot, ramen dicht) en ik laat een veiligheidsdeskundige controleren of ik en al mijn huisgenoten ons aan die checklist houden, dan lijkt er niets aan de hand wanneer hij zijn oké geeft.
Wanneer ik echter vergeten ben ook de achterdeur op de checklist te zetten (en die daarom vaak vergeet op slot te doen) en de veiligheidsdeskundige zegt daar niets over omdat dat niet op mijn checklist staat, dan stelt die hele veiligheidsdeskundige niets voor.
Of ze schuldig zijn is maar de vraag. Als PwC advies had uitgebracht en heeft aangegeven dat de interne procedures niet zijn opgevolgd (of niet deugdelijk zijn), dan ligt nog de verantwoordelijkheid bij de partij die ze heeft ingehuurd.

Daarnaast moet je voor de gein eens goed de voorwaarden lezen die bij dergelijke opdrachten worden meegeleverd door accountantskantoren. In alle gevallen ben je zelf verantwoordelijk... ;)
Maar daar zeg je het ook al, een accountantskantoor. Wat weten die van ict, root certificaten e.d af? Ze kunnen procedures controleren, maar hoe moeten ze weten dat de boel al gehackt was? Het is dus leuk dat ze PwC noemen, maar dat is een expert op een heel ander vakgebied.
Je moet eens weten wat voor diensten allemaal worden geleverd door The big four (vier grootste accountantskantoren). ICT is daar zeker een onderdeel van!

Er zijn zelfs afdelingen met hackers die maandelijks penetratietesten doen bij banken in het kader van de voor banken geldende wet- en regelgeving. En daar werken gewoon ex-rechercheurs, ICT specialisten op het gebied van netwerken, hacken, etc....

Heb er nog een paar jaar mee samengewerkt in mijn vorige baan... :X

[Reactie gewijzigd door Black Piet op 3 september 2011 14:34]

Checklists zijn leuk voor de boodschappen, maar dodelijk voor een security audit. Tuurlijk: je moet een richtlijn hebben. Maar afvinkwerk ik niet voldoende. Helaas doen veel grote organisaties dit.
Als je zulk belangrijke taak hebt, dan moet je daar ook goed voor zorgen.

Je zou kunnen verzinnen om de publieke servers alleen "read-only" te maken en het alleen voor de backend systemen mogelijk te maken om (gecontroleerd) certificaten te maken en uit te geven.

Daarnaast periodieke checks van de uitgegeven certificaten tegen degene die ook geregistreerd zijn.

2 dingen die het een stuk veiliger maken uit misschien wel een hele lange lijst.
Het grote probleem vindt ik niet dat ze gehackt waren; dat kan elk bedrijf (uiteindelijk) gebeuren. Nee, dat ze er pas (veel) later achterkwamen dat het mis was EN dat ze enkele zaken "gemist" hebben. Dat geeft mij geen vertrouwen.
Want hoewel ze claimen dat de PKIoverheid-certificaten niet gehackt zijn: Als ze pas na 3 maanden erachter komen dat ze een certificaat gemist hebben, hoe lang duurt het voordat ze zo'n certificaat bij de overheid vinden?

Ik gun het bedrijven ook niet om failliet te gaan. Maar het gevolg van hun acties omtrend de hack zal dit waarschijnlijk wel als resultaat hebben. Maar dat is een goede manier om een nieuwe naam te gebruiken en het slechte personeel eruit te werken. ;)
"Donner adviseerde gebruikers wel om niet verder te gaan als de browser foutmeldingen geeft."

Wat dus alle browsers doen binnenkort.
Volgens mij zijn deze checks hardcoded in de browsers gemaakt, dus alleen mensen met de meeste up to date browser zal deze error krijgen, 90% van de Nederlanders dus niet.
Is dat wel zo? Ik ben geen expert maar als ik het goed begrepen heb werkt het zo.

Oude browser met Diginotar certificaat <---> Overheidswebsite met Diginotar key

Op dit moment nog een match dus okay (maar gecompromitteerd).

Na vervanging van de sleutel op de website:

Oude browser met Diginotar certificaat <---> Overheidswebsite met nieuwe key

Als je met je oude browser op de legale overheidssite zit, en die kans ik het grootst, dan zal je oude browser gaan piepen want er is geen match meer. De oude browser heeft het nieuwe certificaat niet.

Kortom, die oude browsers gaan beveiligingsmeldingen geven en die gaan ook niet meer weg. De enge remedie is updaten.

