Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla is gevraagd certificaatautoriteit Nederlandse Staat niet te vertrouwen

Mozilla is gevraagd het vertrouwen in de rootcertificaatautoriteit Staat der Nederlanden op te zeggen vanwege de komst van de nieuwe Wet op de inlichtingendiensten. De 'overheids-CA' zou man-in-the-middle-aanvallen mogelijk maken.

Op Bugzilla van Mozilla is een ticket aangemaakt met het verzoek het vertrouwen in de certificaatautoriteit Staat der Nederlanden op te zeggen. De indiener van het verzoek, Cris van Pelt, stelt dat de certificaatautoriteit net als de AIVD onder het ministerie van Binnenlandse Zaken valt en dat daarom het vertrouwen van de CA niet meer gepast is.

Hij verwijst daarbij naar de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, die op 1 januari 2018 ingaat en die de Nederlandse inlichtingendienst de bevoegdheid geeft om kabelgebonden verkeer af te tappen. "Met name artikel 45 1.b geeft expliciet de bevoegdheid om met valse sleutels in systemen van derde partijen binnen te dringen."

Overigens staat in artikel 24 van de huidige wet al een vergelijkbare passage, inclusief de term 'valse sleutels', alleen wordt in de huidige wet gesproken van 'binnendringen', en is in de nieuwe wet ook de tekst 'of door tussenkomst van het geautomatiseerd werk binnendringen' toegevoegd. Daarmee krijgt de AIVD de bevoegdheid om via-via systemen te hacken.

Firefox voegde 'Staat der Nederlanden' in 2005 toe; Nederland was toen het eerste land dat zijn eigen rootcertificaatautoriteit aan een grote browser toevoegde. De autoriteit valt onder de dienst PKIoverheid van Logius. Voorlopig gaat het alleen nog om een ticket met een verzoek; het team van Mozilla heeft nog geen reactie gegeven.

Door

Nieuwscoördinator

266 Linkedin Google+

Submitter: 961

Reacties (266)

Wijzig sortering
Op basis van het artikel hier op tweakers, lijkt dit meer een ticket om een (politiek) statement te maken, dan eentje die werkelijk effectief kan zijn. Als een staat als CA niet is te vertrouwen, wat is dan wel als CA te vertrouwen? Iedere CA is een bedrijf, die aan overheidsregels is gebonden. Wat er achter de schermen door een overheid gebeurd in de werkwijze van een CA is toch al niet door een burger te controleren. Dat een staat zijn gezagsverhouding kan misbruiken is evident, maar dat je als burger wilt dat je de staat volledig wilt kunnen controleren, kan ook tot anarchie leiden.

Het aanwakkeren van wantrouwen (al dan niet door allerlei complottheorieën) raakt uiteindelijk iedereen, omdat niemand meer een ander vertrouwt (al dan niet terecht). Waar een samenleving toch een zekere mate van vertrouwen moet hebben, wil het leefbaar/werkbaar zijn.
Zoals je zegt: het draait allemaal op basis van vertrouwen en als je een CA niet kan vertrouwen, dan moet je het eruit knikkeren. En hier is genoeg aanleiding voor. Dit zijn geen complotten, dit staat gewoon in het wetsvoorstel.

Het verschil tussen bedrijven en de overheid is dat certificaten voor bedrijven het product zijn. Het is in hun belang om hier geen enkele fout in te maken, want anders kan je je zaak opdoeken, zoals vaker in het verleden is gebeurd. Bij de overheid spelen hele andere belangen.

En ja, als de overheid een wetsvoorstel indient waarbij ze praktisch iedereen mogen hacken (al is het maar om bij een ander te komen op dezelfde server) en al aangeeft dat ze niet zullen luisteren naar de uitkomst van het referendum, dan heb ik weinig vertrouwen in dat ze wel betrouwbaar zijn als het om certificaten aankomt. Certificaten van onbetrouwbare partijen zijn nooit werkbaar/leefbaar.
Kort samengevat, hier hebben we een certificaatautoriteit (Staat der Nederlanden) die van zichzelf zegt (in de WIV): "Mensen, hou er rekening mee dat we valse sleutels kunnen aanmaken, waardoor een site veilig lijkt, maar dat niet is".

Dan kun je per definitie niet op een lijstje van Trusted CA's voorkomen, hoe "goed" je bedoelingen met de WIV ook zijn.
Precies dit! Het is geen politiek statement. Het is een legitieme vraag.

Een trusted CA mag NOOIT valse certificaten uitgeven. Niet om criminelen op te sporen, niet om terrorisme te bestrijden, gewoon nooit.

Als de Nederlandse staat expliciet aangeeft mogelijk valse sleutels aan te maken, dan dient het vertrouwen per direct ingetrokken te worden.

Naar mijn mening is dit een hoop erger dan de hele DigiNotar affaire. Die verstrekten buiten hun weten valse certificaten. Nu gaat Nederland dit mogelijk opzettelijk doen.

Een CA moet ten aller tijden oprecht, eerlijk en transparant zijn. Elk certificaat moet met voldoende verificatie verstrekt zijn, en 100% te vertrouwen zijn, anders dient de CA zijn trusted status te verliezen. Dat lijkt me hier dus zeker op zijn plaats.

Dat het daarnaast een signaal is dat je niet zomaar zulk soort wetten kan aannemen, maar dan de veiligheid van het internet op bredere schaal aantast, dat is mooi meegenomen.
Het mooie is dat allen overheids websites en mogelijk beplaade nonprofit organisaties in dienst van de overheid. Hiermee getroffen worden..

Denk aan DigiD wat voornamelijk burgers zou raken. Echter microsoft.com zou geen certificaat van PKIOverheid kunnen bemachtigen. Gezien PKIOverheid zelf al een overheids instelling is die alleen certificaten uitgeeft aan overheidswebsites.
Iedereen kan PKIoverheid-certificaten aanschaffen... Niet alleen overheidsinstanties.
En hoe had je dat in gedachten? Je kunt namelijk niet zomaar even een pki overheid certificaat aan vragen. Daar zijn strenge procedures voor voor.
Wat @CyBeR zegt dus... Voor organisaties zit er een controle tegen het KvK-register aan vast en voor private personen moet je jezelf een keer laten zien met je paspoort..
Daar zijn strenge procedures voor voor.
Inderdaad. Je moet bij KPN een heel formulier invullen en alles.
Ik denk niet dat je helemaal snapt hoe de signing van certificates werkt.

Als wij de root vertrouwen voor Staat der Nederlanden, dan kunnen zij elk gewenst domein signen. Jou browser vertrouwt deze signing gewoon omdat de chain of trust klopt. De signing komt immers van een root CA die jij vertrouwt. Het is technisch niet zo dat root CA A/B/C enkel certs voor X/Y/Z mag signen.
Klopt, Echter het zou heel erg niet slim zijn om PKIOverheid te gebruiken voor man in the middle attack .

Dan zou het logisch zijn om het CA in te trekken. Met als gevolg dat veel overheid websites niet meer voor burgers en bedrijven toegankelijk is.
Klopt, Echter het zou heel erg niet slim zijn om PKIOverheid te gebruiken voor man in the middle attack .
Klik jij bij iedere site (buiten internetbankieren om) die je bekijkt op het slotje om te kijken of het certificaat toch niet van PKIOverheid komt? Waarschijnlijk niet. Tegen de tijd dat een oplettend doelwit erachter komt en het meldt is het al te laat.
En dat is waar certificaat pinning bij helpt. Voor alle sites die geen pinning hebben kunnen we bij $client netjes een MITM doen om het verkeer te analyseren en sites waarbij dat niet kan is het een risico afweging of we het doorlaten zonder MITM maar met rate limiting of blokkeren.

Je kan die pinning als website doen via HTTP-headers of via een preseed in oa Google Chrome. Alleen niet veel partijen doen het, omdat het lastig is ivm planning cq certificaat management. En de preseed lijst van Google Chrome gaat verdwijnen op termijn dus je zit met je initiele verificatie.

Heel eerlijk is het CA gedeelte wel redelijk dood en eigenlijk niet meer te redden. De vraag is alleen wat er als alternatief kan dienen. De adoptie van DNSSEC is helaas te laag om een verschil te maken en hier op door te gaan. Het lijkt voorlopig wel het meest waarschijnlijke pad om te volgen op de lange termijn.
Google lijkt bij Chrome te gaan stoppen met certificate pinning...
Ah dus samenvatting : gebruik Expect-CT instead, op de plek waar je HPKP zou gebruiken.
Stel een m.i.m. kan het certificaat aanpassen, dan kan hij al verkeer ontsleutelen en modificeren en opnieuw versleutelen met zijn certificaat, toch? Dan kan hij toch ook de HPKP header aanpassen, of zie ik dat verkeerd?
Klopt, HPKP werkt derhalve alleen als je of al eerder bij de site geweest bent (zodat je browser die header ontvangt) of als de pin in de lijst van public pins is opgenomen.
En het is amper of lastig te controleren als eindgebruiker. Je moet maar hopen dat de aanbieder van de content dit ingesteld heeft.
Dat klopt, ik kijk niet bij elke site welke http-header deze zet. Maar als je zelf een site beheerd, kun je ze in ieder geval toevoegen, en wellicht incl. report-uri en een plek waar je dat raport ook echt ontvangt en tot een notificatie laat leiden, voor het geval dat iemand een niet door jou gekocht certificaat probeert te gebruiken.
Wellicht je eigen websites voorzien van https://developer.mozilla...b/HTTP/Public_Key_Pinning incl. report-uri, zodra er een poging gedaan wordt een vals certificaat voor je site te gebruiken (akka, uitgegeven door een andere CA dan jij aangeeft), wordt het traffic geblokkeerd én krijg jij een melding.
Kan men ook zelf zo'n certificaat in de ban doen?
Jazeker. Je moet het alleen apart voor Windows, Firefox en Chrome doen.

In Windows:
Ga naar run -> certlm.msc -> Trusted Root Certificate Authorities -> Certificates. Selecteer Staat der Nederlanden Root CA - G2. Rechtermuisknop -> Delete. Ga naar Third Party Root Certificates. Herhaal de truc.

In Firefox:
Ga naar about:preferences#privacy. Ga naar Certificaten bekijken. Ga naar Staat der Nederlanden. Klik op Verwijderen of wantrouwen.

(Chrome heb ik niet bij de hand om een uitleg te geven)
Daar ga je al, je noemt nu al Windows en Firefox. Vervolgens Chrome nog, daarnaast heeft Java en optioneel elk Java gebaseerd programma een eigen Truststore. Wordt veel werk om dat zelf bij te houden.

Eigenlijk is het al apart dat al die software hun eigen lijstjes bijhouden ipv hierin een gezamenlijke oplossing te creeeren.
Het is voornamelijk vreemd dat die software niet gewoon de lijst gebruikt die door Microsoft/het OS (volgens mij doet macOS dit ook) bijgehouden wordt. Maar het is zeker ook een kwestie van macht, Mozilla en Google willen beiden hun eigen eisen aan certificaten kunnen stellen, en zelf certificaten kunnen intrekken (en zijn daar vaak strenger in dan Microsoft).

