Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar

Browsermakers hebben het vertrouwen in ssl-autoriteit DigiNotar defintief opgezegd. Dat betekent dat browser bij sites die gebruik maken van DigiNotar-certificaten, zoals Nederlandse overheidssites en DigiD, foutmeldingen gaan geven.

Na een update geeft Firefox daarom foutmeldingen bij alle ssl-certificaten van DigiNotar, meldt Mozilla in een blog. Andere browsermakers doen hetzelfde, meldt Mozilla. De verwijdering van DigiNotar-certificaten is definitief, zegt Mozilla.

De browserbouwer geeft drie redenen voor de verwijdering: DigiNotar stelde Mozilla niet tijdig op de hoogte, terwijl er ook valse certificaten voor Mozilla.org zijn uitgegeven bij de hack anderhalve maand geleden. Daarnaast is het onduidelijk hoeveel gevolgen de hack heeft gehad en worden vervalste certificaten in de praktijk ook misbruikt.

De stap volgt enkele uren nadat minister Donner bekendmaakte de banden met DigiNotar te verbreken. Uit een niet-gepubliceerd rapport van beveiligingsbedrijf Fox-IT zou blijken dat de veiligheid van PKIoverheid-certificaten, onder meer die van de elektronische identificatie DigiD, niet gegarandeerd kon worden. De overheid neemt de certificaten tijdelijk in eigen beheer, totdat er een overeenkomst wordt gesloten met een nieuwe ssl-autoriteit.

Nu de overheid en de browsermakers het vertrouwen hebben opgezegd, werken de ssl-certificaten binnenkort niet meer in alle grote browsers. Dat maakt de certificaten van het bedrijf uit Beverwijk zo goed als waardeloos. Daarmee is het bedrijf, dat begin dit jaar is overgenomen door het Amerikaanse Vasco, zijn bron van inkomsten kwijt.

DigiNotar kwam afgelopen week in opspraak, toen bleek dat vervalste certificaten door de Iraanse overheid zijn misbruikt om Gmail-verkeer van eigen burgers af te tappen. Niet lang daarna werd duidelijk dat het bedrijf was gehackt. Wie de hackers waren en hoe de hack is uitgevoerd, is nog altijd onduidelijk.

Overheidssites zullen komende tijd wel blijven werken. Donner adviseerde gebruikers wel om niet verder te gaan als de browser foutmeldingen geeft. Het tijdelijk offline halen van diensten als DigiD zouden te grote gevolgen hebben, meent de minister.

Foutmelding Firefox bij Diginotar-certificaat

Reacties (136)

Bananenspin 3 september 2011 10:10

Misschien is dit al bij een eerder bericht gesteld maar, waarom zit dit hardcoded en werkt het pas na een update? Enige wat ik zou kunnen bedenken dat als je het dynamisch ophaalt hackers hier misschien ook tussen kunnen zitten maar daar moet toch vast wel iets op te vinden zijn? Je hebt ook mensen die niet zo vaak updaten en die geen tweakers lezen dus die hebben hier helemaal geen weet van.. is dit bij alle browsers zo, dat het hardcoded is?

pe1dnn @Bananenspin • 3 september 2011 10:57

Misschien is dit al bij een eerder bericht gesteld maar, waarom zit dit hardcoded en werkt het pas na een update?

Online lijkt me een probleem want wat dan als het controle kanaal wordt onderschept, dan sta je met lege handen. Dus als er onverhoopt een vals certificaat in omloop komt van de site waar de online controle op certificaten plaatsvind. Je moet het netwerk niet vertrouwen totdat het geverifieerd is en dat geld dus ook voor de netwerk verbinging voor de online controle.

Door het hardcoded in de browser te stoppen is het kennis in de client waar je niet zomaar met een hack bij kan komen en zeker niet op grote schaal, anders dan een vervalste versie van de browser verspreiden. Maar daar heb je dan weer SHA1 of MD5 checksums voor. Dat is in elk geval vele malen moeilijker om ongemerkt te doen.

t_captain @pe1dnn • 3 september 2011 11:29

De oplossing daarvoor is dat de browser wordt geleverd met een ingebouwd root certificaat van de browser-fabrikant. Alle certificaat-wijzigingen die via internet worden opgehaald, worden ondertekend met dit root certificaat van de browser.

Dat is net zo veilig als het direct met de browser meeleveren van de root certificaten.

Uiteindelijk leun je op de integriteit van het download van de browser zelf. In dat opzicht is het precies even veilig als de weg via het software-update kanaal.

TERW_DAN @Bananenspin • 3 september 2011 10:23

Bij Internet Explorer (in elk geval de nieuwe versies van Vista en 7) worden de SSLcertificaten realtime gecheckt. Als MS dus wijzigingen hierin aanbrengt (zoals het intrekken van de Diginotar rootcertificaten wat ze laatst hebben gedaan: http://www.microsoft.com/...ity/advisory/2607712.mspx), dan hoeft de gebruiker dus niet eerst de browser te updaten, maar krijgt hij gelijk een melding voor z'n neus.

Bij oudere IEversies is dat niet zo (XPusers moeten nog een update draaien), maar users die een modern OS draaien hebben er dus een stuk minder last van. Echt hardcoded zoals bij bijv Firefox is gedaan is dat bij IE dus niet zo.

DDX @TERW_DAN • 3 september 2011 10:29

Werkt alleen niet 100% [Win7 IE9] automatisch updaten trusted root certificates

Anoniem: 126717 @Bananenspin • 3 september 2011 12:37

Pale Moon gebruikt dezelfde code als FF, maar heeft aangekondigd geen update te doen. Ze verwijzen naar een methode om het handmatig te doen.
Je moet dus weten dat er certificaten zijn ingetrokken, en zelf rommelen. Erg onhandig, en niet bijster veilig?

Anoniem: 340068 @Anoniem: 126717 • 3 september 2011 14:26

Pale Moon gebruikt dezelfde code als FF, maar heeft aangekondigd geen update te doen. Ze verwijzen naar een methode om het handmatig te doen.
Je moet dus weten dat er certificaten zijn ingetrokken, en zelf rommelen. Erg onhandig, en niet bijster veilig?

