Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

Bedrijven die in allerijl de inmiddels omstreden PKIoverheid-certificaten van DigiNotar willen verruilen voor een nieuw Getronics-certificaat, blijken tegen extra kosten aan te lopen als zij een verouderd besturingssysteem gebruiken.

Tot begin dit jaar gaf DigiNotar nog PKIoverheid-certificaten uit die met SHA-1 zijn versleuteld. Als gevolg van een nieuwe overheidseis zijn er in 2011 enkel nog SHA-2-certificaten uitgegeven die van aes256-encryptie zijn voorzien.

In de praktijk werken diverse bedrijven en overheidsinstellingen nog met de tot 2011 door DigiNotar uitgegeven SHA-1-variant van de PKIoverheid-certificaten en bestaan de twee certificaat-hiërarchieën naast elkaar. Nu de overheid besloten heeft Getronics als certificaatverstrekker in te schakelen in reactie op het DigiNotar-debacle, blijkt echter dat veel bedrijven en overheidsinstellingen wellicht nog gebruikmaken van verouderde versies van Windows, die niet met SHA-2 overweg kunnen.

Windows 2000 en Windows Server 2003 SP1 kunnen bijvoorbeeld niet overweg met SHA-2. Hoewel het gebruik van Windows 2000 op de desktop vandaag de dag marginaal is, wordt Windows Server 2003 nog aanzienlijk vaker gebruikt. Bedrijven en overheidsinstellingen die hierdoor geconfronteerd worden met een niet werkend Getronics-certificaat, hebben in de praktijk vaak geen tijd om hun omgeving naar een recentere versie te upgraden.

Voor deze klanten heeft Logius, een onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, een speciale overgangsregeling ingesteld. Deze groep moet, naast de aanschaf van een regulier PKIoverheid-certificaat bij Getronics, een aanvullend certificaat kopen. Dit certificaat kost 150 euro en is geldig tot 31 december 2011.

Na die datum staat Logius niet toe dat er nog certificaten worden uitgegeven onder de oude hiërarchie. Bedrijven en overheidsinstellingen die gebruikmaken van PKIoverheid-certificaten en die Windows Server 2003 SP1 of Windows 2000 gebruiken, moeten hierdoor nog dit jaar migreren naar een besturingssysteem dat wel SHA-2 ondersteunt, waarschuwt Getronics.

Moderatie-faq Wijzig weergave

Reacties (65)

Hoewel het gebruik van Windows 2000 op de desktop vandaag de dag marginaal is, wordt Windows Server 2003 nog aanzienlijk vaker gebruikt.
Ja, maar ten eerste word Windows Server 2003 niet op desktops gebruikt in het algemeen, maar op servers. En ten tweede draaien de meeste bedrijven die Windows Server 2003 gebruiken inmiddels wel SP2 lijkt me, en daar werken deze certificaten dus wel op, mits je deze patch installeert.

Een beetje een storm in een glas water lijkt me dit dan ook. En idd, Windows 2000 zal bij weinig bedrijven meer gebruikt worden, het is al een tijdje out of support en end of life...

[Reactie gewijzigd door wildhagen op 9 september 2011 09:54]

IMHO lopen vele overheden so wie so 10 jaar achter kwa ICT. Ze hebben out-of-support en end-of-life hoog in het vaandel.

Oja dat herinnerd me, moet voor m'n moeder ff een USB muis meenemen want op haar gemeentekantoor blijken hun seriele muizen niet te passen op hun nieuwe pc's.
Het is een kwestie van het tegen (hoge) kosten vervangen van een component die het gewoon perfect doet. In de verkeers-signalering op de snelwegen zijn we nu net de laatste PC's met MS-DOS aan het uitfaseren, niet omdat het op zich niet voldoet, maar omdat de hardware ineenstort en er geen vervanging meer voor te vinden is.
waarom zou je een nieuwe muis kopen als de oude nog werkt. kan me vanuit de IT afdeling ook heel goed voorstellen dat zij even niet bedenken dat er op de afdeling waar net nieuwe pc's geplaatst worden geen usb muizen zijn dus dat die niet werden meebesteld. in een grote organisatie heb je veel sneller dat soort problemen die misschien wel redelijk grote gevolgen hebben (geen muis is geen pc voor heel veel mensen) maar ontstaan door een volkomen begrijpelijk communicatiestorinkje
Het kan nog erger. Ik ken iemand die bij een gemeente werkt waar ze nog typemachines gebruiken (je weet wel, met correctielintjes en zo) omdat computers te ingewikkeld zijn.

/off-topic
Die systemen zijn nu al gegarandeerd millenium-proof voor het jaar 3000.

/off-topic
in het jaar 3000 bestaan er wellicht geen correctielintjes meer
In 3000 heb je zelf uitikkende brieven en documenten
Jah, maar dat zal niet zijn om brieven te tikken, maar om formulieren in te vullen. Letters moeten keurig in et vakje. Met een printer is dat gewoon tobben. Met typemachine ook niet altijd eenvoudig, maar stuk makkelijker.
In de link die je hierboven hebt geplaatst, staat dat die patch ook is geschikt voor Server 2003 SP1. Geen probleem dus. Als je nu nog servers gebruikt met 2000 of 2003 zonder SP dan is het terecht dat je moet betalen voor die oude handel.
We praten hier over overheidssystemen je kunt er donderop tegen zeggen dat er daar nog VMS (niet open VMS maar het veel oudere VMS) systemen draaien. 2003 SP1 of zelfs zonder SP verbaasd me helemaal niets.
Daar naast vermoed ik dat er nog wel een paar weken verschillende systemen gevonden worden waar men het bestaan al lang van vergeten is en het nut de meeste volledig ontgaat. Waar alleen omdat dingen nu niet meer werken men tot de ontdekking komt dat dit ding schijnbaar ook iets doet dat van belang is.

Overheden zijn een beetje als hele grote bedrijven, als een bedrijf of een overheid groot genoeg is dan verdwijnen bepaalde systemen simpel weg van de kaart en vergeten mensen wat die dingen doen etc.

On a side note... ik ga van af komende maand werken aan het uitzetten van een stuk of 10 VMS machines draaiend op een DEC Alpha processor, voor een groot bedrijf. Mijn eerste taak, uitvinden wat die dingen op dit moment eigenlijk voor het bedrijf doen. Men is als de dood dat er iets belangrijks op draait maar heeft geen idee wat dat dan zou kunnen zijn of hoe men dat nu nog uit kan vinden.
Dit is dan wel een extreem groot bedrijf maar het is niet veel anders dan een overheid waar ook vele duizenden servers draaien en men van minimaal 5% geen idee heeft wat ze nu eigenlijk doen.
Je vergeet dat heel veel bedrijven terminal server/citrix gebruiken. Als jouw farm is ingericht met Windows 2003 gebruik je dit dus ook op je desktop.

Mee eens, je zal toch inmiddels SP2 wel geïnstalleerd hebben.

Maar goed, oude systemen zijn bij bedrijven niet vreemd. Wij hebben nog een aantal Windows NT server draaien.
De overheid heeft nog genoeg servers staan waar Windows Server 2000 op draait.
Deze kunnen niet zomaar worden geüpdate worden naar 2003+ omdat de software die er op draait dan niet meer werkt.

Trouwens, de 3-4 dagen die minister Donner maandag claimde nodig te hebben voor het vervangen van de certificaten: ;( Was het maar gebeurd. 'Gelukkig' kan (Lees: MOET) ik nog gebruik maken van een oude versie van firefox, waardoor ik er geen last van zal hebben.
Als je vandaag de dag nog server 2003 draait (wij draaien het ook, daar niet van) dan moet je toch inmiddels wel tijd hebben gehad om SP2 te testen en uit te rollen?
Er is anders ook nog een losse hotfix voor SHA-2, als men problemen heeft met SP2.
Ik geef niet snel commentaar op een nieuwspost van Tweakers.net, maar deze is toch wel misleidend hoor.

In de titel staat letterlijk "Getronics berekent extra geld voor SHA-1-certificaten". Terwijl daar dus simpelweg niets van klopt. Getronics mag de SHA-1 certificaten niet uitgeven van de overheid, daar heeft de overheid een eigen regeling voor via Logius. Getronics verdient daar dus niets meer of minder om.

Dat Getronics dan zegt dat het tijd wordt om te upgraden zou je kunnen zien als een verkapte reclame, aangezien zij veel overheidsdiensten ondersteunen hierin. Maar dat is toch wel heel vergezocht.

Een titel als "Uitgifte nieuwe certificaten noopt overheid tot upgraden infrastructuur" lijkt me dan meer op zijn plaats.

Wel leuk trouwens: minimaal 256bits, anders valt het te kraken... En vervolgens is zoals altijd human error (een makkelijk wachtwoord, root CA verbonden met netwerk) die ons de das om doet. Daar helpt geen bitje je tegen hoor!
Uit de melding van Getronics maak ik wel degelijk op dat Getronics de factuur voor 150 euro stuurt. Nadat er een 'normaal' certificaat is besteld bij Getronics, ontvangt de contactpersoon hiervan een mail. Deze mail moet worden beantwoord indien er van de overgangsregeling gebruik moet worden gemaakt. In die mail moet staan:
Voor de onderstaande aanvraag wensen wij in het kader van de overgangsregeling die is ingesteld door Logius een certificaat te ontvangen onder de hiërarchie van de "Staat der Nederlanden Root CA". Wij zijn ons er van bewust dat dit certificaat geldig zal zijn tot 31-12-2011 en gaan akkoord met de meerprijs van €150,-
Hieruit maak ik op dat een bedrijf tegenover Getronics akkoord gaat met de meer prijs van 150 euro.

Je suggestie voor de alternatieve titel hadden we hier ook bedacht, maar dan voor een achtergrondartikel waar we de komende weken maar eens mee aan de slag moeten gaan.

[Reactie gewijzigd door Wilbert de Vries op 9 september 2011 10:37]

Het is algemeen bekend, tenminste in het bedrijfsleven dat hele grote instellingen (zoals de overheid) door de tijd heen hopeloos verouderd raken, omdat ze vast zitten aan bepaalde software pakket die niet of moeilijk migreerbaar zijn naar een nieuw besturingssysteem.

Zou een goed moment zijn daar eens werk van de maken, zorgen dat er gekozen wordt voor oplossingen die je wel gewoon op kan pakken, op een willekeurige machine kunt zetten met een bijna willekeurig besturingssysteem en gewoon werken.

Ik denk dan snel aan monsters zoals Oracle en Exchange. Probleem is dan weer welke pakketten voldoen aan de eisen die er liggen en ook aan de eis dat het makkelijk migreerbaar is.
door de tijd heen hopeloos verouderd raken
Ach, bij het Gelre ziekenhuis (Apeldoorn/Zutphen) is de afgelopen jaren alles verbouwd en vernieuwd, en nog steeds draaien alle clients op Windows 2000. Lekker hoor, IE6. Gelukkig bestaan er tegenwoordig portable apps.
Ik zie ook geen oplossing.

Kijk web apps hebben het probleem, niet of minder. Je kunt gewoon naar een andere OS toe en een nieuwere browser, over het algemeen (met een uitroep teken) werkt het dan nog.
De web app zelf kun je altijd upgraden, want je bent niet afhankelijk van de infrastructuur van je clients. Je zou de hele server kunnen vervangen, zolang je database maar mee gaat.

Maar web apps zijn alles behalve geschikt voor alle zaken. Als CRM systeem of andere kantoor achtige zaken is het ideal. Maar als het gaat over high security administratie of mission critical systems.

Iemand suggesties?
Want bij harde programmeer talen ben je gewoon afhankelijk van je leverancier om nieuwe versies van een applicatie af te leveren. Als het dan allemaal custom code is kun je dus gewoon NIET migreren. Tenzij het vanaf de grond opnieuw wordt geschreven in sommige gevallen. En dat is soms niet eens het grootste probleem. Ik zie ook vaak dat databases of andere type data sets gewoon nauwelijks overdraagbaar zijn.
Ik heb het niet over web apps, maar portable apps (bijv. www.portableapps.com). Dan kan ik tenminste nog een recente firefox draaien om fatsoenlijk te internetten. Leuk probleem daarbij is dat we ook gebruik maken van AFAS Profitweb, wat alleen in IE werkt (andere browsers geven een witte pagina 8)7 ). En de ondersteuning voor IE6 gaan ze laten vallen. Kunnen we dus straks niet meer gebruiken vanaf onze werkplek (extern bedrijf in het ziekenhuis).
Maar als de grote instellingen daar al de tijd, geld en visie voor zouden hebben, dan zouden ze waarschijnlijk al systemen hebben die SHA-2-certificaten ondersteunen. Een goed moment om over te stappen is het namelijk nooit, want het vereist een lange termijnvisie. Systemen moeten daarbij evolueren en dit nieuwsbericht duidt erop dat bedrijven/instellingen daar niet op inspelen met het ontwerpen van hun systemen. Je ziet dus dat er workarounds (Windows Server 2003 SP2 of alternatieve, tijdelijke certificaten) nodig zijn.
omdat ze vast zitten aan bepaalde software pakket die niet of moeilijk migreerbaar zijn naar een nieuw besturingssysteem
Als je het servicepack niet al kan upgraden moet je toch echt iets doen want Microsoft levert na een jaar geen security patches voor versies met verlopen servicepacks.
Getronics berekent extra geld voor SHA-1-certificaten
Ik zie het meer als een service dat Getronics, tegen betaling, nog steeds SHA-1 certificaten levert. Een alternatieve kop was geweest:
"Bedrijven werken met 8 jaar oud besturingssysteem"

edit:
@hieronder

Ik weet natuurlijk ook wel dat het oud nieuws is dat bedrijven oude software gebruiken.Het aantal DOS schermen dat ik nog bij instellingen als de Bloedbak of de Gamma zag wordt hard minder, maar ik snap best dat dat bedrijven meer tijd kost om over te stappen op nieuwe systemen dan particulieren. Wat ik bedoel te zeggen is dat deze kop Getronics afschilderd als een bedrijf dat een slaatje probeert te slaan uit de problemen met DigiNotar. Andersom had de invalshoek ook kunnen zijn dat, ondanks het gebruik van een verouderd systeem, Getronics, tegen een kleine verhoging van de kosten, uitkomst kan bieden.

[Reactie gewijzigd door 84hannes op 9 september 2011 14:40]

@84 Hannes, jij hebt zeker nog nooit bij een bedrijf op de ICT afdeling gewerkt ;-)
"Bedrijven werken met 8 jaar oud besturingssysteem" is helemaal geen aparte kop want een groot deel van de bedrijven waar ik heb gewerkt was er altijd wel ergens nog een paar pc/servers die software draaien die niet naar een nieuwere versie van windows kunnen..windows 95, 98 draaide hier een jaar geleden nog, er draait nog 1 win2000 machine voor een software pakket van een apparaat die simpelweg geen windows xp drivers heeft.
Ik beheer nog twee NT4 machines uit 2000. Het zijn industriële computers op een intranet en ze staan al 11 jaar 24/7 aan.
De eerste machine regelt een hardware installatie, de tweede is een kopie als backup, maar dat is nog nooit nodig geweest.

Ze zijn niet stuk te krijgen, dus waarom zou ik ze vervangen?
Het enige probleem is, waar haal je zo snel een toetsenbord met DIN plug vandaan als dat nodig is? Maar gelukkig is er VNC :)
Ik zou heel zenuwachtig worden van zo'n systeem. Elk systeem binnen je bedrijf zou je echt minimaal elk half jaar moeten rebooten zodat je tenminste nog weet dat die machine op start. Want op het moment dat de machine stuk gaat heb je geen tijd om hardware te vervangen.
Vervangen van zeer oude machines kost weinig geld.En als je echt die ouder OS versie nodig hebt, dan draai je het in een VM op je nieuwe servertje. Zo'n 11 jaar oud ding vervangen met een machine die exact hetzelfde kan ben je echt geen 1000 euro kwijt (hardware + manuren).
Maar als dat oude beest stuk gaat gaat het je echt wel meer dan 1000 kosten.
Als ik hem nu reboot, geeft mij dat niet de garantie dat die het ook over 5min nog steeds goed doet.
Daarbij een betere test is, poweroff / poweron. Reboot is heel wat anders dan een poweroff.
Zelf heb ik, als ik dat zo lees heel sterk de indruk dat het moeten platgooien van die hardware-installatie, al is het maar 5 minuten, om de NT4-machine te rebooten dusdanig veel geld kost* aan verloren productie en verloren grondstoffen, dat men dat wijselijk uit hun hoofd haalt.

Op het moment dat die installatie toch plat moet, voor onderhoud, upgraden oid, dan kan men de NT-4 machine ook herstarten al is het de vraag of dat nodig is en of hij het daarna nog doet.

Mocht die machine eerder uitvallen, dan is er dus die tweede NT-4 machine, waarvan ik aanneem dat hij nog wel af en toe gestart wordt.

De kosten van het moeten platgooien van bv een naftakraker, zijn meestal behoorlijk hoog.
Twee - drie jaar geleden: meerdere dos pc's stuurden nog productie aan: 386 sx, géén dx ... en geen schijven met een partitie groter dan 128 MB ... :+
Te grote cluster voor de software ... Dat is pas leuk, als het stuk gaat ...
tja, die ken ik ook nog wel. Laatst was ik bij een bedrijf waar een machine die omgerekend in 1994 400.000 euro kostte, productie staat te draaien met een 386, fabrikant failliet, dus ondersteuning nul.

Bij het systeem beheer staan er diverse oude machientjes in het hok 'klaar' om als vervanging te dienen (met een grote stikker er op dat het GEEN oude meuk is en iedereen er met z'n tengels af moet blijven). Deze hebben ze na overleg 'gered' uit de containers van de lokale afval verwerker.

Men is uiteraard al enkele jaren op zoek naar een vervangende machine, maar nog niks gevonden dat voldoet aan de eisen of investerings capaciteit van het bedrijf. Tot die tijd, lekker crea bea doen.
Zojuist nog ingelogd op een Windows 2000 server van een klant van ons :)
Een alternatieve kop was geweest:
"Bedrijven werken met 8 jaar oud besturingssysteem"
Maar dat is geen nieuws (zelfs geen "ouds" meer).
Het is technisch helemaal niet nodig om een een SHA2 certificaat te gebruiken om b.v. met Digid in te loggen op een site. Ook hoef je geen certificaat te gebruiken van PKI overheid.

Het enige wat Digid doet is, als je op je site wilt inloggen middels Digid, dat ze eenmalig controleren of je wel een PKI overheid certificaat gebruikt.
Wij hebben ons ingetrokken DigiNotar certificaat (tijdelijk) vervangen door een SHA1 certficaat van een andere CA en het inloggen met Digid werkt nog steeds.
Bedoel je met een andere CA een NIET PKI overheid certificaat? Zo ja hoe kan je nu de burgers garanderen dat ze op een overheidswebsite zitten? Daar draait de heleboel namelijk om. Het vertrouwen dat je 100% zeker met de overheid te maken hebt en je privé gegevens niet gehackt worden.
Inderdaad dat ben ik helemaal met je eens. Dat kun je dus niet. Daarom geef ik dat ook aan.
Die hele acceptatie procedure die Digid hanteert voordat je op je eigen site mag inloggen via Digid is dus een wassen neus. Als je daar eenmaal door heen bent kun je het certificaat gewoon vervangen door een minder veilig exemplaar.
Windows 2000 en Windows Server 2003 SP1 kunnen bijvoorbeeld niet overweg met SHA-2. Hoewel het gebruik van Windows 2000 op de desktop vandaag de dag marginaal is, wordt Windows Server 2003 nog aanzienlijk vaker gebruikt.
Waarom wordt er bij Windows 2000 vanuit gegaan dat het om de desktop variant gaat, in deze context is het logischer aan te nemen dat het hier ook om de server versie gaat, welke nog best her en der in gebruik zal zijn.
Er zal nog wel wat Windows 2000 in gebruik zijn aan serverzijde, maar veel zal het niet meer zijn. Dit omdat het al een tijdje out of support en end of life is, en er dus ook geen security-patches meer voor uit komen.

Hetzelfde geld voor Windows 2003 zonder SP, of Windows 2003 Service Pack 1, ook die zijn al een tijdje niet meer gesupport (sinds respectievelijk april 2007 en april 2009).

En dat is dus een security-risico. Daarom zullen bedrijven dat dus niet snel doen.

En voor de bakken zonder SP2, die er dan ongetwijfeld nog wel enkele zullen draaien, zullen niet altijd iets met certificaten doen, en dan hebben die dus ook nergens last van (voor wat betreft dit issue dan).

Overigens kan je machines die 2003 SP1 draaien wel compatible maken met SHA2-certificaten, door deze patch te installeren. Voor 2003 zonder SP en 2000 is dit idd niet meer mogelijk.
150 euro is toch niet zo veel? Vergeleken met wat voor budget de gemeentes hebben...
Dat ligt er aan, als het puur een server certificate is, dan is het inderdaad niet een enorme kosten post. Maar als het ook voor persoonsgebonden certificaten gaat kan het bedrag nogal snel oplopen.
Dit is dus een ontmoedigend beleid richting de overheid zelf. Vind het goed van ze.
150 euro uitgeven voor iets wat 3 maanden werkt en waarna je alsnog moet upgraden naar SP2 om het SHA-2 certificaat vanaf 1 januari 2012 te gaan gebruiken of gelijk upgraden van je servers naar SP2 en 150 euro uitsparen.

Vind het netjes dat ze de keuze geven, maar had van mij niet gehoeven. De overheden die nu die 150 euro uitgeven moeten maar eens goed nadenken wat ze precies aan het doen zijn.
Vind het netjes dat ze de keuze geven, maar had van mij niet gehoeven. De overheden die nu die 150 euro uitgeven moeten maar eens goed nadenken wat ze precies aan het doen zijn.
Ik denk dat het wel goed is. Je kunt nu voor €150,- direct het probleem verhelpen. En daarna heb je nog 3mnd om je upgrade/hotfix te testen. Je zou ze anders verplichten om direct aanpassingen te doen voor dat de dienst weer online kan, met alle mogelijke problemen die daar door ontstaan. Ik vind 3mnd dan wel een mooie overgangs regeling.
Dat krijg je er van als je je upgrades niet goed inplant. Als je een of andere balzak bent die denkt dat ie ook wel even windows komt beheren om dat het windows is en dus oh-zo-makkelijk, dan loop je gegarandeerd tegen dit soort problemen aan. Jezelf vastpinnen op windows om dat de rest moeilijk is, slaat dus nergens op, want stel dat je echt moet weten waar je mee bezig bent, dan moet je het compleet kennen. Dan kan je met hetzelfde gemak Linux en Mac OS X leren/gebruiken/beheren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True