Voor Java programma's: ik mag hopen dat de programmeur niet zomaar dingen in de truststore stopt zonder dat het programma die direct nodig heeft (enkel certificaten voor updaters e.d.). Ik probeer daar sowieso zo min mogelijk
En dat geldt voor alle Amerikaanse certificaat-authoriteiten (Patriot Act, kunnen gweoon gedwongen worden), dus ook Verisign. Het geld ook voor alle Britse certificaat-authoriteiten, alle Russische, alle Chinese, en waarschijnlijk voor nog wel meer landen.

Met andere woorden, de lijst van "Trusted CA's" is volgens jouw definitie zo goed als leeg. Dan kun je als Mozilla wel meegaan in die ideologie, maar als FireFox claimt dat 99% van de beveiligde sites (inclusief die van de banken etc) onveilig zijn, dan installeert iedereen gewoon Chrome.
Ze zijn tenminste eerlijk.

Hoeveel incidenten zijn we geweest net andere root ca's.....
Ik mag dus aannemen dat jij certificaten van o.a. Russische-, Chinese, Turkse-, Wit-Russische- en Iraanse instituten dus per definitie niet vertrouwd, gezien je redenering?
Je kunt niet uitsluiten dat welk regime dan ook valse sleutels genereert en MITM aanvallen uitvoert. Mozilla kan dan alleen zo'n CA uitsluiten als men bewijs heeft dat het gebeurd, zoals dat een tijdje geleden ook met google-certificaten gebeurde.

Verschil met deze situatie is dat de CA (in dit geval Staat der Nederlanden) al van tevoren aankondigt (via de WIV) dat ze valse keys kunnen gaan genereren, waarmee je je meteen al diskwalificeert als Trusted CA.

Ik zou het dan ook niet geheel onterecht vinden als Mozilla het vertrouwen opzegt, al introduceren ze dan wel een shitload aan problemen met het digitale verkeer tussen overheid en burger.
Je kunt niet uitsluiten dat welk regime dan ook valse sleutels genereert en MITM aanvallen uitvoert. Mozilla kan dan alleen zo'n CA uitsluiten als men bewijs heeft dat het gebeurd, zoals dat een tijdje geleden ook met google-certificaten gebeurde.
Helemaal mee eens. Eerst bewijs, want je kan nooit iets helemaal uitsluiten.
En gelukkig hoeft dat ook niet, want anders zou iedereen een heel vermoeiend leven leiden.
Verschil met deze situatie is dat de CA (in dit geval Staat der Nederlanden) al van tevoren aankondigt (via de WIV) dat ze valse keys kunnen gaan genereren, waarmee je je meteen al diskwalificeert als Trusted CA.
Je haalt volgens mij twee dingen door elkaar, de CA kondigt niet aan dat het valse keys kan gaan genereren. De politiek heeft een wet aangenomen, niet de CA. Dat de CA in hetzelfde politieke systeem opereert en zelf een overheidsorganisatie is, is nog steeds iets anders dan het zelf aankondigen.

Daarnaast krijgt een totaal andere overheidsdienst de beschikking over meer breed en algemeen verwoorde mogelijkheden. Daarbij staat niet hard omschreven dat ze via de CA gaan werken. Logischer is dat de veiligheidsdiensten zelf iets gaan hosten dan een certificaat provider gaan misbruiken die je als je ooit betrapt wordt nooit meer gebruikt kan worden.
Ik zou het dan ook niet geheel onterecht vinden als Mozilla het vertrouwen opzegt, al introduceren ze dan wel een shitload aan problemen met het digitale verkeer tussen overheid en burger.
Ik zou dit wel geheel onterecht vinden om op basis van een wet die over totaal iets anders gaat en waar de CA totaal niet genoemd wordt een besluit te nemen.

Mocht het regime hier ooit omslaan naar een dictoriaal systeem of mocht de CA zich bewezen voor een karretje laten spannen dan kan je dat besluit altijd nog nemen. En dan moet je ook niet moeilijk doen over de gevolgen. Dat is hun eigen schuld.

Maar tot die tijd moeten we eens ophouden om eindeloos door te redeneren en verbanden in het wilde westen te leggen. Want dan kan je echt niemand meer vertrouwen. Elk bedrijf kan geïnfiltreerd en/of gehacked worden.
Zie mijn reactie op 2e reactie op @pepsiblik . Je hebt gelijk, maar puntje bij paaltje is de organisatie die voor CA speelt dezelfde als die de wet schrijft. En als we het nog wat specifieker willen maken, (en zoals de indiener van de bug ook stelt) valt de CA onder de verantwoordelijkheid van MinBZK, net zoals de aivd. Dan hebben we het op zijn minst over twee verschillende afdelingen van één organisatie. Dan lijkt het me gezond vraagtekens te zetten bij de CA.

Maar inderdaad, het compromis zal waarschijnlijk gaan zijn dat ze pas van de lijst verwijderd gaan worden als bewezen is dat de aivd via de Staat der Nederlanden CA daadwerkelijk certificaten misbruikt. En daar zit ook iets in, mede door de ellende die je op de hals haalt als het vertrouwen ingetrokken wordt.
Blijft het heel ongelukkig hoe simpel je die twee zaken (CA en de WIV) en de belangenverstrengeling daarin vrij snel voor het voetlicht kunt brengen en dat de eventuele gevolgen daarvan kennelijk niet gezien worden. Lijkt me een gevalletje "linkerhand wist niet wat de rechterhand deed".

En je laatste alinea is voer voor een heel andere discussie, maar die is niet voor hier. Ik reageerde juist hierop omdat ik in dit voorbeeld juist niet eindeloos hoefde door te redeneren om het verband te zien.
Zie mijn reactie op 2e reactie op @pepsiblik . Je hebt gelijk, maar puntje bij paaltje is de organisatie die voor CA speelt dezelfde als die de wet schrijft. En als we het nog wat specifieker willen maken, (en zoals de indiener van de bug ook stelt) valt de CA onder de verantwoordelijkheid van MinBZK, net zoals de aivd. Dan hebben we het op zijn minst over twee verschillende afdelingen van één organisatie. Dan lijkt het me gezond vraagtekens te zetten bij de CA.
Als je weet hoe de overheid in elkaar zit dan spreek je niet van 2 afdelingen van 1 organisatie.
Het zijn eerder twee dochterondernemingen binnen een label. Zoals groene land en zilveren kruis dan zijn. Dat is een veel groter verschil dan 2 verschillende afdelingen van 1 organisatie.

Verder is er voor veel van deze maatregelen (die voornamelijk voor de politie geldt) een expliciete goedkeuring nodig van een minister en/of de rechtelijke macht. Dit geldt ook gewoon voor de AIVD.

Daarnaast werken er gewone mensen die het goed willen doen en niet graag hun werk verliezen bij de CA. Die zien echt wel in dat als ze klakkeloos dit soort praktijken gaan ondersteunen hun werk op de tocht komt te staan.
Blijft het heel ongelukkig hoe simpel je die twee zaken (CA en de WIV) en de belangenverstrengeling daarin vrij snel voor het voetlicht kunt brengen en dat de eventuele gevolgen daarvan kennelijk niet gezien worden. Lijkt me een gevalletje "linkerhand wist niet wat de rechterhand deed".
Heel ongelukkig en ik zou dat ook graag anders zien. Breng het lekker bij een andere minister onder.
Maar ook dan zit je bijna in hetzelfde schuitje, er zit alleen 1 extra minister tussen. Dus slechts 1 poppetje meer. Verder veranderd er niet iets.
En je laatste alinea is voer voor een heel andere discussie, maar die is niet voor hier. Ik reageerde juist hierop omdat ik in dit voorbeeld juist niet eindeloos hoefde door te redeneren om het verband te zien.
Dit doorredeneren gebeurt nu al in jou eigen post.
Eindeloos is relatief

1/ AIVD en CA vallen onder dezelfde minister
- Feit en niets op aan te merken daardoor, de redenering begint erna.
2/ AIVD en CA zijn dus afdelingen van 1 organiastie (Onjuist)
- eerder twee dochterondernemingen met elk een bestaansrecht en aparte aansturing
3/ Mensen die bij de AIVD en CA hebben geen besef wat deze maatregel voor hun werk en eigen hachje betekend. Of ze zijn zielloze mensen die niet het slechte kunnen inzien van deze gecombineerde actie.
- Dat je de AIVD zo ziet lijkt me niet eens slecht, dat imago roepen ze zelf over zich af, maar die is niet de partij die zijn werk verliest. Het wordt hooguit weer moeilijker om bepaalde zaken te regelen.
4/ de minister ziet niet in dat dit problemen met zich meebrengt voor 1 van de organisaties onder haar bewind en dat dit tot haar val kan leiden als ze hiermee akkoord gaat. Of misschien een probleem voor de regering als gevolg ervan.
5/ Er is geen gerechtelijke toetsing en/of die rechtelijke toetsing wordt gewoon genegeerd / gegeven.

En dan zal ik nog wel wat punten zijn vergeten. Wob bijvoorbeeld en klokkenluiders.
Misschien dat je al die punten niet eens gezien hebt of beoordeeld hebt als 1 pot nat, maar dat zijn toch minimaal 4 slagen die je onder de noemer gooit van logisch verband.
Gezien de machtsconcentratie binnen de top van BiZa is jouw voorstelling van zaken dat het eerder twee dochterondernemingen zijn veel te positief. Op het moment dat de AIVD zegt die certificaten nodig te hebben zal de CA dat niet kunnen weigeren. En zowel de minister als de commissie Stiekem gaan vrijwel nooit tegen de AIVD in. Juist om dat laatste feit is er alle reden om de overheid en de AIVD in het bijzonder niet te vertrouwen.
Als je de staat der Nederlanden op basis hiervan wilt uitsluiten, moet je dat met heel veel meer landen doen.

[Reactie gewijzigd door pepsiblik op 30 oktober 2017 11:35]

Lees even goed, het gaat over de Staat der Nederlanden als Certificaat Autoriteit, niet als land.

Als jij mij een voorbeeld kunt geven van een land dat zelf CA is en van zichzelf zegt dat men valse keys kan genereren, dan zouden ze op basis daarvan uitgesloten mogen worden.
Maar volgens mij heeft nog geen enkele CA zou duidelijk omschreven dat ze een wettelijk recht hebben om een onveiligheid in te bouwen. Dan heb je het niet meer over twijfel, dan heb je het over zekerheid dat een CA niet altijd vertrouwd kan worden. Dan mag zo'n CA niet op een Trusted lijst voorkomen, ook al zou je hem in 99,9% van de gevallen kunnen vertrouwen.

Wat de discussie een beetje vertroebeld is dat we het zowel over een CA hebben als een land. Je ziet dat die twee in deze discussie samenkomen en dat dat eigenlijk het grootste probleem vormt, doordat het land (aivd, gebruik makende van de WIV) zo makkelijk gebruik kan maken van de CA (Staat der Nederlanden, omdat deze ook door het land is ingesteld). Als de Staat der Nederlanden als CA niet bestond zou de aivd nog steeds van deze praktijken gebruik maken (waarom zouden ze dat niet met andere CA's doen?) en hadden we het gewoon spionage genoemd.

edit: aanvulling laatste alinea

[Reactie gewijzigd door tedvg op 30 oktober 2017 12:08]

Op zich mee eens. En mijn antwoord was slecht verwoord. Er had moeten staan dat je dan ook bedrijven die CA zijn, uit de landen die ik noem, van de lijst moet halen.
Dat kan dan alleen wanneer er bewezen wordt dat ze onveilig zijn. En dat gebeurd ook (zoals met Google en DigiNotar).