Het enige overgebleven probleem is:

Oude browser met Diginotar certificaat <---> Fake website met gehackte Diginotar key

Nu is er een (ongewenste) match. Maar dan moet je wel met je oude browser alleen fake overheidssites bezoeken en nooit een legale want anders krijg je een melding.

Kortom, ik denk dat de meeste gebruikers van overheidssites hun browser wel zullen moeten bijwerken willen ze nooit een melding krijgen. En dat geeft de gewenste situatie:

Browser met nieuw certificaat <---> Overheidswebsite met nieuwe key

Kortom, het probleem met oude browsers is denk ik nogal theoretisch. Updaten gaat sowieso bij de meeste mensen al automatisch. Up to date wil niet zeggen de laatste browser, ik neem aan dat Microsoft ook IE8 voor XP gewoon bijwerkt. Chrome gaat helemaal vanzelf en ook Firefox bied het aan. IE6 en 7 zijn zelf al een beveiligingsrisico, daar daagt dit niet veel aan bij.

[Reactie gewijzigd door pe1dnn op 3 september 2011 13:12]

Onzin. De overheid moet nu als de wiedeweerga nieuwe certificaten aanschaffen bij een andere partij. VeriSign ofzo. Zodra die nieuwe certificaten geïnstalleerd zijn, dan worden die gecheckt bij een andere CA dan diginotar (in mijn voorbeeld VeriSign), die is nog altijd trusted en zal dus prima werken.

Het komt niet vaak voor dat een CA in z'n geheel wordt verwijderd, je komt namelijk niet zomaar in het lijstje bij de grote browsers. Vandaar dat mensen die niet updaten voorlopig niet doorhebben dat diginotar untrusted is. Dat levert nu security issues op, maar die zullen zich wss heel snel oplossen: bedrijven schaffen nieuwe certificaten aan (waaronder de overheid) en diginotar gaat hoogstwaarschijnlijk binnenkort failliet, waarmee de servers die certificaten verifiëren offline gaan (waarmee sites met een diginotar certificaat ook untrusted worden).
Duidelijk. Dan had ik het dus niet goed begrepen. Dat betekend dus dat browsers die niet up to date zijn er dus een beveiligingsrisico bij hebben gekregen, naast het risico dat sowieso al gelopen werd door andere ontbrekende beveiligingsverbeteringen.
Dat als de wiedeweerga nieuwe certificaten aanschaffen hadden ze meteen moeten doen in plaats van eerst het volste vertrouwen uitspreken in een gecompromitteerde CA waarbij alles er al op wees dat ze in ieder geval de laatste maanden alle steken hadden laten vallen waarop vertrouwen zou moeten berusten.
Jouw oude browser zal het nieuwe certificaat ook accepteren.
Browsers geven geen alarm wanneer een server een ander certificaat of door een andere CA uitgegeven certificaat.
Wanneer het nieuwe certificaat uitgegeven is door een vertrouwde "autoriteit" zal deze geaccepteerd worden. De belastingdienst bijvoorbeeld gebruikt Verisign.
Einde oefening Diginotar. Ik denk niet dat zij ooit nog verder kunnen met dit werk, Ook eigen schuld: dit was een vermijdbare fout... als het al een fout was...
Het grootste probleem dat iedereen heeft met DigiNotar, is dat toen ze het ontdekten, ze het niet gelemd hebben aan Mozzilla, Google, Rijksoverheid, maar het onder de pet gehouden hebben.

Daarom zijn ze nu bij iedereen alle vertrouwen kwijt.
Software welke communiceert met de belastingdienst zoals elsevier, snelstart, afas, microloon etc. maakt ook gebruik van Diginotar certificaten. Gaat die software dan ook niet meer werken / dienen er nieuwe certificaten te komen?

Wat als er volgende week een nieuw certificaat moet komen voor een BAPI pakket, loopt het dan toch nog via diginotar?
Ook deze software zal controleren op certificaten. Als die certificaten niet meer aanwezig zijn, of ongeldig zijn verklaart, dan zal dat een error gaan geven. Als er nog een 'oud' Diginotar certificaat is, dan zou het niet meer moeten werken, omdat deze dus zijn ingetrokken (werkt het wel, dan is de beveiliging bagger geschreven, want dan kun je dus blijkbaar met niet geldige certificaten er nog gebruik van maken).
Ja, maar zal het een error geven en daardoor niet functioneren, of zou je kunnen kiezen toch door te gaan? Moet er niet aan denken dat alle bedrijven die met deze software werken nieuwe certificaten moeten aanvragen, bij diginotar was het ongeveer 3 weken levertijd en een andere partij dan diginotar wordt door die software gewoon niet ondersteund. Er zal dan dus ook een update van de software moeten komen. Bedrijven zoals accountants kantoren kunnen het zich niet veroorloven om zo lang de communicatie software niet te kunnen gebruiken.
Ja, maar zal het een error geven en daardoor niet functioneren, of zou je kunnen kiezen toch door te gaan?
Ligt aan de implementatie van de software. Een CRL check die niet voltooid kan worden bijvoorbeeld hoort je gewoon een critical error te geven.

