Belastingdienst werkt toch nog met DigiNotar-certificaten - update

Ondernemers die elektronisch aangifte willen doen bij de Belastingdienst, komen mogelijk toch nog in aanraking met DigiNotar-certificaten. De overheid stelt dat er bij de elektronische aangifte 'voldoende aanvullende waarborgen' zijn.

Wat die aanvullende waarborgen zijn, is onbekend, maar duidelijk is wel dat de Belastingdienst nog leunt op DigiNotar-certificaten. Daarbij gaat het om de certificaten die de Belastingdienst zelf gebruikt; ondernemers die een DigiNotar-certificaat gebruiken om zichzelf te identificeren bij de Belastingdienst, moeten wel een nieuw certificaat aanschaffen. Toch is de keuze van de Belastingdienst opmerkelijk, omdat de overheid het vertrouwen in DigiNotar zaterdag opzegde. Wel belooft de overheid de situatie 'nauwgezet' te volgen. Mochten er toch problemen optreden waardoor de aangifte vertraging oploopt, dan gaat de Belastingdienst daar 'coulant' mee om.

Een beveiligingsexpert met ervaring met de infrastructuur van de Belastingdienst, die anoniem wil blijven, zegt niet te snappen dat de certificaten van DigiNotar in dit geval alsnog worden vertrouwd. Volgens hem zijn er technisch gezien geen aanvullende waarborgen om een veilige aangifte te garanderen. Wel geeft hij aan dat er procedures zijn om misbruik te voorkomen, zoals de mogelijkheid voor zowel het bedrijf dat aangifte doet als de Belastingdienst zelf om ingevulde aangiftes te controleren.

Het ssl-certificaat van DigiD.nl blijkt ondertussen te zijn vervangen door een nieuw certificaat van Getronics PinkRoccade. Ook is een mededeling waarin werd gewaarschuwd voor beveiligingsmeldingen van de DigiD-frontpage verwijderd. Later op maandag houdt het Ministerie van Binnenlandse Zaken waarschijnlijk een persconferentie waarin meer duidelijkheid moet komen over de hack. Mogelijk wordt dan ook het onderzoeksrapport gepubliceerd dat beveiligingsbedrijf Fox-IT over de hack heeft opgesteld.

DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Zondag bleek dat er in ieder geval 531 certificaten zijn gegenereerd, waaronder voor *.*.com en *.*.org. DigiNotar was een van de zes partijen die namens de Rijksoverheid ssl-certificaten mochten uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten voor de overheid uitgeeft, niet is gekraakt.

Update, 14:56: Woordvoerder Marcel Homan van de Belastingdienst zegt dat zijn organisatie er aan werkt om de komende dagen nieuwe certificaten te installeren.

DigiD-certificaat

IT-banen

Reacties (89)

C7RL 5 september 2011 14:13

Ik heb het verhaal toch even gecontroleerd van de "journalist" Joost Schellevis. Ik vind dat Joost Schellevis, schrijver van dit artikel wel goedkoop aan het scoren is ten aanzien van de Belastingdienst. De site voor ondernemers van de Belastingdienst (mijn.belastingdienst.nl) gebruiken een certificaat van Verisign sinds 2010. Dat de gehele overheid (en dus niet alleen de Belastingdienst) nog Diginotar certificaten gebruikt voor de geautomatiseerde communicatie (waarbij ook o.a. checks op IP adres en domain plaatsvind) heeft minister Donner in een pers verklaring aangegeven. Dus dat is ook geen nieuws. Digid is niet van de Belastingdienst. Dat de Belastingdienst gebruik moet maken van Digid is iets anders. Overigens gebruiken verzekeringssites als AGISWEB en de Sociale verzekeringsbank, wel bekend van de kinderbijslag ook Digid authenticatie.

Ik vraag me dan toch af wat de functie is van de titel van dit artikel anders dan veel onrust en paniek zaaien onder de lezers en omdat de Belastingdienst natuurlijk niet populair is.. Gelukkig zijn er meer lezers die wel verder kijken dan hun neus lang.

Ik had al heel lang geleden afscheid genomen van tweakers.net om het bedenkelijke "telegraaf" niveau van een aantal "journalisten/schrijvers". Blijkbaar heb ik in de tussentijd weinig gemist hier.