En nu hou ik er over op. :)
Dat klopt helemaal. Misschien gebeurt dat ook na deze actie, gezien het nu besproken wordt.
-nvm-

(Hierboven (zijdelings) toch ook al aangedragen.)

[Reactie gewijzigd door BStorm op 30 oktober 2017 13:05]

Ik denk dat eigenlijk geen enkel certificaat nog te vertrouwen is. Het heeft zijn /haar nut gediend en is nu achterhaald. (door inspanningen vanuit onze eigen overheid). En wat een overheid kan kunnen andere criminelen ook zekers. Dus, exit CA, it's a free for all, in the wild wild west.
Het verschil tussen bedrijven en de overheid is dat certificaten voor bedrijven het product zijn. Het is in hun belang om hier geen enkele fout in te maken, want anders kan je je zaak opdoeken, zoals vaker in het verleden is gebeurd. Bij de overheid spelen hele andere belangen.
So, ik denk dat jij toch wel heel HEEEEEEEL erg naief bent als je dat werkelijk zelf geloofd... Je vergeet vooral ook dat een bedrijf zich moet houden aan de wetgeving. Er is GEEN CA die je werkelijk kunt vertrouwen, GEEN!
Tijd voor DANE implementatie in de webbrowsers:
https://blather.michaelwlucas.com/archives/2012
Dat gaat niet gebeuren. Oa. Google heeft al aangegeven dit niet te zullen doen in Chrome omwille van snelheid/performance issues. De extra DANE lookup duurt te lang en nog wat redenen. Zie:

https://www.imperialviolet.org/2015/01/17/notdane.html
Je hebt gelijk, een bedrijf kan je net zo goed niet vertrouwen. Het punt is, een overheid ook niet, dat hebben we met z'n allen zo gewild, en ook vastgelegd: ook de overheid moet zich aan wetten houden. Dat is om o.a. vrijheid(van meningsuiting - privacy is daar een onderdeel van) te kunnen garanderen.

Nu is het blijkbaar zo dat dat een (ja gekozen)overheid zelf wetten kan aannemen, zoals deze "sleepwet". Ze maken hun eigen wetten, en die hebben invloed op rechten van de mens. Iedereen moet het er toch over eens zijn dat de overheid niet moet kunnen gaan over zaken met betrekking van rechten van de mens.
Het mechanisme CA gaat uit van vertrouwen, CA's worden gerund door mensen, die niet per definitie te vertrouwen zijn. Ofwel al sinds het ontstaan van CA's is dit de zwakke schakel in de keten. Er is a misbruik van gemaakt in het verleden en dat zal zeker ooit weer gebeuren. Tijd om iets beters te bedenken lijkt me.
Je hebt gelijk dat een bedrijf er geen belang bij heeft om het vertrouwen in zijn belangrijkste produkt te schaden. Een bedrijf staat evenwel altijd onder macht van de overheid van zijn vestigingsplaats. Een bedrijf kan daarmee door geheime bevelen gedwongen worden ook valse certificaten uit te geven. Ik weet niet of dit in Nederland geoorloofd is, maar het is wel de werkwijze van de NSA jegens de grote technologiebedrijven.

Het bloed kruipt helaas waar het niet gaan kan: Als de AIVD niet via de eigen overheid valse certificaten kan uitgeven dan zullen de betreffende ambtenaren vanzelf bij hun bazen gaan lobbyen voor meer bevoegdheden.
Het is inderdaad niet meer gepast dat het als veilig zou beschouwd worden.
In dit geval is het duidelijk dat het NIET meer veilig is, vermits ze het publiekelijk toegeven dat het gebruikt zal worden voor af te tappen.
Misbruik (intern of extern) kan vanaf dat punt ook niet meer uitgesloten worden.
Als een hacker of een andere land ooit de root certificaat in handen krijgt dan ligt het hele veiligheids model van Nederland op straat.
Het is niet de eerste keer dat een root certificaat per ongeluk op internet land of dat een hacker de root certificaat gestolen heeft of dat een kwade ontslagen werknemer de sleutel publiceerd.
Het is niet de eerste keer dat een root certificaat per ongeluk op internet land of dat een hacker de root certificaat gestolen heeft of dat een kwade ontslagen werknemer de sleutel publiceerd.
Heb je daar voorbeelden van? Voor zover mij bekend was dat zelfs bij DigiNotar niet het probleem (maar was het daar mogelijk om de (nog altijd geheim gebleven) private key te misbruiken om een certificaat te ondertekenen omdat de beveiliging van het aanroepen van de ondertekening beneden de maat was).

Genoeg gevallen waar een private key van een website per ongeluk gepubliceerd is, maar kan me geen berichten herinneren van een gelekte root-CA private key.

Ga er voor het gemak maar even van uit dat je doelt op de root-CA private key, want het root certificaat beland nooit per ongeluk op internet... die beland daar expres.... die zit vaak zelfs al ingebakken in je browser, maar zo niet, dan is ie als nog voor jan en alleman op te vragen.
Politici zijn in geen enkel opzicht te vertrouwen, ze liegen, bedriegen en misleiden dat het een lieve lust is, zelfs als ze fluiten liegen ze nog.
De hele kliek tesamen zorgt dus voor een overheid die ronduit onbetrouwbaar en door en door corrupt is.
Schijnbaar is alles geoorloofd om de burger, in elk opzicht, uit te knijpen.
Het kwartje van Kok en die 1000 Euro van Pinokkio ( Rutte ) zijn 2 dingen waar ik nog steeds op wacht.. :+
Zoals je zegt: het draait allemaal op basis van vertrouwen en als je een CA niet kan vertrouwen, dan moet je het eruit knikkeren. En hier is genoeg aanleiding voor. Dit zijn geen complotten, dit staat gewoon in het wetsvoorstel.
Volgens het wetsvoorstel zou het niet meer per se tegen de Nederlandse wet zijn als de CA valse certificaten zou uitgeven, maar de wet is voor een CA niet het enige bezwaar om dat te gaan doen. Je kunt er niet zomaar vanuit gaan dat de CA hierdoor niet meer te vertrouwen is.

[Reactie gewijzigd door Brousant op 30 oktober 2017 11:52]

Als een staat als CA niet is te vertrouwen, wat is dan wel als CA te vertrouwen?
Niemand. Het hele CA model is verouderd. Het idee dat er organisaties zijn die door de hele wereld vertrouwt kunnen worden vind ik naïef. Vertrouwen is persoonlijk en relatief. Als de CA van Nederlandse overheid in een browser wordt opgenomen dan kunnen landen als Iran, Saudi-Arabië en Noord-Korea daar ook aanspraak op maken. Eenmaal geaccepteerd zijn ze allemaal gelijk.
CA's hebben nu min of meer de macht om alle mogelijke SSL-certificaten uit te geven. Er is geen beperking dat de Nederlands CA alleen certs kan uitgeven voor .nl, of alleen voor Nederlanders, of iets dergelijks.
Als Nederland een certificaat wil uitgeven voor whitehouse.gov of microsoft.com dan kan dat.

Het systeem is veel te grof om er zo veel vertrouwen in te hebben. Een beetje OS/browser vertrouwt de certificaten van honderden partijen. Daar zitten gegarandeerd ook een paar rotte appels bij.

In theorie kun je zelf kiezen om CA's wel of niet op te nemen in je keystore, ik doe dat dan ook, maar een flink aantal CA's zijn zo groot dat je ze niet kan negeren, en dus 100% moet vertrouwen.
Zekers, maar dat is wel van twee kanten: van de burger naar de overheid, maar zeker ook de overheid naar de burger. De overheid geeft aan dat de burger kennelijk niet te vertrouwen is dat ze zo'n sleepwet nodig hebben. De overheid zou juist het goede voorbeeld moeten geven.
En gelijk heeft de overheid, een hoop burgers zijn ook gewoonweg niet te vertrouwen, was dat wel, dan hadden we geen overvollen gevangenissen en hadden we ook geen politie nodig... realiteit is dat het helaas wel nodig is.. Leuk is anders, maar de overheid alle mogelijkheden weg te nemen om beter te kunnen reageren voordat er weer wat negatiefs is gebeurd, is ook niet de oplossing. We leven helaas in een maatschappij waar een hoop mensen anderen willen schaden.
Overvolle gevangenissen?

De realiteit is echter, dat de gevangenissen in Nederland vrij leeg zitten, ruimte zat.

We hebben altijd in een maatschappij geleefd waar mensen anderen willen schaden. Zijn we daar voor bereid onze vrijheid op te geven? En niet zo maar een lullige vrijheid, gewoon onze volledige internet vrijheid.

Wat moeten we als burger met een overheid die ons niet vertrouwt? Bestaat de overheid niet uit dezelfde burgers?
En dan te bedenken dat we in de veiligste periode van de menselijke historie leven.
Dat blijkt tenslotte uit de cijfers. Alleen omdat er zoveel nadruk ligt op negatief nieuws krijgen mensen een heel ander gevoel en komen er dit soort van acties.
Hoe was ook al weer de correlatie tussen veiligheid en vrijheid (privacy etc) ? Omgekeerd evenredig? Zeg ik het zo goed?
Hoe veiliger een maatschappij, hoe minder "freedom" het bezit.
Dat is dan weer niet correct... Het is juist apart dat men de privacy wil terugdringen in een tijd dat het relatief zo veilig is.
Een van de nog noordelijker gelegen landen (volgens mijn vrij onbetrouwbare geheugen Noorwegen) huurt gevangenisruimte in Nederlandse gevangenissen. Gevangenen hebben daar zelfs de keuze of ze in een Noorse of Nederlandse gevangenis hun straf uit willen zitten.

Veenhuizen is daar maar wat blij mee, want dat zorgt ervoor dat mensen die daar in de omgeving wonen er ook weer kunnen werken en in zichzelf weer in hun bestaan kunnen voorzien.

Als ik me de artikels van een paar jaar terug nog goed voor de geest haal.
De vraag is of het dan eerlijk is dat je iedereen over diezelfde kam scheert (want dat doet een sleepnet), eerlijke burger of niet.
Dus wat genuanceerder dan wat @idef1x zegt: De overheid geeft aan dat alle burgers niet te vertrouwen zijn dat ze zo'n sleepnet nodig hebben.

[Reactie gewijzigd door Zoop op 30 oktober 2017 11:20]

Ah het schuldig bevonden tot tegendeel bewezen is principe...hmmm volgens mij hoort dat andersom te zijn.
lekker figuur ben jij. mag ik een camera in je huis installeren? wellicht ga je wel een bom bouwen immers!
Ik geef je zeker geen ongelijk, de realiteit is wat het is natuurlijk.

Wil je dat perfect bestrijden, dan moeten we een politiestaat dictatuur gaan beginnen. Dan kan je dit soort zaken prima in handen hebben en bestraffen waar nodig. Als men niet naar rationele wetgeving ed wil luisteren, dan kan je ze wellicht beter onder de duim houden met angst.
Doemdenkerij, wellicht, maar iedere stap die ze nemen is wel een stap dichterbij die dystopie.

De vraag is hoeveel je je van je privacy en vrijheid je moet opgeven voor een vredevol leven. En dan nog de vraag of het ook daadwerkelijk helpt (ondanks al die inbreuken). Of het doel de middelen heiligt (en of dat doel überhaupt wel haalbaar is).