En nee, het is dan niet de bedoeling dat je dan nog steeds 'door kunt gaan' want dan had je net zo goed géén encryption of signing voor die communicatie hoeven te vereisen.
Dat was nou net het hele punt waarom je certificaten wilde gebruiken toch? :)
Moet er niet aan denken dat alle bedrijven die met deze software werken nieuwe certificaten moeten aanvragen, bij diginotar was het ongeveer 3 weken levertijd en een andere partij dan diginotar wordt door die software gewoon niet ondersteund.
Er zal dan dus ook een update van de software moeten komen.
Dat lijkt me sowieso verstandig, je hoort een certificate chain juist vanwege dit soort incidenten te kunnen vervangen in je programmatuur.
Word niet ondersteund? Dat is hooguit een policy van de makers van die software, want het format van een certificaat is redelijk gestandaardiseerd. Tenzij die software weer erg creatief is gaan doen.
En policies kunnen in dit soort gevallen wel wijken lijkt mij.
Meer een policy van de overheid. Certificaten voor communicatie via het BAPI protocol met de belastingdienst moeten van dag een al komen van diginotar. Ik ken niet alle genoemde software pakketten, maar oa King, Queen, SnelStart, Elsevier en Sdu zeggen allemala in hun documentatie dat de Belastingdienst een diginotar certificaat eist. de website van deze dienst onderschreef dit in elk geval eergisteren nog, dus ik ben geneigd dit te geloven.

De overheid heeft het vertrouwen in het bedrijf nu opgezegd, dat is prima, maar wat moet je nu inderddad als ondernemer? Het is niet doenlijk om maar even een paar weken geen aangiten, loonadministraties en andere vormen van communicatie te hebben met de belastingdienst, maar aan de andere kant willen we ook niet vertrouwen op certficaten die zijn uitgegeven door een toko die de overheid zelf niet meer als betrouwebaar aanmerkt.

Ik hoop maar dat er heel snel contact word gezogt met ondernemenrs vanuit de overheid over "hoe nu verder". Er ligt al een opvolger voor BAPI klaar, maar daar schijnen ook de nodige haken en ogen aan te zitten zoals duurdere certificaten, fysiek moeten tonen van identificatie, procedures die net niet helemala goed zijn en wachttijden. Daar weet ik niet meteen het fijne van; het traject Digipoort (voorheen OTP) is nog niet op mijn buro verschenen. Los van of de overheid klaar is daarvoor en of het verkrijgen van certificaten makkelijker, moeilijk en/of duurder is: geen van de software makers heeft op dit moment een versie uit die daarmee werkt en door de belastingdienst is toegestaan.

in het kort: we wachten in snapping (en sommige dagen in angst en beven) af.
Ik lees op de Vasco site:

"VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal. Through the first six months of 2011, revenue from the SSL and EVSSL business was less than Euro 100,000. "

Dus zo'n geldpot was het sowieso al niet.
Indeed. Idd geen geldpot.

Maar als je kijkt wat voor impact dit heeft op de naam van Vasco, dan wordt het wat lastiger.

offtopic:
Stel je gaat DigiNotar (BV) binnen je holding liquideren (inclusief afkoopsommen voor je personeel), dan gaat het wel wat meer kosten. ;)
Lekker klantgericht om gelijk over geld te beginnen (tegen aandeelhouders o.i.d.)? Want tja, maar 100.000 euro, waarom zou je je er dan zorgen over maken? Geeft zelfs een lichte indruk van dat er gewoon niet veel moeite in is gestoken omdat het 'maar 100.000 euro' was...

Ook helemaal niet klantgericht, alleen damage control en dat op de meest klant-onvriendelijke manier. Het bedrijf heeft klanten niet ingelicht, onjuiste informatie verstrekt over de gang van zaken en gebeurtenissen, en was totaal onbereikbaar toen het ontdekt was.