Inderdaad.. Net of iedereen die pale moon draait de website in de gaten houdt en dit berichtje leest

Pixeltje

3 september 2011 11:27

Overheidssites zullen komende tijd wel blijven werken. Donner adviseerde gebruikers wel om niet verder te gaan als de browser foutmeldingen geeft. Het tijdelijk offline halen van diensten als DigiD zouden te grote gevolgen hebben, meent de minister.

Wacht even..: Alle browsers gaan foutmeldingen geven bij diginotar ssl certificaten, en als je zo'n foutmelding krijgt (wat dus onvermijdelijk is) kun je beter niet verder gaan naar de site waar je heen wilde.

DigID is dus onbereikbaar, want je krijgt een foutmelding mbt het certificaat. Met andere woorden; Niemand kan DigID gebruiken momenteel.

Toch zegt de minister dat DigID uit voorzorg offline halen niet kan, omdat het te grote gevolgen heeft. Wat is nu het verschil tussen er niet heen kunnen door een certificaatfout, en er niet heen kunne omdat de site offline is?

doeternietoe @Pixeltje • 3 september 2011 11:50

Inderdaad, heb vanochtend de persconferentie van minister Donner beluisterd en had niet de indruk dat hij de materie helemaal begreep. Enerzijds zegt de overheid volledig het vertrouwen op in diginotar en is er voor de gebruiker dus geen verschil meer zichtbaar tussen het authentieke certificaat van bijvoorbeeld digid.nl en een nepcertificaat voor dat domein; anderzijds wordt deze website en andere websites niet offline gehaald.

Volgens de minister had dat te maken met interne communicatie, die dan onmogelijk zou worden. Ik vraag me dan af, hoe kan de veiligheid van interne communicatie worden gegarandeerd op dit moment?

Wat ik ook kwalijk vindt, is de informatie op overheidswebsites. Op digid.nl wordt onder het kopje "laatste nieuws" vermeldt "Betrouwbaarheid DigiD website niet in geding". Govcert.nl beweert nog steeds dat "Certificaten van 'De Staat der Nederlanden' op dit moment nog te vertrouwen [zijn]". (http://www.govcert.nl/die...scertificaat-ontdekt.html)

Ik begrijp dat het tijd kost om de procedures te doorlopen om nieuwe certificaten aan te vragen bij de andere certificeringspartners, maar mijns inziens is er genoeg tijd geweest om in ieder geval de informatievoorziening up to date te houden.

R-J_W @doeternietoe • 3 september 2011 16:19

En wat zou het voor zin hebben om digid.nl offline te halen?

Mensen die echt iets moeten kunnen het nu nog gebruiken en zodra het nieuwe certificaat geüpload is is het probleem voorbij.

Het enige risico zou zijn dat er ergens iemand nou toevallig voor digid.nl een vals certificaat heeft laten maken bij Diginotar en dat nu gebruikt om iemands verkeer af te luisteren. Maar daarvoor moet hij wel eerst dat verkeer onderscheppen ...
Vindt je nou echt dat digid.nl daarvoor offline moet? Dan kun je alle sites die ssl gebruiken wel offline halen.

doeternietoe @R-J_W • 3 september 2011 17:31

Alle sites met SSL offline halen is onzin, want op andere certificate authorities is niet ingebroken.

Het enige risico zou zijn dat er ergens iemand nou toevallig voor digid.nl een vals certificaat heeft laten maken bij Diginotar en dat nu gebruikt om iemands verkeer af te luisteren. Maar daarvoor moet hij wel eerst dat verkeer onderscheppen ...

Dat is dus niet waar.

Omdat diginotar van de lijst met trusted root CA's is gehaald, is er geen verschil meer zichtbaar voor de gebruiker tussen het originele certificaat van diginotar voor digid.nl en ieder willekeurig certificaat, dat door iedere willekeurige persoon kan worden gemaakt. Het is niet verschrikkelijk moeilijk om zelf SSL certificaten te maken. Zelfgemaakte certificaten leveren echter altijd een melding op in de browser. Nu diginotar van de lijst is gehaald met trusted authorities, is het verschil niet meer te zien.

Iedere systeembeheerder op een groot netwerk kan nu een man-in-the-middle attack uitvoeren op verbindingen met digid.nl, omdat het verschil tussen zijn homebrew certificaat en dat van diginotar/PKI Overheid niet meer te zien is. (voor de gebruiker die enkel op het slotje en de waarschuwing let, althans)

corl @Pixeltje • 3 september 2011 11:50

Het rare is dat de https site van digid.nl helemaal geen fout melding geeft (in firefox dan). Er lijkt dus niets aan de hand. Ik denk dat voordat je een fout melding krijg je eerst je bouwser moet updaten? (Hoe vaak doet iemand dat?)
De meeste mensen zullen er waarschijnlijk nooit iets van merken.

XBL @Pixeltje • 3 september 2011 15:51

Het verschil is dat je een certificaatfout kan negeren, maar je niet kan inloggen als een site offline is. DigiD is een dienst die voornamelijk door particulieren wordt gebruikt en dus heel erg aanspreekt. Maar ook bedrijven communiceren met de overheid (m.n. belastingdienst) en ook daar gebruiken ze diginotar certificaten. Als bedrijf zal je wss maar de melding gaan negeren, omdat je anders de belastingdienst in je nek krijgt (bijv).

Vandaar het advies om niet verder te gaan. In de praktijk zal je zien dat het gros van de mensen gewoon gebruik blijven maken van de diensten, zelfs als ze certificaaterrors krijgen. Leuk is dit, want veel van diezelfde mensen zullen niet meer begrijpen waarom de bank er zo op hamert dat het balkje groen moet zijn.

joey6666 3 september 2011 11:33

Nu.nl is er achter gekomen dat van de ontdekking van de inbraak op 19 juli nooit door Diginotar aangifte is gedaan!
http://www.nu.nl/internet...d-geen-aangifte-hack.html

Dit is altijd een gevoelig punt bij ICT bedrijven die zich met security onderwerpen bezig houden, aangifte doen betekent toch gezichts/imago verlies, vooral als de aangifte uitlekt naar de media

Bierkameel 3 september 2011 10:11

Dat is goed nieuws, Diginotar is een schande voor de SSL wereld, de overheid was er trouwens wel erg laat mee, eerst hadden ze nog vertrouwen in Diginotar maar nu toch schijnbaar niet, waarschijnlijk hebben ze zich nu wel goed laten voorlichten.