Hoowgii @C7RL • 5 september 2011 15:49

Het gaat niet alleen om DigiD.

"Wat die aanvullende waarborgen zijn, is onbekend, maar duidelijk is wel dat de Belastingdienst nog leunt op DigiNotar-certificaten. Daarbij gaat het om de certificaten die de Belastingdienst zelf gebruikt; ondernemers die een DigiNotar-certificaat gebruiken om zichzelf te identificeren bij de Belastingdienst, moeten wel een nieuw certificaat aanschaffen. "

De belastingdienst maakt gebruik bijvoorbeeld gebruik van Bapi. Certificaten hiervoor vraag je via Diginotar gaan.

Dus de titel, Belastingdienst werkt toch nog met DigiNotar-certificaten, klopt wel degelijk.

@Diginotar: "Belangrijk bij de elektronische communicatie tussen u en de Belastingdienst is de beveiliging van deze communicatie. " link: http://www.diginotar.nl/A...en/tabid/352/Default.aspx

Juist..

@jimbo123 e.d. versneld invoeren van XBRL ?

[Reactie gewijzigd door Hoowgii op 23 juli 2024 09:48]

C7RL @Hoowgii • 5 september 2011 16:22

Ja maar dat is geen nieuws, binnen de gehele rijksoverheid wordt nog gewerkt met Diginotar certificaten. Minister donner heeft dit ook uitgelegd in zijn persverklaring. Zie ook.

Hoowgii @C7RL • 5 september 2011 16:33

dat ? Waar verwijs je naar met dat?

Jij zegt:

"De site voor ondernemers van de Belastingdienst (mijn.belastingdienst.nl) gebruiken een certificaat van Verisign sinds 2010. Dat de gehele overheid (en dus niet alleen de Belastingdienst) nog Diginotar certificaten gebruikt voor de geautomatiseerde communicatie (waarbij ook o.a. checks op IP adres en domain plaatsvind) heeft minister Donner in een pers verklaring aangegeven. Dus dat is ook geen nieuws. Digid is niet van de Belastingdienst. Dat de Belastingdienst gebruik moet maken van Digid is iets anders."

Je zegt dus eigenlijk dat de belastingdienst geen gebruik maakt van Diginotar certificaten, (maar wel van DigiD wat geen belastingdienst is), maar dit is dus niet het geval, door BAPI. Daardoor is de titel wel van toepassing waar jij zegt:

Ik vraag me dan toch af wat de functie is van de titel van dit artikel anders dan veel onrust en paniek zaaien onder de lezers en omdat de Belastingdienst natuurlijk niet populair is..

Daar reageerde ik op..

pheppy @Hoowgii • 5 september 2011 19:37

Ik zag zojuist dat de Belastingdienst voor het ondertekenen van de Voorlopige Aanslag 2011 (webdiensten.belastingdienst.nl) een Diginotar certificaat gebruikt. Voor de Aangifte Inkomstenbelasting geldt het zelfde. Klaarblijkelijk wordt het Verisign certificaat alleen voor de site voor ondernemers gebruikt, niet voor particulieren.
Ik moest ook toeslag kinderopvang indienen. Daar zit de digid-ondertekening juist weer in het aangifte programma zelf. Dus zie je de digid (of belastingdienst) website helemaal niet.

Lohengrin 5 september 2011 13:10

Even terugkomend op de certificaten in het algemeen:

Quis custodiet ipsos custodes? ("wie bewaakt de bewakers?")

Het is gebleken dat te veel macht bij één instantie kan worden gebruikt/misbruikt. Het zou eigenlijk moeten leiden tot een verspreiding van de macht. Misschien dat men ipv 1 certitifcaat standaard 3 certficaten moet hebben van 3 verschillende instanties. Zal wel kostbaar zijn om te implementeren, maar de gevolgen zij niet te overzien als dit nog eens gebeurt. Vooral ook omdat DigiNotar al maanden wist dat de certificaten gecomprimenteerd waren. Uiterst slechte zaak.

Neut72 @Lohengrin • 5 september 2011 13:47

Het feit dat medewerkers van Diginotar inderdaad vele weken geleden al wisten dat er een probleem was en dat dit toen niet gemeld is - sterker nog: Het feit dat medewerkers van een webbrowser-afdeling alarm moeten slaan en dat het verhaal DAN PAS aan het rollen gaat...

...het geeft aan dat de overheid met een incompetente en onprofessionele organisatie in zee is gegaan. Een organisatie die daarnaast ook nog eens informatie van Nationaal en Internationaal belang achterhoudt waardoor er nu minimaal strafrechtelijk onderzoek moet plaatsvinden.

D-Raven 5 september 2011 12:28

Waar ik me ontzettend aan stoor is dat de belastingdienst zelf zegt dat er 'voldoende aanvullende waarborgen' zijn. Terwijl een ingewijde zegt dat er geen technisch aanvullende waarborgen zijn.
De belastingdienst is dus gewoon de boel aan het voorliegen, de administratieve maatregelen waar ze het over hebben zijn namelijk bij lange na geen 'voldoende aanvullende waarborgen'. Ze zeggen dat ze coulant om zullen gaan met te laat ingevulde belasting aangiftes. Ja leuk, maar dat is niet het hoofdprobleem. Het probleem is dat de communicatie tussen een bedrijf die aangifte doet en de belastingdienst niet gegarandeerd vertrouwelijk is!

Dus zodra er iets misgaat ben jij de lul.
Zeg dan op zijn minst dat je bezig bent met het vervangen van die certificaten maar dat dit nog even gaat duren en tot die tijd de oude certificaten in gebruik blijven. Dan is het tenminste duidelijk dat we voorlopig aangiftes via de post moeten doen.
Maar ga niet pretenderen dat het allemaal in orde is terwijl dit niet zo is.

GrooV @D-Raven • 5 september 2011 14:55

Misschien bedoelen ze wel gewoon dat er een extra controle op de aangiften komt zodat ze kunnen zien of deze wel kloppen.

Daarnaast is er helemaal niet zo veel aan de hand zolang jij niet met je laptopje op een gratis starbucks wifi gaat zitten. Er moet nog altijd een MITM attack uitgevoerd worden door die zelfde hackers die de certificaten hebben vervalst

PepijnK 5 september 2011 13:47

Tja, ik hoopte bij de invoer van het biometrische paspoort dat die biometrische gegevens dan gebruikt konden worden om op dergelijke sites in te loggen. Vergelijkbaar met het systeem dat het in Belgie wordt toegepast.

Maar DigiD bleef slecht beveiligd met alleen een gebruikersnaam en wachtwoord. Nu blijkt ook nog eens dat de overheid het niet zo nou neemt met hun SSL Certificaten, word ik alleen maar gesterkt in mijn gevoel dat DigiD niet te vertrouwen is omdat het onvoldoende beveiligd is.

Nou zou ik zo 1 2 3 niet weten wie de verantwoordelijke minister is voor dit soort zaken, maar het lijkt mij niet meer dan gepast dat deze na zulk ernstig falen zijn of haar ontslag indient.
Immers de minister kan het volk niet dienen als de minister duidelijk geen kennis van zaken heeft en blijkbaar ook maar marginaal mensen in dienst heeft die weten waar het over gaat en hoe te handelen.
En dat nog buiten het feit dat er vanuit Den Haag niets anders geroepen wordt dan "het valt allemaal reuze mee" en als wordt aangetoond dat het toch niet zo is dan is het enige antwoord wat er komt "ja, maar zelfs als je dat er bij haalt dan nog valt het allemaal best wel mee."

blobber 5 september 2011 21:29

Van teletekst:

114 Teletekst ma 05 sep
Diginotar zelf zo lek als een zeef
Diginotar,dat verantwoordelijk was voor de beveiliging van overheidssites, is zelf volstrekt onveilig.Dat blijkt uit een onderzoeksrapport dat de NOS heeft ingezien.Minister Donner geeft er vanavond nog een persconferentie over.
Op de belangrijkste computers van het bedrijf zaten geen virusscanners en de medewerkers gebruikten eenvoudig te achterhalen wachtwoorden.Ook waren de softwareprogramma's niet bijgewerkt.Vorige week bleek dat het bedrijf is gekraakt door Iraanse hackers.Overigens blijkt dat de hackers uit waren op de gegevens van Iraanse internetgebruikers en niet op die van Nederland.

Wannial 5 september 2011 12:06

What if: Ik weiger om aangifte te doen wegens dit brakke systeem.
Ze eisen dat ik het wel doe, ik doe het, het word onderschept en vervolgens misbruikt iemand mijn gegevens..

Wat dan? Overheid aanklagen?
Ben hier eigelijk wel benieuwd naar.

avec_style @Wannial • 5 september 2011 12:08

per post aangifte doen?

Wannial @avec_style • 5 september 2011 12:09

Stel dit is de laatste dag dat ik de aangifte kan doen. (omdat ik bijvoorbeeld van 4 weken vakantie terugkom ofzo). Post is dan telaat, dan krijg je er nog een leuke boete bovenop.

MichaelB74 @Wannial • 5 september 2011 12:13

Dan ben je alsnog zelf schuldig, want je bent ten allen tijden ZELF verantwoordelijk voor een tijdige aanlevering van de gegevens.

Ik kan me wel voorstellen dat ze wat coulance verlenen in het geval van een serieus persoonlijk probleem, maar in eerste instantie geldt de verantwoordelijkheid voor een tijdige aanlevering.

Terugkomen van een vakantie en het dan pas doen, geldt helaas niet als geldige reden (weet ik uit de eerste hand

)

Wannial @MichaelB74 • 5 september 2011 12:15

Je leest niet goed wat ik schrijf.
Stel het is de laatste dag om aangifte te doen. je wilt het niet via de website doen omdat dit slecht beveiligd is, je doet het toch omdat het moet, en vervolgens worden je gegevens onderschept en misbruikt, wat dan?

Dus even helemaal losstaand van het feit of je nou wel of niet optijd bent.

@hieronder: lees nu eens.. Ik vraag gewoon wat er gebeurt mochten de gegevens misbruikt worden, VOLLEDIG LOSSTAAND van het feit of je op tijd bent of niet, of wat dan ook.

[Reactie gewijzigd door Wannial op 23 juli 2024 09:48]

MichaelB74 @Wannial • 5 september 2011 12:30

Als je gegevens onderschept worden, dan ben je alsnog zelf verantwoordelijk (lijkt mij), want er is voldoende voor gewaarschuwd incl. melding in je browser (als deze up-to-date is).

Het is allemaal overigens een erg theoretisch verhaal, want in het bericht staat dat de belastingdienst al coulant zal omgaan met te laat aangeleverde gegevens.

Bij twijfel: niet doen en even bellen of een brief sturen of een e-mail naar je rayon.

Hoowgii @MichaelB74 • 5 september 2011 12:47

Het gaat natuurlijk ook niet alleen om de browser.

Denk eens aan de tientallen aangifte pakketten.

Bijvoorbeeld primaccount heeft dit op hun website staan:
"Aanpak problematiek DigiNotar certificaten
Naar aanleiding van de berichtgeving aangaande de certificaten van DigiNotar deelt de belastingdienst het volgende mede: Naar aanleiding van de situatie rond de DigiNotar-beveiligingscertificaten is er intensief overleg gevoerd tussen de Belastingdienst, het ministerie van Financiën, VNO-NCW, MKB-Nederland, ICT Office en diverse softwareleveranciers en belastingconsulenten. In het overleg is vastgesteld dat de systemen waarmee ondernemers direct of via hun intermediair aangifte doen ook in deze situatie kunnen blijven functioneren. Het systeem kent voldoende aanvullende waarborgen voor een veilige aangifte. Alle betrokken partijen zijn overeengekomen dat de situatie de komende tijd nauwgezet wordt gemonitord. Indien zich nieuwe ontwikkelingen voordoen, wordt in overleg met de betrokken partijen bepaald welke vervolgactie noodzakelijk is. Als zich onverhoopt toch vertragingen voordoen, dan zal de Belastingdienst hier coulant mee omgaan. Klik hier voor de beschikbare informatie op de website van de Belastingdienst:" bron: http://primaccount.nl/

En de belastingdienst zelf: http://www.belastingdiens...ginotar_problematiek.html

Uit deze twee artikelen kun je opmaken dat je beter kunt wachten. (Particulier).

Voor de aangifte OB bijv. zegt de belastingdienst dat er voldoende waarborgen zijn: "Het systeem kent voldoende aanvullende waarborgen voor een veilige aangifte". Het lijkt me dan ook dat je ze aansprakelijk kan stellen hè.

erikdenv @Wannial • 5 september 2011 12:16

Dan vraag je uitstel aan. Als je een goede reden hebt dan kan dat.

Morelleth @erikdenv • 5 september 2011 12:21

Of je gaat met de volledige aangifte op papier langs het lokale belastingkantoor (of in de dichtsbijzijnde stad). En laat ter plekke ondertekenen voor ontvangst.
Alhoewel ik niet weet of je als ondernemer ook zomaar binnen kan lopen om aangifte te doen.

Carbon @Morelleth • 5 september 2011 13:12

Of je gaat met de volledige aangifte op papier langs het lokale belastingkantoor (of in de dichtsbijzijnde stad). En laat ter plekke ondertekenen voor ontvangst.

OB-aangifte kan alleen digitaal!

Verwijderd @erikdenv • 5 september 2011 16:21

Voor de BTW aangifte kan geen uitstel worden verleend.

henkjobse @Verwijderd • 5 september 2011 16:30

Dit is niet helemaal juist. Formeel kan je geen uitstel vragen, maar op verzoek wordt in de praktijk wel uitstel toegekend.

Jrz @erikdenv • 5 september 2011 14:40

Kan niet voor btw aangifte

i-chat @Wannial • 5 september 2011 15:53

stel dat de maan uit z'n baan raakt en naar beneden komt..... *zei weilen mijn grootvader altijd.... - los gewoon je problemen op als ze er zijn, bell even met de BD en vraag om een paar dagen uitstel in verband met deze hack...

als jij van de hack af wist (of kon weten) en toch je gegevens stuurt ben je zelf verantwoordelijk, anderzijds is het bij wet verboden iemand aan te zetten tot een handeling die gevaar op kan leveren voor hemzelf of anderen (bijv te hard rijden, maar mogelijk ook onveilige certs vertrouwen)...

jouw stel dat gaat dus niet op... ze kunnen je simpel weg niet dwingen onveilige sites te gebruiken, maar jij had ook eerder al (voor de hack) je gegevens kunnen aanleveren.. je kunt alsnog een koerier inschakelen...

Verwijderd @i-chat • 5 september 2011 16:12

Lees nou eerst eens de eerdere reacties, OB kan niet per post.

Wat eerder aanleveren betreft: je hebt daar dertig dagen voor. Als ik jouw argumentatie volg dan kun je dat ook roepen als de hack op dag 2 plaatsvindt. Dit is om die reden geen redelijk argument. Je mag er vanuit gaan dat je dertig dagen hebt.

Cloud @Wannial • 5 september 2011 12:13

Per post kan v.i.z.w. sowieso niet. Hoe het met deadlines zit voor de aangifte weet ik zo niet, maar in het artikel staat:

Mochten er toch problemen optreden waardoor de aangifte vertraging oploopt, dan gaat de Belastingdienst daar 'coulant' mee om.

paradoXical @Wannial • 5 september 2011 13:18

De belastingdienst is in dit soort gevallen erg coulant en zal je zeker geen boete geven. Hoe weet ik dit!? Ik heb een aantal malen te laat mijn aangifte gedaan, zelfs een gegeven boete is na bezwaar weer ingetrokken.

Ga je vaker over de schreef dan zal het natuurlijk wel problemen gaan opleveren, maar in dat geval ben je natuurlijk schuldig!

henkjobse @paradoXical • 5 september 2011 16:34

Voor OB-aangiftes is men over het algemeen zeker niet coulant, omdat het formele richtlijnen zijn met weinig discretionaire bevoegdheid van de inspecteur. Daarnaast zijn er weinig redenen waarom je te laat zou kunnen zijn met je aangifte.