Ik zou niet met dat bedrijf zaken willen doen, en nu Vasco zich zo uitlaat... vooral hun gezicht beschermen voor niet-Diginotar-klanten:
http://www.vasco.com/comp...ts_security_incident.aspx

Overigens staat ook op hun site (volgende zin):
VASCO does not expect that the DigiNotar security incident will have a significant impact on the company’s future revenue or business plans.
Ik dacht het wel dus :+
Het gaat niet om de slechts 100 000 omzet, het gaat erom dat een vreemde mogendheid ze gehackt heeft; en dat is onvergefelijk in de SSL wereld.

Sowieso is dit imho landenspionage - misbruik door overheid Iran en dus zou ik de Iraanse ambassade -medewerkers oppakken en aanklagen (aangezien zij de officiele vertegenwoordigers van de Iraanse regering zijn).

God, wat schaam ik me weer voor de slappe en domme houding van de NL overheid; zelfs vrijdagnacht om 01:00 tijdens de persconferentie kwamen ze nog steeds clueless over ....
Ambassade personeel oppakken ? Zal lastig worden... Ooit van diplomatieke onschendbaarheid gehoord ?

Uitzetten is het maximaal haalbare, en die rel zal het niet waard zijn.
Ik zat vanmorgen op de RDW site en die gaf inderdaad in FF een certificaat error.

Edit: ja, die is van Diginotar.

[Reactie gewijzigd door PcDealer op 3 september 2011 11:02]

yep!
Het RDW is alleen geen rijksoverheid, maar goed, ze gebruiken wellicht wel certificaten van DigiNotar.


ovi.rdw.nl gebruikt een ongeldig beveiligingscertificaat.

Het certificaat wordt niet vertrouwd, omdat het uitgeverscertificaat onbekend is.

(Foutcode: sec_error_unknown_issuer)
Voor een deel van onze diensten werden tot op heden inderdaad ook wel certificaten van DigiNotar gebruikt.
RDW geen rijksoverheid?
Heb ik wat gemist, is het geprivatiseerde en verkocht aan de RAI?
Het RDW is zelfstandig.
Vroeger was de naam Rijksdienst voor het wegverkeer.
Dit is later gewoon RDW geworden.
Ze kunnen natuurlijk wel gebruik maken van certificaten.
Vandaar ook dezelfde problemen als veel overheids websites.
Digid zegt:

3 september 2011 - U kunt een beveiligingswaarschuwing krijgen als u DigiD gebruikt. Houdt deze website in de gaten voor meer informatie. De DigiD helpdesk is dit weekend extra geopend van 8.00 tot 17.00 uur. Bereikbaar via 0800 - 023 04 35.
haha leuk dat ze zoiets nietszeggend plaatsen en maar het helpdesk nr noteren. Hoezo inefficient... Maar tja... ze zullen wel niet publiekelijk willen zeggen om het certificaat te negeren...
Deze (bovenstaande) opmerking mag dan voor een aantal ongewenst zijn maar het gevolg van deze situatie is wel dat internet gebruikers steeds vaker (omdat het hun verteld is) gewoon de certificaten waarschuwing gaan negeren en gewoon de site als uitzondering toevoegen (zonder het certificaat te bekijken).
Gevolg is dat het hele certificaten stelsel steeds minder nut heeft omdat niemand meer op de foutmelding let en gewoon doorgaat.
Er staat helemaal niet dat je die moet negeren, wat ik lichtelijk kwalijk vind is dat er niet expliciet staat dat je dan niet verder moet gaan. Maar minister Donner adviseert al wel expliciet om niet verder te gaan.
Dat DigiD zegt dat je de site in de gaten moet houden voor meer informatie, zegt impliciet al wel dat ze waarschijnlijk nieuwe certificaten gaan installeren.
edit: Volledige quote
Wat kunt u doen?

Momenteel zijn wij de certificaten van DigiD aan het vervangen. Wij adviseren u te wachten tot DigiD weer gebruikmaakt van de nieuwe certificaten. Vanaf dan krijgt u geen waarschuwing meer en kunt u veilig gebruikmaken van DigiD. Houd de DigiD website in de gaten voor meer informatie.
Er staat dus gewoon wel dat je niet verder moet gaan.

[Reactie gewijzigd door thegve op 3 september 2011 14:01]

DigID certificaat (iig bij de link "mijn gegevens") is nog steeds trusted kennelijk

die is gesinged met het "Staat der Nederlanden Root CA" en daarom kennelijk nog steeds trusted? (IE8, WIn7 hier)

[Reactie gewijzigd door mschol op 3 september 2011 11:33]

Bij mijn Chrome, die hem helaas ook nog ondersteund, staat 'geleverd door: diginotar'.
Alleen de certificaten van DigiNotar zijn ingetrokken. Certificaten getekend door een andere partij zullen gewoon werken

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Smartphones Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013