Er is altijd bar weinig onderbouwing, uitleg, ondersteunende cijfers etc, voor dit soort dingen. Er wordt altijd maar in de lucht geluld "ja maar, als dit, dan dat, dan kunnen we terroristen bestrijden", gebruik het woord kinderporno ook nog ergens, dan zijn de maatregelen al snel gerechtvaardigd (even vergeten dat dit 99% juist niet voor die zaken gebruikt zal worden (aanname, uiteraard)). Maar nooit geen enkel woord over daadwerkelijke resultaten.
"En nu even realistisch nadenken"

Jou valsse realiteit van overvolle gevangenissen en gevaar op elke hoek is anders schadelijk voor iedereen 8)7
Wat is je punt? De overheid gaat pas achter iemand aan _nadat_ diegene iets gedaan heeft dat is verboden. Of worden moordenaars tegenwoordig al berecht voordat ze hun eerste moord gepleegd hebben? We leven volgens mij (nog) niet in Minority Report.

Van iedereen waar de overheid nu achteraan zit is in ieder geval de verdachtmaking dat ze iets gedaan hebben dat niet toegestaan is. Het sleepnet verhaal is vervelend omdat daarmee in hun onderzoek ook onschuldige burgers meegenomen worden in het onderzoek.

Dus even realistisch denken: Onschuldig totdat het tegendeel bewezen is.
<sarcasme> De gevangenissen lopen inderdaad over sinds "tech" beschikbaar is. </Sarcasme>

Ik zeg geef de juiste instanties, politie, AIVD of wat dan ook gewoon de middelen om de juiste verdachten op te sporen door gericht te surveilleren en niet iedereen over één kam te scheren. Er is geen reden om China, Rusland of de Verenigde Staten achterna te gaan.
Zekers, maar dat is wel van twee kanten: van de burger naar de overheid, maar zeker ook de overheid naar de burger. De overheid geeft aan dat de burger kennelijk niet te vertrouwen is dat ze zo'n sleepwet nodig hebben. De overheid zou juist het goede voorbeeld moeten geven.
Dat zegt de overheid helemaal niet.

De overheid zegt, we hebben zoveel verkeer en daar zit hele waardevolle informatie in. Informatie die we kunnen vinden om mensen die iets doen wat niet mag te veroordelen. En eventueel zelfs informatie om aanslagen te voorkomen.

Het probleem is alleen dat we niet van te voren weten welke informatie zinvol is en welke niet.
Dus laten we 99.8% van de niet zinvolle informatie opslaan om die speld van 0.2% (of minder) in de hooiberg aan zinvolle informatie terug te kunnen vinden.

Het is gewoon een certificaat van onkunde die ze zichzelf geven ingegeven door een hype, niet een uiting van wantrouwen naar alle Nederlanders.

Want het lullig is, vinden ze hele belastende informatie over xyz dan mogen ze er niets mee doen. Ze mogen alleen wat met informatie doen die ze vinden in het kader van hun huidige onderzoek. Zo werkt de wet nu eenmaal.

Uitzondering (en dit is het engste) is dat ze deze informatie wel aan de bondgenoten mogen geven....
Helaas bewijst onze overheid keer op keer dat ze niet te vertrouwen is. Dan kun je van een samenleving moeilijk verwachten vertrouwen in de overheid te hebben.
tja, en de overheid is toch weer een weergave van de samenleving....
Maar hunnie van de regering en de WIV begonnen met de "Iedereen is potentieel crimineel wet" :P ;)
Vetrouwen, tja, de essentie van elke goede relatie. Alsin: Zonder is de relatie niet mogelijk.
Gegeven het feit dat op elk niveau overheden plannen hebben en uitvoeren die tegen het belang ingaan van de mensen die ze zogenaamd dienen (makkelijk maar geenszins enig voorbeeld is de nieuwe sleepwet) is een overheid de laatste partij die je 9u
Een CA is ook nooit echt te vertrouwen, wat dat betreft imho dan ook een wassen neus.
Alleen in een dictatuur kan een partij, de leidende partij, al zijn beloftes waarmaken. Een consequentie van een democratisch stelsel is dat je moet onderhandelen met andere partijen om te komen tot een gemeenschappelijk beleid.
Wat jij beloftes noemt zijn de uitgangspunten waarmee een democratische partij de onderhandelingen ingaat. Je weet inderdaad niet zeker of die er ook uitkomen.
Vind je niet dat het de laatste jaren wel heel erg lijkt op een roedel wolven en een kudde schapen die moeten beslissen wat voor vlees er vanavond op tafel komt?.

Ofwel heel erg éénzijdig. Niet dat het goed gaat komen, lees 'Goud en het geheim van geld' van Middelkoop maar eens, weet je meteen waarom ze beslissingen nemen om ons volk in toom te houden. (politiestaat of nog erger want er worden zelfs nu al wetten aangenomen die in een fascistisch land niet zouden misstaan)

[Reactie gewijzigd door Bardman01 op 30 oktober 2017 11:22]

Mwoah zelfs dan enkel wat in de beinvloedingssfeer ligt van de leidende partij. Anders hadden we hier allemaal de afgelopen 70 jaar in hugo boss maatpakjes in lichtbruin of donkerzwart rondgelopen. Natuur en economie is zo ook maar betrekkelijk beinvloedbaar.

Of je moet een shrek toverstafje hebben ?
Het is nooit anders geweest, regeren is altijd een compromis geweest.. Niet doen alsof dat onder Rutte ineens anders is.
Echt niet hoor, ook in het verleden waren ze er redelijk open over.. Tja, ze kunnen ook rustig de staatsschuld naar beneden brengen, maar weet je wat dat dan betekend? dat alles dus nog veel VEEEEEEL duurder gaat worden, en mensen zitten nu al in zak en as als het om financien gaat. Willen ze de schuld weg hebben dan zul je moeten geloven aan belastingen van 60+% voor iedereen en dan wordt helemaal niemand meer ontzien.

het is allemaal niet zo makkelijk als jij blijkbaar denkt, ik weet niet in wat voor fantasiewereld jij denkt te leven.
Wat is dat nou weer voor borreltafel-(of liever gezegd dronkemans-)economie. Als je de geldmarkt verkrapt, wat je doet door schulden af te lossen, gaan de prijzen omlaag.
Wat betekent dat concreet? Dat overheidspagina's niet werken? Of dat alle alarmbellen afgaan zodra je er komt?
Wat betekent dat concreet? Dat overheidspagina's niet werken? Of dat alle alarmbellen afgaan zodra je er komt?
Bij elke site die alleen een certificaat van deze authoriteit heeft gaan de alarmbellen af. Bij sites met meerdere certificaten (eentje van deze authoriteit en één (of meer) van een andere authoriteit (die nog wel vertrouwd wordt)), is er niks aan de hand.

Maar het gaat helemaal niet om overheidssites (daar kan de AIVD toch al meelezen). Waar het echt om gaat is dat op dit moment onze overheid de technische mogelijkheid heeft (en zichzelf vanaf 1 januari het juridische recht geeft) om een certificaat te ondertekenen voor elke willekeurige site. Laten we als voorbeeld gmail.com nemen en een klokkenluider die weet dat onze overheid iets helemaal fout doet wil een gmail-account aanmaken om bewijsmateriaal naar de pers te sturen. In de huidige situatie krijgt ie een vertrouwd certificaat en kan de AIVD dus niet meelezen als ie zijn mailtje typt en zijn attachments uploadt. Vanaf januari kan de AIVD een server draaien met een door de overheid ondertekend certificaat dat in feite zegt "ik ben de echte gmail server". Als ze die klokkenluider met wat trucjes naar hun eigen server om kunnen leiden, dan lijkt er niks aan de hand te zijn (alleen als ie gaat controleren waarom zijn browser het certificaat vertrouwd is te zien dat er iets helemaal mis is) maar de AIVD kan zonder moeite real-time meelezen met alles wat ie doet.

Als Mozilla (en alle andere browsers met een eigen lijst van vertrouwde root certificates) de certificate authority "Nederlandse Staat" eruit gooien, dan wordt bovenstaande aanval onmogelijk (lees: ietsje lastiger; de AIVD kan vast, via een bevriende dienst, zo'n vervalst certificaat regelen bij een andere nationale certificate authority..., of bij de volgende DigiNotar natuurlijk).
Google doet aan certificate pinning. Als die gmail in Chrome of de gmail app geopend wordt gaat dat in dit specifieke geval niet werken, tenzij ze Google zelf kunnen overhalen mee te werken.
Google heeft zojuist aangekondigd, dat het support voor certificaat pinning (ik neem aan: public key pinning) wil gaan afbouwen: https://www.security.nl/p...n+Chrome+gaan+verwijderen
Daar staat in dat ze het willen vervangen door "Certificate Transparancy". Dat zal, in elk geval, voor hun eigen certificaten vast werken.
Google is een Amerikaans bedrijf en kunnen gewoon gedwongen worden door de NSA om een mail op te lepelen. De hele discussie is grotendeels een schijndiscussie - het is bepaald niet alsof de Nederlandse overheid nu als eerste dit soort capaciteiten voor zichzelf regelt.
Dus linksom of rechtsom, het is niet mogelijk om dit soort "valse" certificaten te weren.
Nu niet en in het verleden ook al niet? Dus alles wat je doet op internet of je eigen computer is openbaar per definitie (is dat de gezonde instelling qua let op?
Dus linksom of rechtsom, het is niet mogelijk om dit soort "valse" certificaten te weren.
Het is, tot op zekere hoogte, wel mogelijk, maar het is zeer omslachtig.

Browsers hebben een ingebouwde lijst van root certificates die ze vertrouwen, maar die lijst kun je aanpassen. Er is (in theorie) niets dat je ervan weerhoudt om het root certificate van de Nederlandse overheid (of de Chinese overheid, of alle bedrijven die onder de Patriot Act vallen, of ...) te verwijderen. Hoe meer je er verwijderd, hoe meer sites je niet meer kunt vertrouwen.

Een andere optie is om elke keer dat je een site bezoekt niet zomaar te vertrouwen op de aanwezigheid van het slot-icoontje, maar erop te klikken, te controleren welke root certificate authority het certificaat van de website heeft ondertekend en zelf te beslissen of je dat, in die situatie, vertrouwt (Nederlandse overheid die tekent voor rijksoverheid.nl is prima, maar voor gmail.com is heel vreemd). Voor een klokkenluider die één keer een mailtje met bewijsmateriaal wil versturen is dat nog wel te doen, maar een activist die dit elke dag moet doen gaat vroeg of laat slordig worden.

Het probleem van het hele systeem is dat "vertrouwen" als een boolean wordt behandeld: als je een bepaalde root vertrouwt, dan heb je een (nagenoeg blind) vertrouwen in ze om alles voor je goed te keuren. Je kunt niet zeggen "NL Overheid mag de website voor mijn belastingaangifte ondertekenen, maar ik wil alarmbellen als ze mijn (illegale) goksite ondertekenen". Je zou dicht in de buurt van dit doel kunnen komen door twee browsers te installeren: eentje voor dagelijks gebruik (met een standaard lijst root certificates), eentje voor het specifieke doel waar je "paranoïde" bent voor beveiliging (met bijna alle root certificates verwijderd). Hoe goed dat in de praktijk werkt (je hebt niet alleen de root voor die ene belangrijke site nodig, maar ook voor alle CDNs en dergelijke) zul je zelf moeten uitproberen. En op het moment dat iemand je computer bekijkt (bijvoorbeeld bij een huiszoeking) dan is die tweede browser natuurlijk mateloos verdacht...
Dus alles wat je doet op internet of je eigen computer is openbaar per definitie (is dat de gezonde instelling qua let op?
Het woord "openbaar" zou ik niet gebruiken, maar als je (om legale of illegale redenen) geen vrienden bent met de politie of inlichtingendiensten, dan zit je in een zeer lastige situatie, waarin technologie je wel kan helpen, maar alleen als je precies weet hoe je die technologie correct moet gebruiken.
Wanneer een CA niet langer vertrouwd wordt, zul je certificaat foutmeldingen krijgen bij websites die een SSL/TLS certificaat hebben die is uitgegeven doormiddel van deze CA.

Dit hoeft niet perse enkel in je browser zo te zijn, omdat ook steeds meer applicaties naar publiekelijke Certificaat trust lijsten kijken, zoals deze van Mozilla.
[..] omdat ook steeds meer applicaties naar publiekelijke Certificaat trust lijsten kijken, zoals deze van Mozilla.
De lijst die Google aangaf af te willen gaan schaffen bedoel je?
Er staat daar ook in dat ze overgaan op Certificaattransparantie. Wat je daar leest komt uiteindelijk op hetzelfde neer, maar via een betere weg.
Wat betekent dat concreet? Dat overheidspagina's niet werken?

Ja en dus gebeurd het niet. De bug is een leuke stunt/troll van een willekeurige burger. Leuk voor de maandag ochtend, en het zal ongetwijfeld veel 'popcorn waardige' reacties krijgen, maar uiteindelijk niet tot actie leiden.

Het alternatief is immers, dat enkel Chrome, Safari en Edge overblijven voor Nederlanders als bruikbare browsers.

Wat wél kan gebeuren, is wat bijvoorbeeld Chrome al gedaan heeft voor de Franse overheid nadat die een vals Google certifciaat uitgaf: root-CA's van overheden enkel toepasbaar maken voor TLD's van die overheid. Ofwel, de AIVD zou dan een vals certifciaat voor digid.nl of leukewebshop.nl kunnen maken, maar niet voor Tweakers.net of Outlook.com.

Onthoud echter wel, dat derglijke acties zijn hoogst theoretisch zijn en vallen bovendien meteen op. Immers elke keer dat het gebeurd is tot nu toe, was het voorpaginanieuws.
Edit, zie hieronder

[Reactie gewijzigd door oef! op 30 oktober 2017 09:07]

LOL, alles blijft prima werken. Sterker nog, de Nederlandse overheid gebruikt deze (KPN) CA in principe niet meer. Quovadis levert tegenwoordig de certificaten. Dus het blokkeren van dit specifieke certificaat maakt wat services met oudere certificaten ongeldig, maar legt de overheid niet lam en bereikt zijn doel ook niet :)
Voorbeeld: https://rijksoverheid.nl

[Reactie gewijzigd door Razwer op 30 oktober 2017 08:46]

Dit klopt niet. Sterker nog..... De URL van rijksoverheid die je aangeeft is geen PKI Overheid certificaat. Wel heel vreemd waarom met voor deze site juist geen PKI overheid certificaat geeft gekozen.

De overheid gebruikt gewoon het genoemde certificaat icm met de chains. En Quovadis levert ook onder deze chain certificaten de PKI Overheids certificaten, net zoals KPN. Het intrekken van het certificaat zal dus ook grote gevolgen hebben.
Leuk hoe mensen alles beter denken te weten zonder kijkje in de keuken te hebben (gehad) :)
Zou best kunnen.

Gelukkig heb ik diverse PKI overheids certificaten op mijn servers draaien oa uit de Quovadis uit de "Staat der Nederlanden - G2" die in het artikel beschreven wordt. Al komen ze tegenwoordig uit de "Staat der Nederlanden - G3" chain. Deze chains worden dus gewoon heel vaak gebruikt in de overheid. Mag er deze week waarschijnlijk weer 6 aanvragen.

Het zelfde geld voor de de certificaat chain van rijksoverheid staat nergens vermeld dat het uit de PKIoverheid komt. Het certificaat komt gewoon uit de commerciele versie van Quovadis chain.
klopt, en zo wel meer certificaten binnen de overheid.
"de overheid" is overigens ook niet een enkel orgaan maar verschillende eilandjes die hetzelfde horen te doen en toch overal wat anders.
De grootste ICT speler binnen de overheid is ook de tak die rijksoverheid.nl host/onderhoud.
Wel heel vreemd waarom met voor deze site juist geen PKI overheid certificaat geeft gekozen.
Vermoedelijk wilde men een EV certificaat en die zijn er niet binnen PKIOverheid.

overheid.nl zonder 'rijks' heeft wel een (KPN) PKIOverheid cert.
Vermoedelijk wilde men een EV certificaat en die zijn er niet binnen PKIOverheid.
De staat der Nederlanden heeft ook een EV hiërarchie. Echter deze is wel nieuwer dan de "Staat der Nederlanden - G2", en werd/wordt nog niet optimaal ondersteund . Dit zou wel een logische verklaring kunnen zijn.

Andere mogelijkheden zijn:
* De hiërarchie ondersteund nog geen SAN certificaten (wat rijksoverheid.nl gebruikt).
* Eventueel externe componenten welke ook deze site benaderen ondersteunen niet de PKI overheid genoeg. Zal niet de eerste keer zijn dat ik ook hier tegen aan loop. Bijvoorbeeld oude telefoons ondersteund niet altijd de PKI overheid, oude Java versies en zo zijn er nog wel meer te noemen. Volgens mij had ik het issue ook in het verleden icm met MACOS en Citrix.
Heb laatst nog gewoon de certificaten bij KPN aangevraagd(PKI-Overheid), dus die leveren nog zeker wél, en deze certificaten zijn ook zeker in gebruik bij de overheid.
Vergeet niet dat er ook Nederlandse CA's draaien onder deze root-CA welke een hoop bedrijven voorzien van PKI-overheid certificaten.
Oftewel, zeker niet blijft "alles prima werken".

[Reactie gewijzigd door Bloederig op 30 oktober 2017 10:06]

Volgens mij klopt dat niet helemaal. De hele DigiD keten draai zo goed als helemaal onder de Staat der Nederlanden CA (https://www.digid.nl).
iDeal integraties (tussen webshop en platform, niet tussen klant en ideal) ook.
Dit is niet het geval, het zal alleen intensieve bezigheidstherapie worden voor ICT'ers om andere, wel vertrouwde CA's in de PKI te bouwen. Eigenlijk dus terug naar 2005 en helemaal opnieuw beginnen. De Rijks ICT'ers hebben het dus druk met de kerst mogelijk...

@DirtyBird Wat @Laurens-R zegt. Het is mogelijk om dingen te bezoeken, maar 90% van de gebruikers zal schrikken en denken dat ze gehackt worden en niet verder gaan.
Ik heb een jaar of 2 geleden, bij toeval en uit nieuwsgierigheid, alle certificaten die FF in de lijst heeft gechecked op geldigheid. Er konden er meer weg dan alleen de verouderde DigID-certificaten!

Er was toen al enige tijd sprake van dat de Iraanse geheime dienst dit certificaat vervalsd had, en ermee data wilde onderscheppen. Ook was opgeroepen (aan systeembeheerders) om deze certificaten niet meer te vertrouwen, danwel te dumpen. Ook is hier op Tweakers aandacht aan dit probleem geschonken.

Ben een beetje geschokt over de termijn die Mozilla er voor neemt dit recht te zetten.

(edit: ytpo)

aanvulling: Het ging hier om valse Diginotar-certificaten.

[Reactie gewijzigd door ToolBee op 30 oktober 2017 09:26]

Ik kan me dat nog wel herinneren. Een week voordat Diginotar over de kop ging, moest ik daar nog in Beverwijk voor een storing heen. Naar alle waarschijnlijkheid zal de factuur nooit voldaan zijn, had het maar een weekje (of twee) het langer uitgezongen . . . :')

Maar Diginotar is alweer een tijdje geleden (2011?) of hebben de Iraniërs het ook bij andere hetzelfde kunstje uitgehaald?
Als ze dat gedaan hebben zijn ze in elk geval nog niet publiekelijk betrapt.
In 2013 was de NSA nog met diezelfde certificaten aan het rommelen. Ik ga er maar veiligheidshalve van uit dat dat nog steeds gebeurd.

nieuws: 'NSA maakte misbruik van lek DigiNotar'

Trouwens nog eens gekeken, nu na een update van Firefox, welke servers er nog staan. Die verouderde Diginotars staan er inderdaad nog steeds tussen! En nog meer verlopen meuk...
sowieso dat laatste en dikke kans dat sommige pagina's ook niet meer correct werken.

[Reactie gewijzigd door Laurens-R op 30 oktober 2017 08:01]

In principe dat de browser verbindingen die op dat certificaat zijn gebaseerd niet meer als beveiligd zal beschouwen. In de praktijk zal de browser dan of een waarschuwing geven, en/of de verbinding niet opzetten.

Deze certificaten kunnen alleen ook binnen een netwerk gebruikt worden, zodat de overheid in principe maar één hoofdcertificaat nodig heeft om voor alle overheidswebsites te beveiligen en te bewijzen dat deze van de overheid zijn. Zodra je browser dat certificaat niet meer accepteert wordt het dus moeilijker of onmogelijk om met de Firefox browser met deze websites te verbinden.
Als ik door het lijstje vertrouwde CAs scroll zie ik veel meer (buitenlandse) entiteiten uit landen waar de inlichtingendiensten onder een veel, veel kleiner vergrootglas liggen dan onze diensten. Ik zou me daar eerder zorgen over maken dan over de CA van de Nederlandse overheid.
Het gaat niet om de CA van de Nederlandse overheid in het algemeen, maar van het ministerie van Binnenlandse Zaken. Hetzelfde ministerie als waar de AIVD onder valt. Dat is een mogelijk belangenconflict binnen hetzelfde overheidsorgaan.
Het gaat wel degelijk om de root CA van de Staat der Nederlanden, welke beheerd wordt door Logius, de ICT organisatie van de overheid welke ondergebracht is bij het Ministerie van Binnenlandse Zaken. Er is geen root CA van MinBiZa. Er is maar één root CA van de Nederlandse overheid.

[Reactie gewijzigd door Hmmbob op 30 oktober 2017 08:50]

Daarom wat het artikel al zegt, er probeert iemand een politiek statement te maken.
Het gaat wel degelijk om de root CA van de Staat der Nederlanden, welke beheerd wordt door Logius, de ICT organisatie van de overheid welke ondergebracht is bij het Ministerie van Binnenlandse Zaken.
Precies. Op naam is hij van de Staat der Nederlanden. In de praktijk draait het op machines en is er controle op door hetzelfde orgaan als waar de AIVD onder valt.

Dat geeft een schijn van belangenconflict, en dat is iets dat je niet wilt hebben als het om CA's gaat. Naar mijn mening moeten CA's hetzelfde vertrouwensniveau hebben als de rechterlijke macht.

[Reactie gewijzigd door The Zep Man op 30 oktober 2017 09:35]

Dan nogmaals mijn punt: scroll eens door de lijst CA's in je browser. De CA van de Nederlandse overheid is dan echt een CA in de categorie waar ik iets meer vertrouwen heb dan anderen.
Dat is wel een heel vergaande ‘macht’ die je aan een CA wil toekennen, en dat zou je zeker niet moeten willen.

De Rechterlijke macht heeft de bevoegdheid om iemand schuldig te verklaren of niet. Een CA is niets meer dan een bedrijf wat aangeeft of een bedrijf/domein/etc zich aan bepaalde regels houdt.

Als je de vergelijking door zou trekken, dan zou een CA dus ook kunnen veroordelen. Dus nee: bij lange na niet zit een CA op hetzelfde niveau van vertrouwen als de rechterlijke macht.
[...]
Naar mijn mening moeten CA's hetzelfde vertrouwensniveau hebben als de rechterlijke macht.
Dan blijft alleen nog de vraag over, in hoeverre jij de rechterlijke macht vertrouwt.
Maar is die CA in staat om wildcard-certificaten (of voor Facebook, Google etc) uit te geven - die iedere browser klakkeloos accepteert omdat het certificaat van een vertrouwde instantie komt? Want dan maakt het dus wel uit zodra hij dat soort certificaten uit geeft voor de AIVD.
Stropopfallacy. Daar gaat het helemaal niet over.
In feite is natuurlijk dat hele systeem met roor CA's zo lek als een zeef. De enige manier om het nog enigzins bruikbaar te houden is un bij elke vorm van misbruik een root CA meteen te verwijderen, zodat ze voorzichtig worden.
De suggestie dat je je hier niet druk om zou moeten maken, omdat er veel ergere "offenders" zijn is nogal een drogreden, Argumentum ad horrendum om specifiek te zijn. Het feit dat er anderen zijn die nog veel minder te vertrouwen zijn maakt het niet minder erg of minder de moeite waard om hier wat mee te doen.
Als jij dat vervelend vind, dan gooi je ze er toch uit. Maar ik denk dat je 'iets' meer te maken hebt met de Nederlandse staat. Al is het maar om je verplichtte jaarlijkse contributie te betalen. Komen ze meteen ff op je pc kijken wat je nog meer hebt in te leveren.

En houd even die WC eend in gedachten
Ook zelf te blokkeren als je het onveilig acht:

https://www.ssl.com/how-to/remove-root-certificate-firefox/ (iets nieuwere versie)

http://www.techfleece.com...in-chrome-firefox-and-ie/

Hebben we gezien bij Diginotar, nu weer relevant 🙂
Ik ben benieuwd of de belastingdienst er genoegen meeneemt als je zegt dat je geen aangifte kon doen omdat ze geen veilige https verbinding hebben :9
Ik vermoed / hoop dat de aangifte tool van de belastingdienst vereist dat het certificaat geldig is. Wat dat betreft kan dit wel vergaande gevolgen hebben.
Ik ben benieuwd of de belastingdienst er genoegen meeneemt als je zegt dat je geen aangifte kon doen omdat ze geen veilige https verbinding hebben :9
Mag je hem op papier gaan invullen, succes ;)
Dat zal de Belastingdienst niet accepteren, er zijn maar een paar uitzonderingen waarin nog papier gebruikt kan worden, maar bv geen geschikte computer hebben is daar niet 1 van, dan ga je maar bij een internetcafe je aangifte doen (en dat wil je al helemaal niet).
Probeer eens een BTW aangifte op papier te doen... kan niet!
Ik weet het. Reden genoeg voor mij om geen bedrijf te beginnen.
Of je vertrouwt em voor die paar minuten dat het nodig is om de aangifte erdoor te krijgen:)
Maar het vervelende is, als je dat doet "ligt het aan jezelf". Terwijl als algemeen bekend is dat hun site het bij iedereen niet doet, de verantwoordelijkheid voor het probleem bij hun komt te liggen.
Wat jij flapdrol noemt is een persoon die op basis van de eigen Nederlandse wetgeving een ticket heeft aangemaakt. Om die dan zomaar op deze manier te demoniseren is op zijn zachts gezegd niet netjes.

En als uit dat onderzoek dan blijkt dat hij het bij het rechtte eind heeft moet daar ook op geacteerd worden. En het certificaat als onveilig terug trekken/ verwijderen. Zo niet dan kan het CA blijven. De techniek valt of staat met correcte procedures.

Anders; doe maar wat met zijn alle. (ben ik voor trouwens, en zal niet lang duren tot er weer "iets van regering" is (reset)).
Probleem is alleen dat er genoeg CA's zijn die al lang misbruikt worden door een hoop overheidsdiensten.. Er zijn geen CA's te vertrouwen, nu niet, nooit niet. Als je denkt van wel, dan ben je wel heel erg naief.
Mijn eigen gegenereerd CA voor mijn eigen netwerk vertrouw ik wel hoor. en de hoofd key ligt in de kluis en niet aan het netwerk op floppy / usb / cd o.i.d.

Nu niet ,nooit niet.... Altijd maar dat generaliseren. Net als vroeger in de klas de sterkste.. vroeger of later kom je een sterkere tegen. Of op zijn minst ruikt hij sterker hahaha

BTW noem er eens één die misbruikt is met naam en toenaam.

[Reactie gewijzigd door Bardman01 op 30 oktober 2017 15:51]

Klopt. En precies daarom is dit verzoek onzinnig. De lijst met CA's is simpelweg de lijst waarvan tot nu toe nog niet bekend is dat er misbruik van is gemaakt. Dat zijn twee essentiële voorbehouden. Maar vanwege die voorbehouden is dit verzoek onnodig.
Is vaak niet zo'n probleem hoor. Valt meestal gratis te doen, zie o.a. het hele Symantec verhaal en reissues.
uhh, PKI certificaten zijn NIET gratis. Het gaat hier niet om een foegiemoekie CA die zomaar certificaten uitgeeft. Denk aan het Diginotar fiasco, dat heeft bedrijven ook veel tijd en geld gekost.
flapdrol?
zonder enig bewijs?
De intentie om sleutels te vervalsen en te misbruiken staat notabene in het wetsvoorstel.
Je praat als een flapdrol zonder kop.
Dit is een goede zaak. Je moet als gebruiker kunnen vertrouwen op een CA. Met de verregaande bevoegdheden die overheden zichzelf toekennen is het duidelijk dat je prive niet meer veilig is voor diezelfde overheid. Dus laten we ervoor zorgen dat ze zo min mogelijk mogelijkheden hebben om zomaar een systeem binnen te dringen.
Blijkbaar moeten private partijen ons tegenwoordig tegen de te gretige overheid beschermen, In wat voor rare wereld leven we inmiddels, 1984 was een waarschuwing, geen handleiding!
Blijkbaar moeten private partijen ons tegenwoordig tegen de te gretige overheid beschermen, In wat voor rare wereld leven we inmiddels, 1984 was een waarschuwing, geen handleiding!
Het zure is dat de overheid ons juist te weinig beschermt tegen private partijen die ten koste van alles (kwaliteit, veiligheid, volksgezondheid, etc) hun winst willen maximaliseren.

En al sinds minimaal de aanslagen van 11 september worden onze rechten ingeperkt en de vrijheden van de overheid op het gebied van data verzamelen en privacy van burgers negeren vergroot. Nederland is misschien niet de allersnelste, maar ze doen gretig mee.
Er is een politiek systeem dat expliciet de samenwerking van overheid en bedrijfsleven predikt omdat dat zo efficient werkt. Dat heerste in de jaren 30 in Italie.
En jij denkt dat ook maar 1 andere CA wel te vertrouwen is? Als ze deze CA gaan bannen, dan moeten ze niet hypocriet gaan zijn, en dan moeten ze dus ALLE CA's gaan bannen, want denk je nu werkelijk niet dat bij Amerikaanse CA's hun overheidsdiensten ook niet zomaar certificaten kunnen laten maken.. think again.
Oh! Ik ga helemaal voor zijn. Als zij (de regering) verregaande aftap mogelijkheden willen, dan moeten wij (de tweakers, het technische volk) er gewoon voor gaan zorgen dat al hun beveiligde verbindingen niet meer vertrouwd worden. Geen fysieke revolutie mogelijk met het passieve volk in Nederland? Dan maar op technisch vlak \o/
Het is alleen vrij nutteloos. Mocht deze CA de regels overtreden en rogue-certificaten gaan uitdelen voor de AIVD dan kun je optreden; daar zijn gewoon regels voor en daar moet een CA zich aan houden en anders kun je hem intrekken. Ze gaan hem echt niet weg halen zonder dat er iets gebeurd is.

En dan nog, als je een CA niet vertrouwd dan kun je zelf de status ervan intrekken. Zelfs de chinese overheid heeft een door browsers vertrouwd CA.
Tsja, uiteindelijk heeft de burger hier zelf het meeste last van. De overheid gaat wel door en als jij je aangifte niet meer online doet vanwege een "revolutie" dan heb je toch pech, lijkt me. En als we dan weer meer dingen op papier gaan doen dan betaal je dat als burger ook gewoon weer via die belastingen waarvoor je aangifte doet.

Verder wel grappig natuurlijk :-)

[Reactie gewijzigd door vickypollard op 30 oktober 2017 08:10]

Dan maak ik alleen voor die aangifte wel een eenmalige uitzondering, in een aparte browser sessie.
Met deze instelling kom je natuurlijk nooit ergens. Zat voorbeelden dat een overheid zijn gedrag/beleid aanpast na demonstratie, ook zat voorbeelden van het tegendeel, maar zonder protest gaat de overheid idd sowieso wel door.

Daarnaast kan je prima je aangifte doen over een niet-beveiligde danwel niet-vertrouwde verbinding.
Ik reageerde voornamelijk op dat cavey het had over een revolutie. Dit is dus geen revolutie.

De overheid zit helaas in een positie waar ze dingen door je strot kunnen duwen. Er is wat meer nodig dan een certificaat om dat te veranderen.

En dat "met die instelling nooit" is ook een beetje een dooddoener. Je moet alles dus maar toejuichen?

[Reactie gewijzigd door vickypollard op 30 oktober 2017 08:28]

Het is niet dat aftappen door AIVD/MIVD dan niet meer mogelijk is. Dit is dan enkel een hindernis voor hun, meer niet. Daarnaast mogen ze ook sleepnetten opzetten om op grotere schaal benodigde informatie te vergaren.
Ik denk niet dat ze hier van onder de indruk zullen zijn. Straks gaan we weer terug naar de tijd dat je veel websites alleen met Internet Explorer kon bezoeken. Als Firefox een foutmelding geeft op overheidspagina's zullen ze simpelweg adviseren om een andere browser te gebruiken.
Als je zelf al de certificaten van je computer wil verwijderen kan dat alvast
  • Open MMC
  • onder het file menu, klik op Add snap-ins
  • selecteer certificates
  • in het dialoogscherm selecteer je computer cerificates
  • daarna open je trusted root certification authorities
  • in het mapje Certificates zie je nu alle Root authorities
  • selecteer Staat der Nederlanden Root CA - G2, druk op rechtermuistoets en klik op delete
  • doe hetzelfde voor Staat der Nederlanden Root CA - G3
Zojuist ook een e-mail met de volgende tekst naar microsoft gestuurd: even kijken hoe ze dit oppakken:


Dear Sir/Madam.

I write this message to notify you that windows recently became vulnerable to MitM attacks from state actors..

The new "Wet op de inlichtingen- en veiligheidsdiensten (Wiv)" (Law for intelligence and security services) has been accepted by the Dutch Government. Provisions authorizing new powers for the dutch intelligence and security services will become active starting January 1st, 2018.

This revision of the law will authorize intelligence and security to intercept and analyze cable-bound (Internet) traffic, and will include far-reaching authorizations, including covert technical attacks, to facilitate their access to encrypted traffic.

Article 45 1.b, explicitly authorizes the use of "false keys" in third party systems to obtain access to systems and data.

The continued inclusion of the "Staat der Nederlanden" Certificate Authority, which is operated by PKIOverheid / Logius, a division of the Ministry of Interior and Kingdom Relations-- the same ministry under which the AIVD intelligence service operates-- in Microsoft products is therefore no longer appropriate.

The full text of the law may be found here https://www.aivd.nl/binar...iv+2017+in+Staatsblad.pdf

I would urge you to Revoke trust for Staat der Nederlanden CA. Allowing the Ministry of Interior and Kingdom Relations to continue operating a trusted CA in a country hosting a major Internet transit point would be detrimental to the security of all Microsoft users.

Met vriendelijke groet / Kind regards,

Ronald Achternaam

[Reactie gewijzigd door Ron op 30 oktober 2017 11:07]

Je hebt het over Mozilla products? Je bedoelde Microsoft products?
Ik gok dat het een copy/paste van de tekst is van iemand anders aan Mozilla, en vervolgens verkeerd aangepast. :P
Fijn om eens goed Engels te lezen.
Dan moet dat maar: je gebruikt Firefox als normale browser waarbij de overheid geen valse certificaten onder hun CA kan misbruiken om de verbinding te hijacken en Internet Explorer voor je overheidszaken waarbij je weet dat je een verbinding met de overheid op moet zetten. Hier valt ook niets af te luisteren want je verbindt al met de overheid.
En wie zegt dat de CA die Firefox wel toestaat wel betrouwbaar is, denk je nu werkelijk dat amerikaanse CA's te vertrouwen zijn dat ze geen valse certificaten uitgeven tbv hun overheidsdiensten?
Niemand. Deze oplossing is dan ook eigenlijk meer symbolisch dan praktisch.
Sterker nog, we weten (Patriot Act) dat de CA's door de Amerikaanse overheid gedwongen kunnen worden. En niet alleen kunnen Amerkiaanse CA's niet vertrouwd worden, als een niet-Amerikaanse CA niet meewerkt dan kan de NSA ook Microsoft, Mozilla en Google juist dwingen om die CA af te voeren van de lijst van vertrouwde CA's. Dat is het commercieel einde voor zo'n CA, dus de NSA kan ook buitenlandse CA's verplichten om mee te werken.

Eigenlijk de enige CA's die ongevoelig zijn voor commerciële druk zijn de Staats CA's - precies zoals onze Nederlandse Staats-CA. Maar dat is precies omdat ze onder controle van een ándere staat staan.
Als Chrome het ook gaat doen gaat het wel degelijk helpen.

En Internet Explorer? Het is geen 1998 meer ;)
Dat mogen ze niet in verband met de standaard voor Toegankelijkheid.
Maar wat is nu eigenlijk de scope van het mogelijke misbruik?
Maakt dit het voor de AIVD mogelijk om in één keer de PC's van alle bezoekers van een bepaalde site automatisch te 'scannen' op bepaalde inhoud? Of maakt het dit gewoon makkelijker om gericht één PC binnen te komen?
M.a.w. zet dit in één keer alle deuren open, waardoor de AIVD automatisch alle PC's die bv. belastingaangifte doen binnen kan dringen en automatisch doorzoeken op extremistische inhoud? Of is het een middel dat alleen ingezet kan worden om gericht een PC van een verdachte binnen te dringen?

Edit: Onderstaande antwoorden van @Pinkys Brain , @dmantione en @CH4OS bevestigen het vermoeden dat ik had. Het is dus te vergelijken met het gebruiken van mijn sleutelcertificaat om mijn voordeursleutel na te laten maken (qua benadering, niet qua werking van MitM uiteraard).
Er moet dus gericht een verdachte zijn waarvan ze iets willen weten. Op zich heb ik er niet zoveel moeite mee wanneer dergelijke middelen bij een gerede verdenking worden ingezet. Het probleem is alleen dat er iets te weinig toezicht is op de AIVD en dergelijke organisaties of het middel het doel wel heiligt.

[Reactie gewijzigd door CivLord op 30 oktober 2017 10:26]

Je kunt bijvoorbeeld denken aan:
  • Doelwit maakt gebruik van Tweakers
  • Tweakers gebruikt https://
  • Verkeer kan dus niet afgetapt worden
  • AIVD maakt valse website van Tweakers, die er identiek uitziet als het origineel
  • Https wordt gerealiseerd met valse sleutel
  • Internetaanbieder krijgt een bevel om het verkeer van het doelwit naar Tweakers om te leiden naar de valse website van de AIVD.
  • Doelwit bezoekt Tweakers.
  • Alles lijkt net echt, website heeft een keurig certificaat
  • AIVD krijgt al het verkeer tussen het doelwit en Tweakers te zien. Bijvoorbeeld krijgen ze het wachtwoord in handen, wat het doelwit wellicht ook voor andere websites gebruikt.
Nu gebruikt Tweakers geen certificaat van de Staat der Nederlanden, maar bij iedere website waar dat wel zo is kan deze truuk dus toegepast worden.

@Liberteque: Typo's zijn verbeterd.

[Reactie gewijzigd door dmantione op 30 oktober 2017 10:31]

De valse website is niet hoe het gaat met een MITM, dan ben je namelijk geen man in the middle meer ;)

Wat er gebeurd is dat de SSL (https) er af gestript word met een proxy en er een nieuw certificaat op komt waardoor het in orde lijkt. Zo blijft de echte communicatie op gang en heb je toch inzicht.
Ja, en wel frappant is dat je tegenwoordig met een browser zoals Chrome veel dieper moet zoeken naar de certificate chain.

Vroeger kon je gewoon op het slotje klikken om te zien door welke Root CA het was ondertekend. Nu moet je helemaal diep in de developer tools wroeten.
Ja idioot hoe lastig dat is geworden. F12 -> security tabje nu inderdaad.

Er zijn heel veel klachten over geweest maar blijkbaar zien ze dat niet als reden om het aan te passen.
In edge is de optie nog steeds niet aanwezig om het certificaat te controleren. En dat noemt Microsoft een "secure" browser.
Het certificaat (fingerprint) niet, maar je kan in elk geval wel de naam van de Root CA provider zien (klik op het slotje en hij zegt "Entrust has identified this site as ING BANK N.V. NL".

Dat is al een stap in de goede richting, zo kan ik op mijn werk in elk geval zien dat de bank sites niet door de MITM sniffer proxy worden gelogd. Want dan klopt het Root CA niet. Bij Chrome moet ik dan helemaal door de developer tools heen.

Inderdaad zie ik ook veel liever gewoon de complete certificaat tree met alle uitklapmogelijkheden om elk veld te bekijken. Gebruik ik in Safari ook vaak. Firefox heeft het ook. En IE natuurlijk, al is dat eigenlijk geen courante browser meer.
En dan zelf 'spelling nazi' schrijven :')
En dan niet eindigen met een punt. ;-)

(Mierenneuken is ook een vak hoor.)

dmantione had gewoon een zinnig stuk geschreven en dat werd een beetje onderuitgehaald door slordig typen, waarschijnlijk gehaast of zo maar dat maakt niet uit. Hij/zij heeft het ook inmiddels verbeterd zodat ook zijn boodschap nu beter overkomt.
Een man-in-the-middle-aanval is wat tot de mogelijkheden behoort. Dus nee, dit zet niet in een keer alle deuren open voor de AIVD/MIVD. Wel is dit een redelijk makkelijke handeling die de AIVD/MIVD hierdoor wel zou kunnen doen.

Echter wordt het wel lastig om het vertrouwen in deze CA in te trekken, diensten als DigiD bijvoorbeeld maken ook gebruik van Staat der Nederlanden als uitgever van het certificaat. En aangezien DigiD ook steeds meer gebruikt wordt, zal de impact best groot worden als dit er inderdaad doorheen komt. Ik moet het dus nog maar zien gebeuren, dat het certificaat ingetrokken wordt. Daarnaast is natuurlijk ook de vraag wat andere browser-bouwers (Google, Apple, Opera, e.d.) dan gaan doen.

[Reactie gewijzigd door CH4OS op 30 oktober 2017 09:54]

En aangezien DigiD ook steeds meer gebruikt wordt, zal de impact best groot worden als dit er inderdaad doorheen komt.
Je zet gewoon een VM op met een browser die specifiek die CA wel vertrouwt, maar default vertrouw je hem niet.
Nederland - en gebruikers met DigiD - zijn echter wel groter dan de Tweakers Community, dus ik denk niet dat dit voor de miljoenen gebruikers die DigiD hebben gaat werken. Ik ga er in elk geval geen specifieke VM voor optuigen. ;)

[Reactie gewijzigd door CH4OS op 30 oktober 2017 10:52]

In iets als Qubes of met iets als Docker zou dat niet zo moeilijk moeten zijn.

Ik ga er van uit dat hij standaard gewoon er in blijft tot abuse is ontdekt.
Zou niet moeten zijn... Daar ga je al. ;) Bedenk je dat er in NL best veel mensen zijn die blij zijn dat ze de PC aan en uit krijgen en dat er mensen zijn die zo min mogelijk met een PC willen werken. ;) Ook Docker / containers gaat echt niet helpen. Ook dat is iets wat ik niet wil draaien als ik contact zoek met de overheid; het is gewoon te omslachtig en veel mensen zullen dat niet werkend krijgen, waardoor het als drempel gezien wordt.

[Reactie gewijzigd door CH4OS op 30 oktober 2017 12:05]

Mwah. Als je in Windows met bijv Hyper-V gewoon in een window een browser open kunt hebben, en die VM wordt gedeeld en geaudit, dan kun je vrij ver komen. Dan is het niet veel ingewikkelder dan een software update op een telefoon uitvoeren. Doen ook veel mensen niet, maar da's hun eigen probleem.

Heb je niet iets van certificate pinning in de browser zelf? Dat je aan kunt geven dat een certificaat en z'n children alleen gebruikt kunnen worden voor bepaalde domeinen?
Mwah. Als je in Windows met bijv Hyper-V gewoon in een window een browser open kunt hebben, en die VM wordt gedeeld en geaudit, dan kun je vrij ver komen. Dan is het niet veel ingewikkelder dan een software update op een telefoon uitvoeren. Doen ook veel mensen niet, maar da's hun eigen probleem.
Als die mensen een software update al niet doen, kunnen of willen, hoe kun je dan wel verwachten dat ze (iig) diskspace gaan opofferen om van DigiD gebruik te kunnen blijven maken? ;) Ik heb dat er echt niet voor over, voor die paar keer dat ik DigiD nodig heb per jaar.

Een veel handigere oplossing zou dan zijn om DigiD een nieuw certificaat te geven natuurlijk, van een CA die dan nog wel vertrouwd wordt. ;) En hoeft niemand allerlei moeilijke barrières te doorlopen. ;)
Die oplossing hangt af van de overheid.

Wanneer Mozilla dit certificaat blokkeert, zullen Firefox gebruikers gewoon (tijdelijk) een andere browser gebruiken. Pas als de grote 2 het blokkeren kom je ergens.
Ten tijde van DigiNotar is er een aparte patch geweest, zodat DigiD gewoon bleef werken, mede omdat het toen al (6 jaar geleden alweer!) te groot was. DigiD wordt intussen nog meer gebruikt dan toen - ondanks dat het aanvankelijk beperkt gebruikt zou worden en het niet voor pensioenen en zorgverzekeraars gebruikt zou worden - denk ik dat deze bug afgeschoten gaat worden als 'wont fix'.

[Reactie gewijzigd door CH4OS op 30 oktober 2017 19:04]

Kan Google over het algemeen weinig schelen, die knikkeren de staat er net zo makkelijk uit als Diginotar. Of elk nieuw certificaat per direct transparant.

Als ze aan Too Big To Fail gaan doen word daar gegarandeerd misbruik van gemaakt.

[Reactie gewijzigd door Pinkys Brain op 30 oktober 2017 13:10]

Nee, dan vallen ze door de mand. Het meest veilige voor hun is als ze voor een specifieke gebruiker een mitm aanval doen, en dan later de computer stelen of vernietigen.

Dit kan zo lang als certificate transparency nog niet verplicht is. Dit is opgeschort naar volgend jaar.
Edit: Onderstaande antwoorden van @Pinkys Brain , @dmantione en @CH4OS bevestigen het vermoeden dat ik had. Het is dus te vergelijken met het gebruiken van mijn sleutelcertificaat om mijn voordeursleutel na te laten maken (qua benadering, niet qua werking van MitM uiteraard).
Er moet dus gericht een verdachte zijn waarvan ze iets willen weten. Op zich heb ik er niet zoveel moeite mee wanneer dergelijke middelen bij een gerede verdenking worden ingezet. Het probleem is alleen dat er iets te weinig toezicht is op de AIVD en dergelijke organisaties of het middel het doel wel heiligt.
Een dergelijke aanval hoeft juist voor een overheid niet op één gedachte gericht te zijn. Door gebruik te maken van de nieuwe wiv mag een groot sleepnet worden uitgegooid waarin ze normaal gesproken geen https kunnen uitlezen. Door de site met een eigen certificaat naar de personen binnen het sleepnet door te sturen kunnen ze wel de https verbinding inzien.
Terecht..
maar, worden deze certificaten ook door derden gebruikt?
anders maakt het geen verschil voor welke data ze kunnen roven?
Het doel van dit bugreport lijkt me niet om het roven van data tegen te gaan, maar meer om de overheid te pesten.
Overheid te pesten ? De overheid kan gewoon een Mitm aanval opzetten en alle SSL certificaten vervangen door haar eigen SSL certificaat en niemand die 123 iets doorheeft
En dat kunnen de andere CA's niet? Wat dat betreft is het vertrouwen van onbekende grote bedrijven als CA wellicht een beetje een achterhaald concept om het internet te laten werken. Is er geen ander werkend concept die niet het vertrouwen van CA's als kader heeft?
Precies een root-CA moet te vertrouwen zijn. De nederlandse overheid geeft dus in een wet aan dat ze niet ten alle tijden kunt vetrouwen en dus is het root-CA van de nederlandse overheid niet te vertrouwen.

De rest van de root-CA zijn op basis van vertrouwen tot tegendeel blijkt.
Veel CA's zijn toch ook Amerikaanse bedrijven die ook allang onder dergelijke dingen vallen? Vind het een beetje stemmingmakerij dat dit nu ineens een ding is. Of zal dit daadwerkelijk de eerste CA zijn die onderhevig is aan bepaalde bevoegdheidsregels van een land?
En hoeveel van die root-CA's zijn onder de aandacht gebracht op deze manier? Deze is de eerste waarover ik het lees. En je moet toch ergens beginnen? Dus stemmingmakerij kan ik het niet noemen als het eens onder de aandacht gebracht wordt.
CA’s die niet te vertrouwen zijn worden er uit gehaald, dus die zullen hier niet snel aan meewerken. Zoek anders eens op StartTLS, die zijn ook verwijderd. Of op DigiNotar.
Ik weet niet of pesten het juiste woord is, zie het eerder als een signaal afgeven naar in eerste instantie de overheid, maar (als het verzoek wordt ingewilligd) ook naar de mensen die de websites gebruiken die deze certificaten gebruiken. Er is gewoon geen garantie dat verkeer van en naar deze websites niet door de AIVD onderschept worden, dus de browser zou de verbinding niet als "veilig" moeten markeren.
Het gaat niet om de certificaten voor overheidsdiensten, het gaat erom dat deze CA ook certificaten voor *.google.nl kan uitgeven aan de aivd om zo een verbinding te MitM'en zonder dat de gebruiker een veiligheidswaarschuwing krijgt.
Dit is natuurlijk geen probleem als dns-beheerders gewoon CAA-records toevoegen.
https://www.sslcertificat...minologie/CAA_DNS_Records
Gezien hoeveel domeinen bijvoorbeeld spf records hebben..
De browser herkent dit direct omdat Google gebruik maakt van Public Key Pinning
Dit is al meer dan twee weken geleden aangevraagd, en lijkt er niet op dat het nu heel erg aannemelijk is, dat deze certificaten binnenkort untrusted zullen zijn; kijkende naar de comments onder dit ticket.


Krijg weer beetje sensati-gevoel bij dit artikel, en dat het allemaal zoveel mogelijk "in kannen en kruiken" probeert te laten lijken; behalve het laatste zinnetjes natuurlijk.

Niet dat ik dit een geniale ingeving vind, en zover ik kan begrijpen, ook helemaal terecht.

[Reactie gewijzigd door GuruMeditation op 30 oktober 2017 08:25]

Juist die afluister praktijken van overheden is voor mij als framework maker de reden om de boel te gaan beschermen met CAA!
Juist om te verhinderen dat er een MITM-aanval gedaan kan worden op de updater die de hele site kan aanpassen.
Tweakers is al een tijdje bezig met hun agenda om gebruikers tegen de sleepwet opzetten. Ook al ben ik het in principe met Tweakers eens en ben ik tegen de sleepwet, een website als deze hoort geen agenda te hebben. Ik stoor me hier behoorlijk aan. Tweakers moet gewoon puur objectief zijn, niet dit soort politieke spelletjes spelen.

[Reactie gewijzigd door unilythe op 30 oktober 2017 08:31]

Ik zie geen reden waarom een publicatie niet voor haar gebruikers/klanten op zou mogen komen. Tweakers is een publicatie voor computergebruikers, de sleepwet brengt schade toe aan computergebruikers, er is geen reden waarom Tweakers geen actieve rol zou mogen spelen in het tegengaan van de sleepwet.

Noem eens 1 objectieve publicatie...
Dit is natuurlijk glad ijs. Is Tweakers een nieuwssite en bedrijven ze journalisme, of is het vooral een fansite?

Wat mij betreft zetten ze zichzelf met de berichtgeving rondom de Sleepwet nadrukkelijk in de hoek van het tweede, of op zijn best als belangenbehartiger. Dat mag, en is een vrije keuze voor de redactie, maar dat heeft wel gevolgen voor hoe ik (en anderen) de site in de toekomst zullen benaderen.

Ik mis echt een stuk objectiviteit en dat is verschrikkelijk jammer omdat Tweakers bij uitstek het nieuwsmedium is dat dat zou moeten kunnen brengen op dit onderwerp. Kennelijk hebben ze geen journalist/stukjesschrijver die zijn persoonlijk antipathie jegens de sleepwet opzij kan zetten om er een goed en objectief stuk over te schrijven.

Het feit dat ze het niet eens proberen, of desnoods iemand inhuren om het te doen, zegt genoeg over de agenda die ze hebben op dit onderwerp. En die begrijp ik, want ook ik ben kritisch (doch niet volledig afwijzend) tegenover deze wet.
Jij lijkt er precies hetzelfde tegenover te staan als ik, inclusief je laatste zin. Ik had het niet beter kunnen verwoorden.

[Reactie gewijzigd door unilythe op 30 oktober 2017 15:53]

Ik zie geen reden waarom een publicatie niet voor haar gebruikers/klanten op zou mogen komen.
Dat is geen journalistiek, en dat is dus ook exact het probleem van commerciele nieuwspublicaties die geen helder redactiestatuut hebben waarin inhoudelijke en commerciele belangen gescheiden worden. Zonder die scheiding krijg je 'wiens brood men eet, diens woord men spreekt' - je moet immers je lezers te vriend houden, anders lopen ze weg, en gaan je inkomsten achteruit. En dat doe je het makkelijkst door ze naar de mond te praten.
Noem eens 1 objectieve publicatie...
De grote nieuwsmedia in Nederland zijn grosso modo in hun berichtgeving objectief.

[Reactie gewijzigd door Iknik op 30 oktober 2017 11:31]

De grote nieuwsmedia in Nederland zijn grosso modo in hun berichtgeving objectief.
Als je dat echt denkt, ben je bijzonder naïef.

Nieuws kan niet eens objectief verslagen worden, het is geen wetenschap.
Als je dat echt denkt, ben je bijzonder naïef.
Want?
Omdat ieder nieuwsmedium een gekleurd beeld plaatst door woord-, geluid-, of beeldgebruik weg te laten, te knippen, te overdrijven, enz.
Ieder nieuwsitem moet een verhaal zijn, anders is er niets van te volgen (krijg je een opsomming van feiten, kijkt/luistert/leest niemand), en daardoor moet men er kleur in brengen.
Het is inherent aan het verslaan van nieuws, doe je dat niet, heb je geen ontvangers, en overleef je het als medium niet.

Daarom de uitdaging 'noem 1 objectieve publicatie', ik weet namelijk zeker dat dat niet lukt.
Daarom de uitdaging 'noem 1 objectieve publicatie', ik weet namelijk zeker dat dat niet lukt.
Dat is een vals dilemma, 1 bron is nooit genoeg. Ik zei ook niet dat er 1 objectief medium is, ik zei dat wanneer je de grote media in Nederland volgt je een redelijk obejctief beeld krijgt.
Ieder nieuwsitem moet een verhaal zijn, anders is er niets van te volgen (krijg je een opsomming van feiten, kijkt/luistert/leest niemand), en daardoor moet men er kleur in brengen.
Dit is trouwens een misvatting. Je kunt heel goed een verhaal brengen zonder een standpunt in te nemen. Dat is nou net de kunst van goede journalistiek.

[Reactie gewijzigd door Iknik op 31 oktober 2017 10:11]

Hoezo click bait? De titel bevat toch geen onjuistheden met als doel gebruikers dit artikel te laten openen?
Click bait misschien niet het goede woord, maar sensatie-zucht heeft het wel mee te maken denk ik.

En "Mozilla is gevraagd" klinkt toch een stuk sensationeler en officieler dan "bug ticket aangemaakt"

Op de letter klopt het natuurlijk wel, maar kan wel een vertekend beeld geven, van wat er daardwerkelijk gaande is, naar mijn menning.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*