Biersteker @avec_style • 5 september 2011 12:10

Kan niet meer als ondernemer dacht ik.

rolandverh @Biersteker • 5 september 2011 12:26

Als ondernemer moet je voor de BTW in ieder geval electronisch aangifte doen. Dat kan al een tijd niet meer op papier.

bbob

Privacy
Politiek en recht

@rolandverh • 5 september 2011 13:02

net even gekeken inloggen ondernemers en het certificaat staat uitgegeven verisign 2010

maxxware @avec_style • 5 september 2011 12:41

Dat kan niet voor iederen. Volgens kunnen ondernemers alleen digitaal aangifte doen.

bommel @avec_style • 5 september 2011 13:08

Ondernemers zijn verplicht electronisch aangifte te doen...

SuperDre @avec_style • 5 september 2011 13:23

Aangifte op papier kan niet..

OpenMinded @avec_style • 5 september 2011 13:46

dat kan niet, tenminste niet meer voor ondernemers en ik meen ook niet prive.

t_captain @avec_style • 5 september 2011 14:50

Niet altijd meer mogelijk.
Zakelijke klanten moeten vaak elektronisch aangeven.

pedaalemmer|IA @avec_style • 5 september 2011 16:01

Bedrijven moeten digitaal aangifte doen

DGTL_Magician @avec_style • 5 september 2011 17:46

Dat kan dus niet als ondernemer

JT888 @avec_style • 5 september 2011 19:34

Ondernemers moeten verplicht digitaal aangifte doen

Japs 5 september 2011 12:31

Misschien zie ik het wat te simpel (nog nooit zelf mee gewerkt), maar om een ander certificaat op een website te plaatsen, komt toch in feite neer op wijzigen van een aantal sleutels in config bestanden? (copy-paste in een of ander config bestand?)

Dan is het toch onbegrijpelijk dat de overheidsinstanties hier zo moeilijk over doen:
Het is het dan toch een "karweitje van niks" om een z.s.m. nieuw certificaat aan te vragen bij een betrouwbare partij (wat kost dat? paar duizend euro voor een proffesioneel certificaat ofzo?), en dat dan installeren op de webservers?

Ik zou me er nog iets bij voor kunnen stellen als websites helemaal moeten worden aangepast en uitgebreid getest, maar als het met certificaat X werkt, is er toch geen enkele reden waarom het met certificaat Y niet werkt?

SuperDre @Japs • 5 september 2011 13:37

voor een website is het ook geen probleem, maar daar gaat het hier dus ook helemaal niet over. het gaat hier over de 'aangifte' certificaten (zowel die van de Belastingdienst als van ALLE bedrijven die aangiftes insturen), dat zijn er niet een paar, maar een 100.000+, die vervang je niet zo maar 1 2 3.. zeker niet omdat die certificaten dus aangevraagd moeten worden door leken.. Het puur verlengen van clientcertificaten was al een nachtmerrie voor een gemiddelde helpdesk, laat staan het compleet opnieuw aanvragen bij een andere leverancier.

[Reactie gewijzigd door SuperDre op 23 juli 2024 09:48]

Japs @SuperDre • 5 september 2011 14:29

Thanks SuperDre, als alle bedrijven dan ook een nieuw certificaat moeten installeren, verklaart dat inderdaad een boel...

regmaster @SuperDre • 5 september 2011 16:07

Daarnaast hebben CA's ook maar een bepaalde capaciteit om een hoeveelheid aanvragen per dag verwerken. KPN/Getronics kan er zo'n 200 per dag doen maar de kleinere mogelijk maar de helft. Indien je zo'n 100.000 aangifte certificaten voor ondernemers moet gaan verwerken dan kun je een beetje uitrekenen wat daar voor nodig is. Overigens moet er voor de overheid ruim 50.000 certificaten met voorrang worden vervangen dus die aangifte certificaten hebben sowieso een lagere prio.
Doorlooptijd kan dus wel enkele maanden met zich mee brengen.

MSalters

Politiek en recht

@Japs • 5 september 2011 13:01

Het kost hooguit een paar honderd euro. Het echte probleem is dat de andere aanbieders van deze "PKIoverheid" certificaten wel een fatsoenlijke controle doen, om te checken of de aanvrager inderdaad wel de Nederlandse Belastingdienst is, en niet een iraanse hacker. Dat is niet instantaan. Je kunt dus niet verwachten dat het maandagochtend al werkt, terwijl de certificaten zaterdag pas revoked werden.