SacreBleu @Bierkameel • 3 september 2011 10:21

De overheid had in eerste instantie geen onderzoek verricht, en ging uit van de goede bedoelingen van Diginotar.

Gezien de kritiek op Tweakers.net en andere bekende fora, kan ik me voorstellen dat het aantal bezoekers op websites die afhankelijk waren van een Diginotar certificaat drastisch is afgenomen.
De overheid kan wel beslissen dat het certificaat nog intact is, maar als je 'klanten' daar anders over denken, moet je toch wat anders gaan verzinnen.

Ik denk dus persoonlijk dat de kritiek heeft geholpen om de beslissing alsnog te beïnvloeden.

Desondanks, gun ik het Diginotar niet om failliet te gaan, hedendaags worden er steeds meer hacks uitgevoerd en zullen grote bedrijven onwaarschijnlijk op hun tenen lopen.
Hoewel het natuurlijk onacceptabel is dat er al weken een vals certificaat werd uitgereikt als betrouwbaar, kun je gewoonweg iets wat op internet is aangesloten niet 100% hack-proof maken.

Toch ben ik blij dat de overheid terug is gekomen op haar beslissing, en heeft besloten om de certificaten alsnog niet te vertrouwen.

SPee @SacreBleu • 3 september 2011 11:22

Als je zulk belangrijke taak hebt, dan moet je daar ook goed voor zorgen.

Je zou kunnen verzinnen om de publieke servers alleen "read-only" te maken en het alleen voor de backend systemen mogelijk te maken om (gecontroleerd) certificaten te maken en uit te geven.

Daarnaast periodieke checks van de uitgegeven certificaten tegen degene die ook geregistreerd zijn.

2 dingen die het een stuk veiliger maken uit misschien wel een hele lange lijst.
Het grote probleem vindt ik niet dat ze gehackt waren; dat kan elk bedrijf (uiteindelijk) gebeuren. Nee, dat ze er pas (veel) later achterkwamen dat het mis was EN dat ze enkele zaken "gemist" hebben. Dat geeft mij geen vertrouwen.
Want hoewel ze claimen dat de PKIoverheid-certificaten niet gehackt zijn: Als ze pas na 3 maanden erachter komen dat ze een certificaat gemist hebben, hoe lang duurt het voordat ze zo'n certificaat bij de overheid vinden?

Ik gun het bedrijven ook niet om failliet te gaan. Maar het gevolg van hun acties omtrend de hack zal dit waarschijnlijk wel als resultaat hebben. Maar dat is een goede manier om een nieuwe naam te gebruiken en het slechte personeel eruit te werken.

Anoniem: 80466 @SacreBleu • 3 september 2011 10:58

Dat ze gehacked zijn is 1 ding en is al heel zwak.
Dat er valse ceritificaten aangemaakt konden worden door een website hack is bijzonder slecht.
De manier waarop ze daarmee omgegaan zijn is weer iets heel anders en is ronduit schandalig te noemen.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 22:06]

SacreBleu @Anoniem: 80466 • 3 september 2011 11:25

Diginotar had een audit laten uitvoeren door PWC, kortom, zoals jij ervan uit gaat dat een certificaat door VeriSign (of tot kort geleden door Diginotar) vertrouwde, mag een bedrijf toch ook wel vertrouwen op de deskundigheid van een audit bedrijf?

Natuurlijk doet een audit bedrijf niet veel, behalve bekijken of bepaalde procedures worden gevolgd, maar die betreffen ook de veiligheid en bestendigheid tegen aanvallen buitenaf.

In dit geval zijn zowel Diginotar en PWC die de blaam delen, maar Diginotar zeker niet om nalatigheid of dergelijke, opgestelde procedures werden immers opgevolgd, volgens PWC.

Nu word het natuurlijk een ander verhaal als blijkt dat de audits werden afgekocht, of dat Diginotar geen gehoor heeft gegeven aan adviezen van PWC, maar dat is op dit moment allemaal speculatie.

CivLord

Privacy

@SacreBleu • 3 september 2011 11:49

Wanneer PWC niet meer doet dan een checklist aflopen om te kijken of de door Diginotar vastgestelde procedures worden gevolgd, kunnen zowel PWC als Diginotar nalatig zijn.
Wanneer de procedures niet voldoen en PWC controleert niet of die procedures voldoende zijn, zijn zij beiden schuldig.

Wanneer ik een checklist maak om mijn huis te beveiligen (voordeur op slot, ramen dicht) en ik laat een veiligheidsdeskundige controleren of ik en al mijn huisgenoten ons aan die checklist houden, dan lijkt er niets aan de hand wanneer hij zijn oké geeft.
Wanneer ik echter vergeten ben ook de achterdeur op de checklist te zetten (en die daarom vaak vergeet op slot te doen) en de veiligheidsdeskundige zegt daar niets over omdat dat niet op mijn checklist staat, dan stelt die hele veiligheidsdeskundige niets voor.

Black Piet @CivLord • 3 september 2011 11:52

Of ze schuldig zijn is maar de vraag. Als PwC advies had uitgebracht en heeft aangegeven dat de interne procedures niet zijn opgevolgd (of niet deugdelijk zijn), dan ligt nog de verantwoordelijkheid bij de partij die ze heeft ingehuurd.

Daarnaast moet je voor de gein eens goed de voorwaarden lezen die bij dergelijke opdrachten worden meegeleverd door accountantskantoren. In alle gevallen ben je zelf verantwoordelijk...

PL JNS @Black Piet • 3 september 2011 14:10

Maar daar zeg je het ook al, een accountantskantoor. Wat weten die van ict, root certificaten e.d af? Ze kunnen procedures controleren, maar hoe moeten ze weten dat de boel al gehackt was? Het is dus leuk dat ze PwC noemen, maar dat is een expert op een heel ander vakgebied.

Black Piet @PL JNS • 3 september 2011 14:32

Je moet eens weten wat voor diensten allemaal worden geleverd door The big four (vier grootste accountantskantoren). ICT is daar zeker een onderdeel van!

Er zijn zelfs afdelingen met hackers die maandelijks penetratietesten doen bij banken in het kader van de voor banken geldende wet- en regelgeving. En daar werken gewoon ex-rechercheurs, ICT specialisten op het gebied van netwerken, hacken, etc....

Heb er nog een paar jaar mee samengewerkt in mijn vorige baan...

[Reactie gewijzigd door Black Piet op 23 juli 2024 22:06]

mpkossen @CivLord • 3 september 2011 19:14

Checklists zijn leuk voor de boodschappen, maar dodelijk voor een security audit. Tuurlijk: je moet een richtlijn hebben. Maar afvinkwerk ik niet voldoende. Helaas doen veel grote organisaties dit.

jimbo123 @SacreBleu • 3 september 2011 11:34

Tja, ik zie PWC toch meer als een stel financieel professionals / accountants en niet zo zeer als een bedrijf wat kan oordelen over de technische veiligheid van systemen.

Hier zijn weer andere bedrijven voor.

latka @jimbo123 • 4 september 2011 00:04

PwC doet wel meer IT. Zijn wel erg duur en soms ook nog wel goed. Meestal alleen maar duur ;-)

CivLord

Privacy

@Anoniem: 80466 • 3 september 2011 11:11

En dat er aanwijzingen zijn dat er al vanaf 2009 ongemerkt een hacker op de servers van Diginotar actief was is onvergefelijk!

liberque 3 september 2011 10:38

Wat ik nog steeds het meest opmerkelijke aan deze zaak vind is dat ze op de hoogte waren van een hack, een reeks certificaten hebben gecorrigeerd en daarbij Google.com waren 'vergeten'. Dit is opmerkelijk omdat het bedrijf nu niet echt een enorm grote speler is, volgens Vasco 'slechts' 10 miljoen waard was en daaruit voortvloeiend dus weinig 'grote' klanten bediend. Immers, bij zulke bedrijven zijn naast technologie en kennis het juist de bestaande klanten die het meest waard zijn en dientengevolge zijn het die klanten die dus het meeste zullen bijdragen aan een overnamesom. Kortom: een relatief kleine speler met de Nederlandse overheden als voornaamste klant met slechts een handjevol andere waardevolle klanten. Een van die andere waardevolle klanten was dus blijkbaar Google en juist bij die klant zijn ze 'vergeten' de certificaten te controleren eg. corrigeren.

Verplaats jezelf eens in hun situatie. Je hebt 1000 klanten. 998 van die klanten zijn klanten die hun certificaten gebruiken voor een forum, een mumble server en andere niet echt kritieke zaken. Daarnaast heb je een groot bedrijf wat internationaal opereert en een overheid. Klanten die op papier dus het meeste waard zijn. Je merkt dat je bent 'gehacked'. Wat doe je dan? Als eerste je 2 belangrijkste klanten controleren of 1 van je belangrijkste klanten 'vergeten'? Natuurlijk zou je het sieren om ze allemaal te controleren, maar het moge toch duidelijk zijn dat je dan begint met de belangrijkste klanten?

Erg opmerkelijk dus. Wellicht is dit inderdaad te wijten aan ernstige nalatigheid waardoor je sowieso zou kunnen stellen dat ieder vertrouwen in dat bedrijf terecht is opgezegd. Persoonlijk zou ik er echter niet vreemd van staan kijken dat er toch iets meer aan de hand is geweest. Hiermee doel ik nog niet direct op steekpenningen, omkoperij en andere duistere zaakjes, maar het zou toch fijn zijn als hier een grondig onderzoek naar wordt gedaan. Al was het alleen maar om de gehele certificaten industrie geen enorme vertrouwensdeuk op te laten lopen.

Anoniem: 26306 @liberque • 3 september 2011 11:17

liberque, je gaat ervanuit dat DigiNotar kon controleren welke certificaten exact zijn uitgegeven. Als er te weinig werd gelogd en/of de aanvallers de logs konden wissen, is het wellicht helemaal niet mogelijk te bepalen welke certificaten er eigenlijk zijn ondertekend. Dat zou heel bizar zijn, maar niet onmogelijk.

Als je handtekening vrij te gebruiken is, moet je eerst zien welk certificaat je moet revoken. Daarvoor moet je weten wat er op dat certificaat staat.

Zie het alsof je je handtekening blind hebt gezet onder een aantal contracten en dat je niet hebt gekeken (onthouden, gelogd) naar waarvoor dat contract was. Hoe moet je dan weten welke personen/bedrijven je moet gaan bellen om na te vragen of ze een contract hebben met jouw handtekening eronder zodat je het kunt controleren en eventueel nietig verklaren?

En áls je dus niet kunt weten welke certificaten er zijn gegenereerd, dan kun je eigenlijk niets anders dan en plein public te verklaren dat je systemen gecompromitteerd zijn en dat ze je niet zomaar meer kunnen vertrouwen. Dat is niet gebeurd.

Uit de genomen maatregelen kun je echter opmaken dat het:
1) niet uitgesloten is dat de private key is bemachtigd en dat de auditor dat voldoende reden vindt om het advies uit te brengen de CA niet meer te vertrouwen, of
2) is vastgesteld dat er op enig moment toegang is geweest tot de private key en dus min of meer gegarandeerd is dat de CA niet meer vertrouwd kan worden.

smokalot @liberque • 3 september 2011 10:51

Een van die andere waardevolle klanten was dus blijkbaar Google

Nee, dat hoeft niet. Diginotar kan certificaten maken voor ieder domein. Sterker nog, iedereen kan certificaten maken voor ieder domein. Je tekent dat certificaat weer met je eigen certificaat. Wat er nu gebeurt is dat alle browsers certificaten die getekend zijn met Diginotar's certificaat niet meer standaard accepteren. En dat was juist het enige dat Diginotar anders maakte dan jou, mij of mijn kleine zusje, onze certificaten worden immers ook niet door browsers standaard vertrouwd.

Anoniem: 41908 3 september 2011 10:16

Ik lees op de Vasco site:

"VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal. Through the first six months of 2011, revenue from the SSL and EVSSL business was less than Euro 100,000. "

Dus zo'n geldpot was het sowieso al niet.

Sorcerer8472 @Anoniem: 41908 • 3 september 2011 13:03

Lekker klantgericht om gelijk over geld te beginnen (tegen aandeelhouders o.i.d.)? Want tja, maar 100.000 euro, waarom zou je je er dan zorgen over maken? Geeft zelfs een lichte indruk van dat er gewoon niet veel moeite in is gestoken omdat het 'maar 100.000 euro' was...

Ook helemaal niet klantgericht, alleen damage control en dat op de meest klant-onvriendelijke manier. Het bedrijf heeft klanten niet ingelicht, onjuiste informatie verstrekt over de gang van zaken en gebeurtenissen, en was totaal onbereikbaar toen het ontdekt was.

Ik zou niet met dat bedrijf zaken willen doen, en nu Vasco zich zo uitlaat... vooral hun gezicht beschermen voor niet-Diginotar-klanten:
http://www.vasco.com/comp...ts_security_incident.aspx

Overigens staat ook op hun site (volgende zin):

VASCO does not expect that the DigiNotar security incident will have a significant impact on the company’s future revenue or business plans.

Ik dacht het wel dus

SKiLLa @Sorcerer8472 • 3 september 2011 14:31

Het gaat niet om de slechts 100 000 omzet, het gaat erom dat een vreemde mogendheid ze gehackt heeft; en dat is onvergefelijk in de SSL wereld.

Sowieso is dit imho landenspionage - misbruik door overheid Iran en dus zou ik de Iraanse ambassade -medewerkers oppakken en aanklagen (aangezien zij de officiele vertegenwoordigers van de Iraanse regering zijn).

God, wat schaam ik me weer voor de slappe en domme houding van de NL overheid; zelfs vrijdagnacht om 01:00 tijdens de persconferentie kwamen ze nog steeds clueless over ....

Anoniem: 134117 @SKiLLa • 3 september 2011 16:46

Ambassade personeel oppakken ? Zal lastig worden... Ooit van diplomatieke onschendbaarheid gehoord ?

Uitzetten is het maximaal haalbare, en die rel zal het niet waard zijn.

Black Piet @Anoniem: 41908 • 3 september 2011 11:57

Indeed. Idd geen geldpot.

Maar als je kijkt wat voor impact dit heeft op de naam van Vasco, dan wordt het wat lastiger.

offtopic:
Stel je gaat DigiNotar (BV) binnen je holding liquideren (inclusief afkoopsommen voor je personeel), dan gaat het wel wat meer kosten.

Gosat 3 september 2011 12:17

Is het nou zo dat DigiNotar Google als klant heeft? Of kunnen alle bedrijven in die branche alle certificaten uitgeven omdat ze vertrouwd worden door alle browsers?

Verder nog een praktische vraag, kan de Iraanse overheid/hacker mijn digid wachtwoord weten, aangezien ik meerdere malen heb ingelogd de laatste 2 maanden?

R-J_W @Gosat • 3 september 2011 16:37

Alle vertrouwde CA's kunnen voor elk willekeurig domein een certificaat aanmaken dat door iedereen die hen vertrouwd wordt geaccepteerd.

Wanneer de Iraanse overheid of een hacker:
1 Een certificaat voor digid.nl heeft aangemaakt bij DigiNotar
OF de kans heeft gehad om op jouw computer een nep Certificate Autority te plaatsen.

2. Alsnog toegang tot jouw computer/rooter/internetprovider/proxy-/dns-server .... heeft gehad zodat hij jouw poging om een bepaalde beveiligde site, te bereiken via een server die hij in beheer heeft naar de echte beveiligde site kon leiden.

Dan is het best mogelijk dat ze je wachtwoord hebben ... maar daar hadden ze DigiNotar niet voor nodig.

De DigiNotar hack is alleen nuttig wanneer je toegang tot het verkeer van je slachtoffers hebt. Met behulp van zo'n certificaat kun je er een server tussen plaatsen die de data ontsleutelt (vals certificaat) en vervolgens doorstuurt naar de beveiligde website (echt certificaat). En de andere kant op voor de terugweg. Jij zult het verschil niet zien.

CumpsD 3 september 2011 10:07

Net op tijd overgenomen zullen die bestuurders wel denken dan, denk ik zo.

Zien gebruikers van oude versies van Firefox/IE ook dat die certificaten zijn ingetrokken? Of zit dit enkel in nieuwe updates van browsers?

K_VL @CumpsD • 3 september 2011 10:14

Geen idee hoe het "systeem" erachter functioneert, maar als je met een oude browser deze certificaten nog kunt gebruiken, is er iets grondig mis met de manier waarop deze werken...

Grauw @K_VL • 3 september 2011 10:59

De certificaten waarvan bekend is dat ze zijn gekaapt zijn wel al ingetrokken als het goed is. Zonder update dus.

[Reactie gewijzigd door Grauw op 23 juli 2024 22:06]

depeje @Grauw • 3 september 2011 12:44

Ik zou wel eens willen weten hoe je een certificaat kan intrekken zonder dat aan de clients te laten weten.

zenica @depeje • 3 september 2011 13:02

Elke browser verifieert de certificaat dat het van de server krijgt tegen de CA met de vraagje is deze echt. Als de CA dan antwoord nee dan zegt de browser oké. Wat er nu bij gekomen is dat de browsers de diginotar als CA op blacklist hebben staan en dus zonder verificatie elke certificaat van hun afkeuren.
Min of meer komt het daar op neer.

sumac @zenica • 3 september 2011 15:39

Waarom kan ik digid.nl en overheid.nl dan nog steeds bezoeken zonder melding dat de certificaten onbekend zijn?

postbus51 @sumac • 3 september 2011 16:15

DigiNotar is een van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven.

Donner wil n.l. digid.nl niet uit de lucht? halen ,wegens te grote gevolgen die er aan hangen

Dus nog 5 andere die wel voldoen

[Reactie gewijzigd door postbus51 op 23 juli 2024 22:06]

Patriot @sumac • 3 september 2011 19:42

Je krijgt nu nog geen foutmelding omdat Mozilla de intrekking alleen via een browserupdate kan regelen.

Kalief @Patriot • 3 september 2011 21:22

Hangt dat van de versie af?
Mijn FF7beta geeft geen sjoege.

marco275 @Kalief • 3 september 2011 23:58

Bij 'opties/geavanceerd/encryptie kun je zien welke certificaten FF heeft, DigiNotar staat er nog steeds vrolijk tussen bij 7Beta4.
Deze versie is gister op de FTP gezet, verwacht vandaag of morgen wel Beta 5 dus.
Wellicht een overweging om die handmatig te verwijderen?

[Reactie gewijzigd door marco275 op 23 juli 2024 22:06]

Proxy @marco275 • 4 september 2011 04:15

Ik gebruik ook Firefox 7 beta 4, maar bij mij staat ie er niet bij. Bij Firefox 6.0.1 staat ie er niet eens bij trouwens.

Rinzwind @K_VL • 3 september 2011 10:39

Het heet niet voor niets root certificaat... Een bron met betrouwbaar geacht worden. Als de top dat niet meer is, moet er iets gewijzigd worden. Of je moet op een of andere manier alle roots tegen elkaar gaat controleren of iets. Maar dat is geen functionaliteit. Dan kun je nog tegen een externe partij aanpraten ter controle roots, maar die kan ook worden vervalst. Er is altijd een vertrouwd geachte partij.

[Reactie gewijzigd door Rinzwind op 23 juli 2024 22:06]

DJ^ @CumpsD • 3 september 2011 10:17

Een overname is niet zo simpel, meestal is er wel een potje gereserveerd voor zogenaamde lijken uit de kast zodat de partij die de overname doet enigszins beschermd is. Dit lijkt me een goed voorbeeld van een flinke tegenvaller.

Arjant2 @DJ^ • 3 september 2011 11:36

Dit is duidelijk iets van na de overname dus dit zal hoogstwaarschijnlijk geen gevolgen hebben voor een eventuele clawback.
Dit zal hooguit gevolgen hebben voor een eventuele prestatiebonus die nog in de verkoopprijs verwerkt is, met andere woorden als de verkoper nog een extra stuk verkoopprijs krijgt als het bedrijf het in de jaren daarna goed doet.

In ieder geval kan Diginotar zijn deuren wel sluiten want dit komen ze niet meer te boven. Als het vertrouwen weg is dan is het einde oefening, want net als met banken draait alles om vertrouwen van je klanten bij dit soort instanties.

arbraxas @Arjant2 • 3 september 2011 13:16

Daar ben ik nog niet zo zeker van, de oorzaak van deze ellende ligt natuurlijk voor de overname.
Ik kan me niet voorstellen dat Vasco nu denkt "ach jammer laten het zo". Daarvoor gaat het gewoon om te veel geld.

Ik heb zelf bij een bedrijf gewerkt dat ook een lijk in de kast bleek te hebben na overname.
Ook een dusdanig groot lijk dat het wel het bedrijf om zeep heeft geholpen.
Ondanks dat de schade pas na de overname is ontdekt heeft de vorige eigenaar ook wel degelijk aansprakelijk gesteld.
Mijn vermoeden is dat hier nog wel een rechtzaak of 2 aan gespendeerd zal worden.

Jasper Janssen @arbraxas • 5 september 2011 00:07

De overname is al uit januari. Hoe is een hack uit juni iets waarvan de oorzaak ligt voor de overname?

vinnixx @DJ^ • 3 september 2011 12:21

De hele kast zit er vol mee. Dit is Grote Einde voor dit bedrijf. Hun core-buisness is het vertrouwen. Deze is nu compleet weg. Mede doordat zij nadat de hack bekend werd, nog steeds valse ssl-certificaten uitgaven. Dat geeft een indicatie hoe zij met het vertrouwen van klanten omgingen en zullen omgaan.

[Reactie gewijzigd door vinnixx op 23 juli 2024 22:06]

Sir Isaac @DJ^ • 3 september 2011 10:32

Het ziet er na uit dat het lijk na de overname in de kast is gestopt.

Soldaatje @CumpsD • 3 september 2011 11:51

Ben bang van wel, dat geeft dus ook een enorm veiligheidsrisico bij oudere browsers.
Ik gebruik nu de laatste stabiele Firefox versie 6.01 en krijg nog geen foutmelding bij https://as.digid.nl is nog geverifieerd door DigiNotar.

Maar het echte probleem ligt dus bij dat een CA gehackt is en voordat de browsers zelfs maar geupdate zijn de schade al gemaakt is in Iran.
Dan zou je toch denken dat het misschien veiliger is om certificaten door twee onafhankelijke bedrijven te verifiëren in plaats van één.

[Reactie gewijzigd door Soldaatje op 23 juli 2024 22:06]

Ram6 @Soldaatje • 3 september 2011 12:32

ik zie trouwens dat hun CRL Distribution Point uit de lucht is - mijn Chrome browser kan niet checken of dit certificaat ingetrokken is of niet...

[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://service.diginotar.nl/crl/PKIOverheidenBedrijven/latestCRL.crl

supersnathan94

@Soldaatje • 3 september 2011 17:09

sinds vandaag staat er dit op de site van DigID:

3 september 2011 - U kunt een beveiligingswaarschuwing krijgen als u DigiD gebruikt. Houd deze website in de gaten voor meer informatie. De DigiD helpdesk is dit weekend extra geopend van 8.00 tot 17.00 uur. Bereikbaar via 0800 - 023 04 35.

na een keer doorklikken verschijnt er dit op mijn scherm:

Beveiligingswaarschuwing bij gebruik DigiD

zaterdag, 3 september 2011

U kunt mogelijk beveiligingswaarschuwingen krijgen als u DigiD gebruikt. Deze beveiligingswaarschuwingen komen doordat uw internetbrowser het beveiligingscertificaat van DigiD niet meer vertrouwt. Beveiligingscertificaten beveiligen de verbinding tussen uw internetbrowser en DigiD. Ook geeft het certificaat zekerheid dat u op de echte website van DigiD bent en niet op een nepsite.

Oorzaak

De reden waarom uw internetbrowser een waarschuwing geeft, is omdat alle certificaten van de leverancier van het certificaat, DigiNotar, niet meer vertrouwd worden.

Wat kunt u doen?

Momenteel zijn wij de certificaten van DigiD aan het vervangen. Wij adviseren u te wachten tot DigiD weer gebruikmaakt van de nieuwe certificaten. Vanaf dan krijgt u geen waarschuwing meer en kunt u veilig gebruikmaken van DigiD. Houd de DigiD website in de gaten voor meer informatie.

Algemene informatie

Op www.rijksoverheid.nl vindt u algemene berichtgeving.

'Overheid zegt vertrouwen in de certificaten van Diginotar op' (red. link)

oftewel Diginotar kan het wel schudden. De overheid heeft ze vaarwel gezegd en de grootste klant is nu dus weg.

Jasper Janssen @supersnathan94 • 5 september 2011 00:09

Niet alleen hun grootste klant, *al* hun klanten zijn weg. Het heeft totaal geen zin om certificaten daar te vernieuwen aangezien je er niets meer aan hebt.

DarkBlazer @CumpsD • 3 september 2011 17:02

Zover bekend is dat alleen in de nieuwste versie van FireFox.
voor IE weet ik niet. Deze wellicht met een van de dinsdag patches uit gebracht kunnen worden.

Anoniem: 16328 @DarkBlazer • 3 september 2011 18:02

Ik heb speciaal even mijn FF geüpdatet naar 6.0.1 maar kan nog steeds vrolijk inloggen. Met het verschil dat nu een paar plugins weer niet werken....

marco275 @Anoniem: 16328 • 4 september 2011 00:04

Even de xpi openen met winrar, het zich daarin bevindende rdf bestandje openen met wordpad en firefox <maxVersion>6.0</maxVersion> aanpassen naar 9.*

Pmf1971 @CumpsD • 3 september 2011 12:31

Aangezien het onder amerikaans bestuur staat, zou het me niet verbazen als een amerikaanse hoge pief in het bedrijf de opdracht zelf gaf om het niet openbaar te maken.

Hyronymus @Pmf1971 • 3 september 2011 12:38

Kom maar op met de bewijzen!

jimbo123 3 september 2011 10:15

Software welke communiceert met de belastingdienst zoals elsevier, snelstart, afas, microloon etc. maakt ook gebruik van Diginotar certificaten. Gaat die software dan ook niet meer werken / dienen er nieuwe certificaten te komen?

Wat als er volgende week een nieuw certificaat moet komen voor een BAPI pakket, loopt het dan toch nog via diginotar?

TERW_DAN @jimbo123 • 3 september 2011 10:28

Ook deze software zal controleren op certificaten. Als die certificaten niet meer aanwezig zijn, of ongeldig zijn verklaart, dan zal dat een error gaan geven. Als er nog een 'oud' Diginotar certificaat is, dan zou het niet meer moeten werken, omdat deze dus zijn ingetrokken (werkt het wel, dan is de beveiliging bagger geschreven, want dan kun je dus blijkbaar met niet geldige certificaten er nog gebruik van maken).

jimbo123 @TERW_DAN • 3 september 2011 11:28

Ja, maar zal het een error geven en daardoor niet functioneren, of zou je kunnen kiezen toch door te gaan? Moet er niet aan denken dat alle bedrijven die met deze software werken nieuwe certificaten moeten aanvragen, bij diginotar was het ongeveer 3 weken levertijd en een andere partij dan diginotar wordt door die software gewoon niet ondersteund. Er zal dan dus ook een update van de software moeten komen. Bedrijven zoals accountants kantoren kunnen het zich niet veroorloven om zo lang de communicatie software niet te kunnen gebruiken.

alt-92 @jimbo123 • 3 september 2011 13:17

Ja, maar zal het een error geven en daardoor niet functioneren, of zou je kunnen kiezen toch door te gaan?

Ligt aan de implementatie van de software. Een CRL check die niet voltooid kan worden bijvoorbeeld hoort je gewoon een critical error te geven.

En nee, het is dan niet de bedoeling dat je dan nog steeds 'door kunt gaan' want dan had je net zo goed géén encryption of signing voor die communicatie hoeven te vereisen.
Dat was nou net het hele punt waarom je certificaten wilde gebruiken toch?

Moet er niet aan denken dat alle bedrijven die met deze software werken nieuwe certificaten moeten aanvragen, bij diginotar was het ongeveer 3 weken levertijd en een andere partij dan diginotar wordt door die software gewoon niet ondersteund.
Er zal dan dus ook een update van de software moeten komen.

Dat lijkt me sowieso verstandig, je hoort een certificate chain juist vanwege dit soort incidenten te kunnen vervangen in je programmatuur.

thegve @jimbo123 • 3 september 2011 13:53

Word niet ondersteund? Dat is hooguit een policy van de makers van die software, want het format van een certificaat is redelijk gestandaardiseerd. Tenzij die software weer erg creatief is gaan doen.
En policies kunnen in dit soort gevallen wel wijken lijkt mij.

Evi @thegve • 3 september 2011 14:33

Meer een policy van de overheid. Certificaten voor communicatie via het BAPI protocol met de belastingdienst moeten van dag een al komen van diginotar. Ik ken niet alle genoemde software pakketten, maar oa King, Queen, SnelStart, Elsevier en Sdu zeggen allemala in hun documentatie dat de Belastingdienst een diginotar certificaat eist. de website van deze dienst onderschreef dit in elk geval eergisteren nog, dus ik ben geneigd dit te geloven.

De overheid heeft het vertrouwen in het bedrijf nu opgezegd, dat is prima, maar wat moet je nu inderddad als ondernemer? Het is niet doenlijk om maar even een paar weken geen aangiten, loonadministraties en andere vormen van communicatie te hebben met de belastingdienst, maar aan de andere kant willen we ook niet vertrouwen op certficaten die zijn uitgegeven door een toko die de overheid zelf niet meer als betrouwebaar aanmerkt.

Ik hoop maar dat er heel snel contact word gezogt met ondernemenrs vanuit de overheid over "hoe nu verder". Er ligt al een opvolger voor BAPI klaar, maar daar schijnen ook de nodige haken en ogen aan te zitten zoals duurdere certificaten, fysiek moeten tonen van identificatie, procedures die net niet helemala goed zijn en wachttijden. Daar weet ik niet meteen het fijne van; het traject Digipoort (voorheen OTP) is nog niet op mijn buro verschenen. Los van of de overheid klaar is daarvoor en of het verkrijgen van certificaten makkelijker, moeilijk en/of duurder is: geen van de software makers heeft op dit moment een versie uit die daarmee werkt en door de belastingdienst is toegestaan.

in het kort: we wachten in snapping (en sommige dagen in angst en beven) af.

ultimasnake 3 september 2011 10:10

Nu ook de overheid hun vertrouwen heeft opgezegd in diginotar kunnen ze wel inpakken! Kan iemand mij trouwens uitleggen waarom certificaten alleen middels een update kunnen worden geupdate? Veel bedrijven (die toch al erg traag zijn met hun software updates) zullen natuurlijk nooit deze melding gaan geven, dit zou toch veel beter via servers kunnen gaan van mozilla/google/ie?

THM0 @ultimasnake • 3 september 2011 10:50

Ik vraag me juist af waarom de browser moet bepalen welke CA's vertrouwd worden. Dat lijkt me typisch een functie van het OS, op een manier dat applicaties niet zomaar mutaties kunnen uitvoeren op de lijst van Trusted CA's.

pietermx @THM0 • 3 september 2011 12:14

Goed punt, uitgevers die je toevoegt worden immers ook door een tool van het OS geïnstalleerd (zowel onder Windows als OS X), niet door de browser. Vreemd dat het niet volledig wordt afgehandeld door het OS...

OddesE @pietermx • 3 september 2011 12:51

Je kunt deze lijst dus ook gewoon lokaal bewerken.

Firefox: menu Extra -> dialoog Opties -> sectie Geavanceerd -> tab Encryptie -> knop Certificaten bekijken

Het gaat hier dus om de lijst met voorgeïnstalleerde root certificaten. Als die standaard leeg zou zijn zou browsen een vervelende ervaring worden. Je kunt hier gewoon je eigen certificaat tussen hangen of juist root certificaten weghalen. Dus ook oude browsers kun je wel bijwerken...

EDIT: Ik zie dat Diginotar hier inderdaad in de lijst staat, onder tabje Organisaties. Die weghalen komt dus op hetzelfde neer als de update draaien. Nu dus ook even zelf verwijderd

[Reactie gewijzigd door OddesE op 23 juli 2024 22:06]

Bassmaniac @OddesE • 3 september 2011 14:31

Vergeet dan niet om onder het kopje "Staat der nederlanden" het DigiNotar PKI overheid certificaat OOk mee te nemen!

Anoniem: 16328 @Bassmaniac • 3 september 2011 18:24

Heb zowel Staat der Nederlanden Diginotar als Digitnotars eigen CA verwijderd maar kan nog steeds vorlijk op deze website: https://as.digid.nl (FF 6.0.1).

pietermx @OddesE • 3 september 2011 14:21

Als die standaard leeg zou zijn zou browsen een vervelende ervaring worden.

Ehm, ik zie het probleem niet als je OS dit afhandelt i.p.v. je browser(s << !!!). Als je OS hiervoor verantwoordelijk is zal deze ook met een standaard pakket aan root certificaten geleverd worden, m.a.w. is er geen verschil behalve dat deze op één centraal punt beheerd worden i.p.v. per browser.

In OS X is dat overigens (volgens mij) al het geval, nml. via de hulp-app "Sleutelhangertoegang". Ik weet alleen niet of Firefox hier gebruik van maakt, Safari in ieder geval wel

erikmeuk3 @OddesE • 3 september 2011 17:31

Ik gebruik hier FF7
Als ik de certificaten weg haal, zijn ze in een flits weer op hun plek zodra ik digid.nl bezoek.
Diginotar blijft geldig in mijn browser.

Kalief @OddesE • 3 september 2011 21:28

Na herstarten FF blijk Diginotar er weer vrolijk tussen te staan.
Is dat een bug in FF7beta?

Vinnienerd @THM0 • 3 september 2011 17:03

Microsoft levert af en toe via Windows Update ook nieuwe (root) CA's mee, of een lijst met intrekkingen.

MClaeys @ultimasnake • 3 september 2011 12:16

Bij IE gebeurt dit reeds online dacht ik en is er geen update nodig.
Bij Mozilla, Opera en Chrome wel denk ik, daar mijn huidige Chrome (13.0.782.218), huidige Firefox (6.0.1) en huidige Opera (11.51) nog geen fout geeft bij de url uit het screenshot.

hackerhater @MClaeys • 3 september 2011 13:53

FF 6.0.1 op linux geeft wel een foutmelding op digid.nl. De linux update was iets later, wellicht daarom

Anoniem: 340068 @hackerhater • 3 september 2011 14:24

FF 6.0.1 op linux geeft wel een foutmelding op digid.nl. De linux update was iets later, wellicht daarom

Yep same here

R-J_W @MClaeys • 3 september 2011 15:55

Opera doet het online, waarschijnlijk hebben ze het vertrouwen nog niet helemaal opgegeven.
Bron: http://my.opera.com/secur...-authorities-are-hacked-2

ytsmabeer @R-J_W • 3 september 2011 23:17

Opera geeft nu insucure aan

Op dit item kan niet meer gereageerd worden.

Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar

Lees meer

Reacties (136)

Sorteer op:

Weergave: