Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 35, views: 10.682 •

De OPTA heeft besloten om de registratie van DigiNotar als uitgever van gekwalificeerde handtekeningen te beŽindigen. Bedrijven en overheden die dergelijke certificaten gebruiken, moeten op zoek naar een andere aanbieder.

"Uit onderzoek van OPTA naar de uitgifte van gekwalificeerde certificaten door DigiNotar, blijkt dat de betrouwbaarheid van deze certificaten niet langer te garanderen is", aldus de OPTA in een verklaring. "OPTA beëindigt daarom de registratie van DigiNotar. Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven."

Hoeveel bedrijven en overheidsinstanties door deze maatregel worden getroffen, is niet bekend. De telecomwaakhond zegt geen cijfers te kunnen vrijgeven over hoeveel gekwalificeerde certificaten DigiNotar heeft uitgegeven. Wel zegt een zegsvrouw 'dat het om een relatief klein aantal certificaten gaat op het totale aantal door DigiNotar uitgegeven certificaten'. Het Beverwijkse bedrijf heeft naar schatting 58.000 certificaten uitgegeven.

De OPTA deed het onderzoek naar aanleiding van de perikelen rondom de ssl-hack bij DigiNotar. Hoewel het bedrijf geen toezicht houdt op de 'gewone' servercertificaten, gaf de hack genoeg aanleiding om ook het uitgifteproces van gekwalificeerde certificaten, waarvan een klein deel de zogenoemde PKIoverheid-certificaten betreft, onder de loep te nemen.

"In het onderzoek naar de uitgifte van gekwalificeerde certificaten constateert OPTA dat bij de inbraak op de systemen van DigiNotar ook toegang is geweest tot de systemen waarop dit type certificaat wordt aangemaakt", stelt de telecomwaakhond. "Volgens de toezichthouder is het daarom niet langer gegarandeerd dat gegevens op deze systemen niet zijn gemanipuleerd, onttrokken of misbruikt."

De OPTA heeft verder bepaald dat DigiNotar zelf zijn klanten moet informeren over de intrekking van de gekwalificeerde certificaten en dat de toezichthouder hierop zal toezien. De impact van de maatregel van de OPTA is lastig te schatten. Er zijn diverse bedrijven die gebruikmaken van elektronische handtekeningen, vaak door middel van een pasje met een chip. Deze pasjes worden waardeloos zodra DigiNotar de al uitgegeven gekwalificeerde certificaten heeft ingetrokken. Het is onbekend op welke termijn dit gaat gebeuren en wie opdraait voor de kosten. Eerder bleek al dat bijvoorbeeld een nieuwe verplichting voor taxichauffeurs niet kan worden afgedwongen omdat DigiNotar de aanbesteding voor zo'n half miljoen pasjes met gekwalificeerd certificaat had gewonnen.

Reacties (35)

Het is onbekend [...] wie opdraait voor de kosten.
Lijkt me logisch: DigiNotar, want die had zijn beveiliging niet op orde. Of de verzekeraar van DigiNotar voor bedrijfsaansprakelijkheid.
Volgens mij gaat DigiNotar helemaal kapot door die hack. Ik zie die niet het einde van het jaar halen. Niemand vertrouwd de certificaten meer, en ik denk dat ze ook flink wat claims hun richting op kunnen zien komen.

Het is toch erg dat een paar hackers een bedrijf zo de grond in kunnen richten

@de berg reacties hierop.

Ik zeg ook niet dat het goed was dat de beveiliging niet op orde was, maar stel dat het wel zo was en het was nog gebeurd en ze hadden goed gehandeld, wat was er dan voor DigiNotar anders geweest?

De certificaten waren dan nog steeds niet te vertrouwen.
Er waren nog steeds claims gekomen.

Ik vind het een beetje hard om te zeggen dat de hackers hier geen blaam treft, maar het had allemaal inderdaad veel beter gekund aan de kant van DigiNotar.

[Reactie gewijzigd door LOTG op 14 september 2011 17:07]

uhu, een paar 'hackers' zijn dus de oorzaak van alle beveiligingslekken daar? |:( en die paar hackers hebben ook het bedrijf 1 maand gegijzeld en ervoor gezorgd dat ze niks uitbrachten?

boontje komt om zijn loontje
Principe is wel dat je met je poten van andermans spullen moet afblijven ook al is het digitaal.
Dus wat mij betreft mag deze "hacker" aan de digitale galg.

En waarom hacker tussen aanhalingstekens hij is volgens mij gewoon aangestuurd door Iran een van de schurkenstaten die wat mij betreft aan diezelfde galg mag.

neemt niet weg dat DigiNotar beter zelf de deuren had kunnen sluiten dit soort stomme zetten word in de digitale wereld keihard afgestraft en terecht want het hele certificaten vertrouwen is wat mij betreft niet meer goed te maken (nooit meer)

fijne dag
Principe is dat niet iedereen zich aan dit principe houdt, en als dit wel zou zijn, er in de eerste instantie geen CA's nodig waren geweest.

Bovendien leven we gelukkig in een rechtsstaat, en gaat er niemand aan de galg. Zelfs de meest gevaarlijke criminelen hebben recht op een eerlijk proces. Als je het hiermee oneens bent, emigreer dan lekker naar somalie ofzo, waar de middeleeuwse praktijken dagelijkse kost zijn.

fijne dag
Het is niet alleen de hackers, de laksheid van hunzelf om pas zeer laat aangifte te doen gaf de doorslag.
ben benieuwd naar het moederbedrijf vasco dan want dan volgen er nog wel meer problemen.
Het is toch erg dat een paar hackers een bedrijf zo de grond in kunnen richten.
Als certificaatauthoriteit moet je je beveiliging op orde hebben, en alles wijst erop dat dat niet het geval was. Ja, het is erg als hackers dat kunnen, maar het is absoluut niet zo dat DigiNotar geen enkele blaam trof.
Het is toch erg dat een paar hackers een bedrijf zo de grond in kunnen richten.
Het is niet raar dat een bedrijf dat meerdere inbraken verzwijgt, kapot gaat.
Het vertrouwen in hun, hun "core business," is verdwenen.
Wel sneu voor het personeel. Maar daarmee is alles gezegd, wat mij betreft.
Kom op zeg. Dit is niet de schuld van hackers. Diginotar had z'n zaken niet op orde (zacht gezegd). Het primaire doel van een CA is zorgen dat de uitgegeven certificaten betrouwbaar zijn en daar werden ze dik voor betaald. Ook de communicatie van DigiNotar na de hack was dusdanig slecht dat ze ook niet verdienen om hier weer bovenop te komen. Als hackers niet meer hacken omdat het niet hoort, dan hadden we ook geen certificaten nodig.
DigiNotar had niet fouter kunnen handelen als CA, en dus niet de schuld van een hacker, daar zijn ze dus juist voor om dat te voorkomen.
Als jij je deur van je huis open laat staan, geef je mij dus toestemming al je spullen mee te nemen? en het is niet mijn schuld als ik dat doe... (je bent verzekerings technisch aansprakelijk) maar toch is het een beetje 'n kromme redenatie, ook al hebben ze hun eigen zaken niet op orde. Van andermans spullen blijf je af.
Ja, met die redenatie hebben we in de eerste plaats geen certificaten nodig he?
(en heeft Diginotar geen bestaansrecht gehad)
als je door rood rijdt wordt je toch ook omver gereden? en als je de verkeerde medicijnen slikt kun je toch ook het loodje leggen? en als je je beveiliging niet op orde hebt ... vul de rest maar zelf in

'oh ja meneer, maar dat gaat tegen alle regels van fatsoen in, en dat kan toch niet?'
Kan dus zeker wel, je ziet het met je eigen ogen. laksheid is het. maar jouw overkomt het niet, toch? oh maar als het gebeurt dan is het niet jouw schuld want 'je geeft me geen toestemming om je huis leeg te roven'.

ja zo ken ik er nog wel een :z neem eens de verantwoordelijkheid, en zorg dat je je zaken op orde hebt.
Dat het noodzakelijk is weten we allemaal.
Het is en blijft nog steeds geen excuus die je mag gebruiken om andermans wangedrag mee goed te praten.

Als iedereen zou werken, ipv een uitkering te trekken, of te jatten dan zou er genoeg geld overzijn om niet te hoeven bezuinigen. alles word doorberekend aan de uiteindelijke klant, ook wat er gejat word bij de C1000, zit allemaal al bij de prijs in die je netjes als betalende klant mag afrekenen.

"als je door rood rijdt wordt je toch ook omver gereden? en als je de verkeerde medicijnen slikt kun je toch ook het loodje leggen? en als je je beveiliging niet op orde hebt ... vul de rest maar zelf in"

door rood rijden is nog steeds wangedrag, en heeft niks met persoonlijke eigendommen te maken, verkeerde medicijnen slikken zal waarschijnlijk enkel voorkomen als jij alfabeet of lui bent, en de bijsluiter niet leest ;)
En anders is nog altijd de arts aansprakelijk.
Ik snap niet dat DigiNotar niet zelf de stekker uit het eigen bedrijf heeft getrokken en een doorstart maakt onder een andere naam. De naam diginotar gaat de geschiedenisboeken in als de grootste pruts-organisatie ooit op het gebied van security, en de werkzaamheden kunnen doorgang vinden onder een andere naam. Uiteraard na het nemen van voldoende maatregelen om herhaling te voorkomen.
Een bedrijf met zo'n lakse bedrijfscultuur mag wat mij betreft falliet gaan, gezien de ernstig domme fouten die daar zijn gemaakt waag ik het te betwijfelen of men daadwerkelijk veel heeft geleerd van deze zaak...
Als er 58000 certificaten uitgegeven zijn door dat bedrijf, zijn er dan nu 58000 gevallen van een gedupeerde klant? Imho is het tijd om dat bedrijf te sluiten en de inboedel over de gedupeerden te verdelen.

Wellicht zou het een idee zijn als alle CA's iedere maand verplicht een nieuwe master sleutel moesten maken. Als er dan een misbruikt is en dat komt aan het licht zitten alleen de klanten van die maand in het bootje waar nu alle DigiNotar klanten in zitten.
Als er 58000 certificaten uitgegeven zijn door dat bedrijf, zijn er dan nu 58000 gevallen van een gedupeerde klant?
Wel ietsje minder, een aantal van die certificaten zullen al wel gewoon verlopen zijn. Daarnaast zijn er een aantal klanten (met meerdere sites) die meerdere certificaten nodig hadden (en hebben, maar dan van iemand anders).

[Reactie gewijzigd door Freee!! op 14 september 2011 15:17]

Ik verbaas me eerlijk gezegd een beetje dat het nog "zolang" heeft moeten duren voordat de gekwalificeerde certificaten ongeldig werden verklaard. Natuurlijk kost een gedegen onderzoek tijd, maar na 2-3 weken (hoelang is het geleden?) mag dat onderzoek toch wel rond zijn lijkt me.
Het zou tijd worden dat ze ongeldig zijn verklaard. Zolang ze worden gebruikt bestaat er altijd een risico voor gebruikers van de certificaten. Het is natuurlijk vertraagd omdat Diginotar door de Nederlandse overheid is gebruikt geworden.

Waar is trouwens die IRaanse joker gebleven? Verdacht stil nu blijkt dat niemand hem echt geloofd. Waarschijnlijk geen concreet bewijs kunnen leveren voor zijn grootspraak.
Zijn laatste tweet op @ichsunx2 is inderdaad van 2 dagen geleden. Hij heeft zijn tweets op @ichsunx aangepast, staan er nog maar twee. De gewiste tweets zijn nog wel terug te vinden via bv. topsy. Zijn pastebin is al sinds 7 september niet aangepast. GlobalSign is weer back in business.

Of die joker is zich ergens heel stil aan het houden, of hij is bezig om ergens anders een bommetje te laten ontploffen.
Vasco mag Digi-Notar sluiten. Het is voor Vasco een miskoop geweest.

Als Vasco zijnde bedrijf vooral omdat het een security bedrijf betreft, hadden ze Diginotar wel beter kunnen controleren op beveiliging issues.

Vasco heeft ook imago schade opgelopen door de naam DigiNotar.
Weet je hoe moeilijk het is een bedrijf kopen en dan daar even de security mensen en andere professionals aan de kant zetten terwijl de koper het bedrijf en het netwerk door ligt?

Kun je het je voorstellen dat jouw bedrijf gekocht wordt en dat er iemand even al jouw werk komt bestuderen om te kijken of het wel allemaal goed gedaan is en je geen steken hebt laten vallen. Daar naast zijn security mensen nu over het algemeen niet echt mensen die veel vertrouwen hebben in andere en dus is het erg moeilijk om ze zo ver te krijgen dat ze andere toegang geven tot systemen die "van hun" zijn.

Ik denk inderdaad dat Vasco hier absoluut niet blij mee is en de persoon die met het briljante idee kwam Diginotar te kopen zal waarschijnlijk op dit moment druk bezig zijn duidelijk te maken hoe hij/zij dit niet had kunnen voorzien en hoe het allemaal de schuld is van iemand anders etc...
Daarnaast denk ik dat langzaam maar zeker steeds meer mensen tot het besef komen dat duizenden root CA's simpel weg niet veilig kunnen zijn... als ik tien mensen neem en ze allemaal 10.000 euro bied om iets te doen wat eigenlijk niet mag dan is er altijd wel 1 die ja zegt. Als ik dan duizenden bedrijven heb (die hebben meestal minder feeling met de wet dan personen) en ik deze over de hele wereld verspreid (dus ook in landen waar je een stuk meer kunt kopen voor 10.000 euro dan in Nederland) dan is het niet meer dan gewoon dat een flink aantal van deze bedrijven simpel weg niet te vertrouwen zijn.

Het grote probleem is dat niemand een echte oplossing lijkt te hebben, SSL en de CA verzameling is nu eenmaal zo standaard dat het niet zo een twee drie vervangen kan worden. Alle oplossingen die voorgesteld worden zijn zeker voor overheden niet zo maar te accepteren, omdat je moeilijk een buitenlands bedrijf kunt vertrouwen met het certificaat van jouw overheidsdiensten ook niet als ze je met hele brave grote blauwe ogen aankijken en beloven nooit een buitenlandse inlichtingen dienst van een certificaat te voorzien dat jouw certificaat onbetrouwbaar maakt.
De mensen die binnen vasco beslissen of diginotar opgekocht moet worden kennen wellicht niets van beveiliging, en hebben waarschijnlijk enkel gekeken naar omzet, aantal klanten en in hoeverre er een overlap is met bestaande expertise.
Als je de persverklaring las van Vasco over Diginotar, dan moet je vaststellen dat het bedrijf over erg weinig expertise beschikt. Dat zo'n belangrijke persverklaring door iemand is geschreven die geen native engelstalige was en/of dat deze niet is nagekeken/gecorrigeerd door iemand die goed engels kon schrijven kwam bij mij iig erg amateuristisch over.
Eerder 2 - 0 (er zijn meerdere bedrijven gehackt), hoewel de DigiNotar flater eigenlijk een drie-punter is ;)
DigiNotar was toch opgezet door een stelletje notarissen?
Vraag me af ze die taken net zo uitvoeren als dat ze gedaan hebben als CA.

Wat mij betreft eigenschuld dikke bult, ik zou zeggen: Schoenmaker, blijf bij je leest.
ben benieuwd of al deze "controleurs" hun zaakjes wel goed op orde hebben.
maar de enige manier om dat zeker te weten is door een stel "goede hackers" te laten proberen bij hun de boel overhoop te laten halen :|

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Tablets Luchtvaart Samsung Crash Smartphones Microsoft Apple Games Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013