Netrunner 5 september 2011 12:08

Waarom ziet men gewoon het stomme probleem niet, direct afstappen van problemen. DigiD heeft correct gehandeld, ik kan hier zo pissig om worden he. Stap gewoon die veiligheid in en stam af van die stomme Diginotar die zn zaakjes niet op orde heeft. Hoeven we ook geen risico's te nemen.

Cobalt @Netrunner • 5 september 2011 12:15

Volgens mij zijn ze ook aan het overstappen op andere CA's echter heeft de overheid ontzettend veel domeinnamen en service's die allemaal een eigen cert hebben.

SuperDre @Netrunner • 5 september 2011 13:28

Dat is niet zo simpel als jij doet voorkomen, het gaat hier om 100.000+ bedrijven die nu allemaal nieuwe certificaten moeten gaan aanvragen, daarnaast moeten de huidige aanfiteprogramma's aangepast worden dat ze gebruik kunnen maken van de nieuwe certificaten, dus die software moet ook aangepast worden en getest, dat kost ook tijd.

Dus dat ze gewoon voor de digitale aangifte (BAPI) nog gewoon doorgaan met de huidige certificaten is geen probleem.

Dmartino 5 september 2011 12:12

Het artikel is niet geheel juist. Bij Digid.nl staat onder het kopje. Laatste nieuws
Beveiligingswaarschuwing bij gebruik DigiD staat er nog steeds.

PuzzleSolver @Dmartino • 5 september 2011 12:36

ook staat er nog in de help:

Controleer het SSL-certificaat. Dit certificaat zorgt voor een beveiligde internetverbinding tussen DigiD en uw browser.
Dubbelklik op het hangslotje
Controleer of het certificaat is uitgegeven aan as.digid.nl of applicaties.digid.nl
Controleer of het certificaat is uitgegeven door DigiNotar B.V.
Controleer dat het certificaat in de hiërarchie is te herleiden tot 'Staat der Nederlanden Root CA'

Dus ze moeten de website nog updaten, maar ze hebben in ieder geval weer een goed certificaat (iets wat ze mijns inziens direct hadden moeten doen toen het nieuws bekend werd dat diginotar was gehacked).

[Reactie gewijzigd door PuzzleSolver op 23 juli 2024 09:48]

brompot758 @Dmartino • 5 september 2011 13:57

DiGiD heeft sinds zondag een certificaat dat door Getronics is uitgegeven. Althans op www.digid.nl.

aZuL2001 5 september 2011 12:20

Bij de belastingdienst ligt het wel wat complexer dan alleen de website.
Denk aan de BAPI certificaten die door accountantskantoren gebruikt worden om aangiften in te sturen.
Die kantoren hebben allemaal een eigen client certificaat.
Voordat je die vervangen hebt...

Niet dat ik het wil goedpraten, maar het is wel van een wat andere orde en grootte dan alleen de https certificaten van de webserver(s).

thof

@aZuL2001 • 5 september 2011 12:36

Het zou mij niet verbazen als er in de software 'hard coded' ergens een check staat die controleert of het een specifiek certificaat is. Met deze nieuwe certificaten kan dat problemen op leveren en misschien hebben ze daarom nog geen nieuwe certificaten kunnen implementeren bij De Belastingdienst.

SuperDre @thof • 5 september 2011 13:33

ongeacht of het gehardcode staat, je moet dus rekening houden dat ALLE! bedrijven die de inzending verzorgen nieuwe certificaten moeten aanvragen, en dat is dus niet iets dat je eventjes doet. Aangiftes MOETEN binnenkomen, want geen aangiftes binnen is ook geen inkomsten binnen...

Er wordt echt niet zo laks bij de overheid gereageerd als je denkt..

bh808303 @aZuL2001 • 5 september 2011 13:27

Goed punt ik ben benieuwd wanneer deze BAPI certificaten ook ongeldig worden verklaard. Momenteel kan er nog steeds mee gecommuniceerd worden, terwijl er toch een groot potentieel beveiligingsprobleem mee is.

Het zou mij toch verbazen als ze de huidige certificaten actief laten tot ze verlopen zijn. Maar gezien hoe ze ermee omgaan kijk ik nergens meer van op.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (89)

Sorteer op:

Weergave: