Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 25, views: 11.828 •

De Nederlandse overheid heeft geen grote problemen gekregen door het niet meer kunnen gebruiken van DigiNotar-certificaten. Dat schrijven twee ministers. Wel moet een boordcomputersysteem voor taxi's een half jaar worden uitgesteld.

Overheidsdiensten moesten snel overschakelen op ssl-certificaten van andere leveranciers dan DigiNotar, omdat de overheid het vertrouwen in certificaten van DigiNotar twee weken geleden opzegde. Het wisselen van certificaten heeft niet tot grote verstoringen geleid, claimen de ministers Donner van Binnenlandse Zaken en Opstelten van Veiligheid. Gevreesd werd dat onder meer gemeenteloketten hinder zouden ondervinden, omdat diverse systemen de communicatie beveiligden met DigiNotar-certificaten.

Om overlast te voorkomen, had Microsoft in Nederland een patch voor Windows uitgesteld. Die patch maakt dat Windows-computers DigiNotar-certificaten niet meer vertrouwt. Terwijl de patch in de rest van de wereld op 6 september werd uitgerold, gebeurde dat in Nederland op verzoek van de overheid een week later.

De DigiNotar-hack heeft wel gevolgen voor de invoering van een nieuw systeem voor boordcomputers van taxi's. Dat systeem zou per 1 oktober ingevoerd worden en beveiligd worden met DigiNotar-certificaten. Omdat dat nu niet meer kan, wordt de invoering van het systeem een half jaar uitgesteld.

Donner benadrukt dat de DigiNotar-hack grote gevolgen heeft. "De DigiNotar problematiek heeft de kwetsbaarheid van de digitale datacommunicatie aangetoond", schrijft de minister. Mede daarom wordt, zoals eerder bekend werd, het systeem van PKI-Overheid-certificaten onder de loep genomen. Ook wordt beveiliging meer betrokken in de ontwikkeling van toekomstige systemen, zoals dat van eID, de opvolger van DigiD.

Een Iraanse hacker zou deze zomer hebben ingebroken bij de Nederlandse certificatenmaker DigiNotar. Dat was mogelijk vanwege de slechte beveiliging. De hacker genereerde 531 valse ssl-certificaten, die onder meer misbruikt zijn door de Iraanse overheid om eigen burgers te bespioneren. Omdat de systemen voor het maken van particuliere certificaten en overheidscertificaten niet gescheiden bleken te zijn, zegde de Nederlandse overheid het vetrouwen in DigiNotar op. Omdat OPTA heeft besloten DigiNotar-certificaten ongeldig te laten verklaren, lijkt het einde voor het gehackte bedrijf nabij. DigiNotar is na de overname begin dit jaar onderdeel van het Amerikaanse Vasco.

Gerelateerde content

Alle gerelateerde content (32)

Reacties (25)

De DigiNotar-hack heeft wel gevolgen voor de invoering van een nieuw systeem voor boordcomputers van taxi's. Dat systeem zou per 1 oktober ingevoerd worden en beveiligd worden met DigiNotar-certificaten. Omdat dat nu niet meer kan, wordt de invoering van het systeem een half jaar uitgesteld.
:?

Het is toch gewoon een kwestie van een ander certificaat nemen van een wél betrouwbare CA, en die implementeren in dat systeem?

Waarom moet dit in godsnaam een halfjaar duren?
vanwege accreditatie?
Nope... de overheid doet nu ook al met meerdere CA's zaken, DigiNotar is (of eigenlijk: was) er maar één van, niet de enige CA die certificaten leverden aan de overheid.

Men kan dus een certificaat van de andere bedrijven nemen die al geaccrediteerd zijn.

Testen kan het ook al niet zijn, want de tests zijn al gedaan, je hoeft alleen maar te kijken of het nieuwe certificaat geaccepteerd word.

Er is nu nog twee weken tot 1 oktober, dat zou meer dan genoeg tijd moeten zijn voor het verkrijgen van een nieuwe certificaat (kan binnen één dag), het implementeren, en een test of deze word geaccepteerd.

Als het goed is hebben de boordcomputers zelf al de juiste root-CA's (van bijvoorbeeld VeriSign) in hun database zitten. Maar zelfs al zou dat niet zo zijn ben je hooguit een paar weken bezig om dat te regelen. Stel het dan uit tot 1 november o.i.d.

Waarom dat dan weer 6 maanden moet duren...
@ Wildhagen.

Waarom dat zo lang moet duren?

Omdat de overheid heeft bewezen een log apparaat te zijn en mede omdat overheid en ICT niet echt samengaan zoals de geschiedenis heeft geleerd.

Kijk voor de lol eens op UWV site.

Als jij snapt naar welk loket je moet onder het kopje Hellevoetsluis dan snap ik het ook om over de spelfouten maar te zwijgen: http://www.hellevoetsluis...6D340041180F?opendocument
Dit heeft niets te maken met LOG apparaat, Veel grote bedrijven zijn LOG en traag in beslissingen. Maar Je zou de ICT afdeling niet van mogen afhangen. Wanneer er een security risk is binnen een bedrijf zou de ICT afdeling naar eigen inzicht moeten kunnen acteren.

Hellaas hebben de grotere bedrijven dit wel door, alleen de overheid is hiermee nog steeds een bureaucratie's dom apparaat.
Dus @KeesDeJong heeft wél gelijk. De overheid heeft hiermee bewezen een compleet log apparaat te zijn. Dat andere bedrijven maar deels een log apparaat zijn doet niets af aan de logheid ;)
Random gok: omdat die boordcomputers alleen de public key van DigiNotar ingebakken hebben gekregen?
[...]
Waarom moet dit in godsnaam een halfjaar duren?
Het gaat hier niet (alleen) om SSL server certificaten maar vooral om zogenaamde gekwalificeerde certificaten.
Dat zijn certificaten die op individueel nivo worden uitgegeven (bijvoorbeeld op een taxi pas) en kunnen persoonsgebonden zijn.

De OPTA heeft vast gesteld dat hackers ook in het systeem van die gekwalificeerde certificaten zijn geweest.
Dat betekend dus dat er een nieuwe uitgever van die certificaten moet worden aangewezen en het proces aangepast aan het nieuwe uitgifte punt.
Daarnaast kan het zijn dat door die hack, er nieuwe certificaten moeten worden uitgegeven incl de hele accreditatie of een taxi chauffeur voor die pas in aanmerking komt.
Misschien handig uit teleggen wat zo'n pas is ;-)

Bij zowel Advocatuur, Belastingadviseurs en nu ook Taxi's en mogelijk nog veel meer bedrijfsonderdelen. Hebben een fysieke ID pas met hierop opgeslagen van Diginotar een persoons gebonden certificaat.

Dit is om met de overheid te kunnen communiceren.

Nu zullen al deze personen dus niet alleen de Taxi chauffeurs een nieuwe smartcard moeten krijgen die voorzien moeten worden met een CA. Met onze paar duizend chauffeurs, advocaten, belastingadviseurs, enz kan het wel even deuren eer dat iedereen een nieuwe smartcard heeft. Met andere worden. eerst worden alle operationele diensten vervangen. daarna zullen alle overige diensten worden vervangen.
De directe impact van deze hack wel voor Nederland inderdaad mee. Maar er worden twee belangrijke zaken over het hoofd gezien: dit is slechts een symptoom van de onderliggende kwetsbaarheden in het hele CA-signingsysteem.

En dat vele levens van Iraniërs in gevaar zijn gebracht. Mensen die via het internet kritiek hebben geuit op de overheid aldaar of anderszins dingen doen die de overheid niet bevalt. Duizenden levens zijn in het geding. Dat vind ik niet 'niet ernstig'. Zoals op zoveel fronten is Nederland en ook de media veel te veel naar binnen gericht.
Het gaat om het intrekken van de certificaten, niet het hacken in eerste instantie, want die gevolgen kunnen zeer ernstig zijn. En zijn dat ook waarschijnlijk.
Om overlast te voorkomen, had Microsoft in Nederland een patch voor Windows uitgesteld. Die patch maakt dat Windows-computers DigiNotar-certificaten niet meer vertrouwt. Terwijl de patch in de rest van de wereld op 6 september werd uitgerold, gebeurde dat in Nederland op verzoek van de overheid een week later.
Ik dacht dat de productondersteuning van WinXP en IE6 al was gestopt.
Klopt niet helemaal, XP zit nog tot 2014 in support. Maar ook al was hij wel out of support, voor dit soort toch wel belangrijke, en vrij eenvoudig te maken, fixes kan men altijd een uitzondering maken natuurlijk.

Ook voor XP is er een patch uitgekomen, die DigiNotar uit de lijst haalt.

Op deze pagina kan je alle fixes downloaden, als je ze nog niet via Windows Update hebt binnengekregen (de patch word inmiddels namelijk ook via WU aangeboden in NL).

[Reactie gewijzigd door wildhagen op 17 september 2011 13:44]

De Nederlandse overheid heeft geen grote problemen gekregen door het niet meer kunnen gebruiken van DigiNotar-certificaten. Dat schrijven twee ministers.
Mja, alsof dat ook maar iets zegt. Voor het zelfde geld heeft de halve Nederlandse overheid nu een rootkit draaien, of een nare worm met een payload die ons terug stuurt naar het jaar 0. Deze 'Twee ministers' zouden dat echt niet weten, laat staan eerlijk vertellen. Deze mannen liepen al rond toen radio nog verketterd werd.

Ik vertrouw het allemaal voor geen meter. Onze overheid snapt helemaal geen barst van IT-gerelateerde zaken. Rekeningrijden (de voorstellen iig), OV-Chipkaart, DigiD, Elektronisch patientendossier. Fail, Fail, Fail. Er is voor miljoenen kapot gegaan aan 'project-gerelateerde websites', ook zoiets waar de overheid geen kaas van gegeten heeft. Niemand bezocht deze websites, a 1000 euro per hit. En ondertussen maar liegen en ambitieus doen.
Stel nou dat ze met het bericht komen: "Alle gegevens van Nederlanders liggen in Iran op straat." Dag Nederlandse IT-sector, dag Nederlands kabinet, dag computers en smart-phones. Dus dit bericht neem ik iig met wel een hele vette korrel zout.
Weet je wat wel zo is, en daar zit nou net het geniepige, al die projecten worden dus uitgevoerd door grote gespecialiseerde bedrijven, ofwel wat je beter kunt stellen is dat al die bedrijven zoal pinkrocade, atos origin, baan etc. gewoon slechte bedrijven zijn, aangezien DIE juist verantwoordelijk zijn voor al die ontwerpen.. Het probleem zit em dus meer in de bedrijven die worden ingehuurd dan in de overheid zelf..

Eigenlijk moeten ze dus ondertussen eens die bedrijven aansprakelijk stellen voor deze fiasco's.
Punt is vaak dat die bedrijven niet worden gekozen omdat ze zo specialistisch zijn maar omdat ze het goedkoopst zijn in een aanbesteding. Het spreekt natuurlijk voor zich dat bedrijven die het beter en veiliger willen doen vaak duurder uitkomen en dus niet worden gekozen.
Er bestaat software van overheid en gemeente die nog werkt met sha1 certificaten. Deze zijn sinds dit jaar verboden door de overheid. Om de certificaten van die systemen te kunnen vernieuwen moet de software dus met sha2 overweg kunnen. Er moet dan dus snel besloten worden om software te upgraden of code moet worden aangepast als het maatwerk is. Dit lijkt mij toch degelijk een probleem aangezien het tijd en geld kost en binnen een zeer korte deadline moet gebeuren...
Omdat dat nu niet meer kan, wordt de invoering van het systeem een half jaar uitgesteld.
pfff. verrekte bureaucratie, zoveel tijd is er werkelijk helemaal niet nodig, en als dat wel zo is, dan is de implementatie wel heel erg slecht geschreven..
Het is vast gewoon een goede smoes. Waarschijnlijk liepen ze al achter.
Ze hadden ook net zo goed self-signed client/server certificaten kunnen gebruiken. Dan ben je tenminste niet meer afhankelijk van CA's.
De Nederlandse overheid meent geen grote problemen gekregen te hebben door het niet meer kunnen gebruiken van DigiNotar-certificaten
fixed

Dat zou er volgens mij moeten staan, ik heb te weining vertrouwen in de kennis van onze overheid om dergelijke uitspraken geloofwaardig te doen overkomen.

Helaas :/
Het PKI overheids certificaat aanvraag proces is nodeloos ingewikkeld en de beveiliging is niet een haar beter dan als je een normaal ssl certificaat hebt.
En ze zijn nog een stuk duurder ook nog, en verplicht . ik meende een 300-400 euro per certificaat, tel dan een stuk of 5-10 voor kleine gemeentes en 50-100 voor grote gemeentes waarschijnlijk.

Er is totaal niet over nagedacht anders dan 1 of andere drophannes die bedacht heeft dat het dan maar via een eigen overheids root certificaat zou moeten.
Er zit een hele rompslomp om heen voor je überhaupt zo'n certificaat mag aanvragen, en dat terwijl het toch wel vrij duidelijk is wie zo'n certificaat moet hebben, aangezien ze verplicht zijn voor overheids instanties.

Maar elke gemeente, provincie en rijks instantie moet een idioot proces door lopen waarbij mensen zich op locatie of bij een GWK persoonlijk moeten identificeren, terwijl het niet zo moeilijk is om te kijken of het fysieke adres waar het certificaat per post heen gestuurd moet worden hetzelfde is als waar de aanvrager claimt dat het moet worden afgeleverd .. aangezien gemeentes etc niet zo heel vaak verhuizen van locatie.

Imo had de hele PKI overheids certificaten distributie nooit aan een 'publieke' certificaten leverancier mogen hangen maar gewoon op een privaat stuk ergens niet verbonden met het internet.

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Gamecontrollers Smartphones Apple Windows Sony Microsoft Games Besturingssystemen Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013