Ministerie onderzoekt stelsel ssl-certificaten

Het Nederlandse Ministerie van Binnenlandse Zaken onderzoekt of het stelsel van uitgifte van ssl-certificaten op de schop moet. Dat zegt minister Donner. Ook het toezicht op vertrouwde certificaatverstrekkers wordt onder de loep genomen.

Het ministerie wil erachter komen of de overheid nog wel kan vertrouwen op het stelsel van ssl-certificaten, die door vertrouwde bedrijven worden afgegeven, schrijft minister Donner aan de Tweede Kamer. "Het kabinet neemt de structurele betekenis van de gebeurtenissen in ogenschouw. In het licht hiervan voert het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties onderzoek uit naar het gehele stelsel en proces rondom PKI-Overheid, inclusief het toezicht daarop. Het ministerie laat aanvullend daarop onderzoeken in hoeverre de problemen rondom DigiNotar ook consequenties hebben voor de wijze van toezicht op uitgifte van gekwalificeerde certificaten." Het is onduidelijk wat er gebeurt als het ministerie concludeert dat het hele stelsel op de schop moet.

Het ministerie is de derde overheidsinstantie die een onderzoek uitvoert naar aanleiding van de hack bij ssl-autoriteit DigiNotar, die enkele weken geleden aan het licht kwam. Ook toezichthouder OPTA en het Openbaar Ministerie doen al onderzoeken naar wat er is foutgegaan in de zaak. De hacker die de kraak claimt, de Iraniër ComodoHacker, heeft 531 valse ssl-certitificaten gemaakt door in te breken op de systemen van het Beverwijkse bedrijf. Omdat de systemen waar de overheidscertificaten worden gemaakt niet goed gescheiden bleken van de plaats waar gewone certificaten worden gegenereerd, kon de Nederlandse overheid niet garanderen dat overheidsdiensten beveiligd waren.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 13-09-2011 14:09 24

13-09-2011 • 14:09

24

Lees meer

Regels voor verstrekken ssl-certificaten zijn aangescherpt
Regels voor verstrekken ssl-certificaten zijn aangescherpt Nieuws van 1 juli 2012
Openbaar Ministerie zet verdachte hacking en phishing langer vast
Openbaar Ministerie zet verdachte hacking en phishing langer vast Nieuws van 21 maart 2012
Overheid stapt over op opensource-vpn-pakket
Overheid stapt over op opensource-vpn-pakket Nieuws van 22 november 2011
Vasco ziet winst flink afnemen door DigiNotar-faillissement
Vasco ziet winst flink afnemen door DigiNotar-faillissement Nieuws van 27 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
Tweede Kamer wil 'ict-brandweer'
Tweede Kamer wil 'ict-brandweer' Nieuws van 14 oktober 2011
Gehackte ssl-autoriteit DigiNotar is failliet verklaard
Gehackte ssl-autoriteit DigiNotar is failliet verklaard Nieuws van 20 september 2011
DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd
DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd Nieuws van 20 september 2011
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten
Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten Nieuws van 17 september 2011
Nederlandse hackers willen meer bevoegdheden voor Govcert
Nederlandse hackers willen meer bevoegdheden voor Govcert Nieuws van 15 september 2011
OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig
OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig Nieuws van 14 september 2011
Apple brengt DigiNotar-patch voor OS X uit
Apple brengt DigiNotar-patch voor OS X uit Nieuws van 10 september 2011
GlobalSign: geïsoleerde webserver gekraakt
GlobalSign: geïsoleerde webserver gekraakt Nieuws van 10 september 2011
DigiNotar-hacker daagt Fox-IT uit
DigiNotar-hacker daagt Fox-IT uit Nieuws van 9 september 2011
GlobalSign wil vanaf maandag weer certificaten uitgeven
GlobalSign wil vanaf maandag weer certificaten uitgeven Nieuws van 9 september 2011
Ssl-hacker claimt privésleutel GlobalSign in handen te hebben
Ssl-hacker claimt privésleutel GlobalSign in handen te hebben Nieuws van 8 september 2011
OPTA neemt uitgifteproces Diginotar-certificaten onder de loep
OPTA neemt uitgifteproces Diginotar-certificaten onder de loep Nieuws van 7 september 2011
GlobalSign staakt uitgifte ssl-certificaten en huurt Fox-IT in - update
GlobalSign staakt uitgifte ssl-certificaten en huurt Fox-IT in - update Nieuws van 7 september 2011
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack Nieuws van 7 september 2011
Hacker Comodo claimt DigiNotar-inbraak
Hacker Comodo claimt DigiNotar-inbraak Nieuws van 6 september 2011
Overheid dwingt vertraagde Windows Update af bij Microsoft
Overheid dwingt vertraagde Windows Update af bij Microsoft Nieuws van 5 september 2011
Belastingdienst werkt toch nog met DigiNotar-certificaten - update
Belastingdienst werkt toch nog met DigiNotar-certificaten - update Nieuws van 5 september 2011
DigiNotar-hackers blijken 531 certificaten te hebben vervalst
DigiNotar-hackers blijken 531 certificaten te hebben vervalst Nieuws van 4 september 2011
Hackers maakten certificaten aan voor sites geheime diensten
Hackers maakten certificaten aan voor sites geheime diensten Nieuws van 4 september 2011
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar Nieuws van 3 september 2011
Overheid zegt vertrouwen in gehackte ssl-autoriteit op
Overheid zegt vertrouwen in gehackte ssl-autoriteit op Nieuws van 3 september 2011
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack Nieuws van 1 september 2011
Overheid vertrouwt blunderende ssl-autoriteit
Overheid vertrouwt blunderende ssl-autoriteit Nieuws van 31 augustus 2011
Browsermakers geven nieuwe versies uit na DigiNotar-blunder
Browsermakers geven nieuwe versies uit na DigiNotar-blunder Nieuws van 30 augustus 2011
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen'
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen' Nieuws van 29 augustus 2011
DigiNotar verkocht aan Vasco voor tien miljoen euro
DigiNotar verkocht aan Vasco voor tien miljoen euro Nieuws van 10 januari 2011
Meer producten en artikelen
Privacy Browsers Beveiliging Nederland Overheid

Reacties (24)

-Moderatie-faq
24
24
24
3
0
0
Wijzig sortering
NoResult 13 september 2011 17:20
Een andere oplossing lijkt me een update van het X509 formaat waarin meerdere CA signatures kunnen worden gebruikt. Momenteel zijn SSL certificaten georganiseerd in de vorm van "chains" waar de zwakste schakel bepalend is voor de betrouwbaarheid van een certificaat. Als een certificaat door meer dan één CA gesigneerd kan worden zou het model veel robuuster zijn me dunkt. Ik kan me behoorlijk complexe mixes van chains en multi-signature certificaten en modellen voor verificatie voorstellen waarin het tevens mogelijk is de betrouwbaarheid van signers te bepalen (aan de hand van intermediate certificates die vervolgens weer door meerdere verschillende onafhankelijke partijen gesigneerd zijn, etc.) Blijkbaar ben ik niet de enige met idee. Zie onderstaande url voor een uitwerking van het idee en een vergelijking met convergence.

https://grepular.com/Solving_the_SSL_CA_Debacle_Using_Multi-Signed_Certs

[Reactie gewijzigd door NoResult op 23 juli 2024 18:54]

Sfynx 13 september 2011 14:17
Het is inderdaad wel wat naïef om tegenwoordig nog een ultiem vertrouwen te hebben in een hele lijst CA's, wat met dit stelsel in de praktijk het geval is. Alles valt of staat met de zwakste CA in de lijst.

Het huidige trust model van SSL is een design flaw, die nu pijnlijk boven water komt.

[Reactie gewijzigd door Sfynx op 23 juli 2024 18:54]

TDeK
@Sfynx13 september 2011 14:34
Het huidige trust model van SSL is een design flaw, die nu pijnlijk boven water komt.
Nouja, tot op zekere hoogte. Het is allemaal begonnen met SSL encryptie, om te voorkomen dat gegevens in plain-text over de lijn gingen. Probleem was echter dat gebruikers vertrouwden op een SSL verbinding (het slotje), terwijl dat in feite niets zegt over de authenticatie en/of validatie van de verbinding. Vervolgens is de hele mallemolen met CA's opgebouwd zoals we dat nu kennen. Daarbij kregen we wat meer recent de 'groene' EV-certificaten, die in feite hetzelfde doen als normale certificaten, maar waarbij nóg meer zaken en gegevens van de aanvrager worden gecontroleerd. Maar ook hier is het zwakke punt het vertrouwen tussen de aanvrager en de CA. Als je er nóg dieper over na gaat denken dan is dit alles het resultaat van een tekortkoming van het internet zelf; het internet is nooit ontworpen voor secure transacties, waardoor er allerlei lagen als SSL/TLS enz. op zijn gebouwd om het alsnog 'veilig' te maken, maar dat blijven halve oplossingen.
Ik zeg het niet graag, want het vrije internet gaat me aan het hart, maar wellicht is het wijsheid om de huidige internet (infra)structuur opnieuw te ontwikkelen. Denk daarbij aan een nieuwe opbouw van TCP/IP, routing enz, maar dan met security, verificatie en validatie als leidraad.
locke960 @TDeK13 september 2011 15:38
Nee, als je er dieper over na gaat denken dan is dit alles het resultaat van luiheid, gemakzucht en kortzichtigheid. We willen namelijk wel graag veilig communiceren maar vinden het teveel moeite om op een zorgvuldige manier de sleutels uit te wisselen.

In plaats daarvan bedenken we een chain-of-trust met daarin alleen al 40 partijen als root CA en god mag weten hoeveel als gewone CA en verwachten we dat ze geen van allen fouten maken, geen van allen corrupt zijn en geen van allen onder druk gezet kunnen worden.

Nier erg realistisch. En dat is ook allang bekent, alleen niet bij het grote publiek. Het is niet voor niets dat daar waar het echt telt men geen CA's gebruikt maar eigen certificaten.
TDeK
@locke96013 september 2011 15:48
Nee, het moet werkbaar blijven, dat heeft op zich niks met luiheid te maken. Anyway, kom dan maar eens met een oplossing. SSL is qua techniek goed, het crypt de lijn en de automatische handshake is ideaal (gebruikers hoeven niet eerst het certificaat lokaal te installeren), maar hoe zorg je ervoor dat de gebruiker zeker weet dat hij met de juiste website communiceert, en niet met een kloon. Je moet hier het internet koppelen aan de fysieke wereld en hoe dat ook bekijkt, daar zal altijd een stukje vertrouwen nodig zijn om het te kunnen laten werken. Er worden ook wel eens onschuldige verdachten tot celstraf veroordeeld, maar dat wil nog niet zeggen dat we de hele rechtspraak dan maar moeten laten varen.
mgreving2 @TDeK13 september 2011 19:23
Ik zit maar telkens te denken: je kan toch gewoon een centrale database opzetten met daarin welke website welk certificaat of CA heeft? Dan kan je klones detecteren. En blijft het systeem werkbaar.
Nickname55 @mgreving213 september 2011 21:23
Ja ... maar wie moet dan die centrale database beheren?
Yakotb @Nickname5513 september 2011 22:35
En wie controleert de authenticiteit van die database zou gauw je er verbinding mee maakt?
Anoniem: 114278 @Sfynx14 september 2011 03:53
Fijn om te mogen zien dat de overheid eindelijk enigszins aan het ontwaken is
bbob
13 september 2011 15:01
Ik ga nog een stap verder. als overheid mag je nooit zaken doen met een bedrijf dat ssl certificaten uitgeeft en een hoofdkantoor in de usa heeft.

De reden is simpel, dat soort bedrijven is verplicht mee te werken om informatie te geven aan de Amerikaanse overheid zonder de klant daarover iets mee te delen en zelfs als dit ingaat tegen lokaal eu recht.

Er is dus geen garantie dat het certificaatbedrijf een mastersleutel voor dat ssl certificaat heeft en dat ook aan de Amerikaanse overheid kan geven die op haar beurt theoretisch ssl verkeer kan onderscheppen en lezen.

Helaas denk de Nederlandse overheid daar niet eens over na en doet maar wat.
pheppy @bbob13 september 2011 19:06
De CA krijgt de private key van een sleutelpaar helemaal niet in handen. Die genereer je als eigenaar zelf. De CA maakt alleen je publieke certifikaat waar de door jou gegenereerde public key op gezet wordt. Zonder de private key kan zo'n CA helemaal niets afluisteren, en dat geldt ook van de Amerikaanse overheid. Misschien hebben die andere achterdeuren, maar geen masterkey die ze van de CA kunnen krijgen.
Rolfie @bbob13 september 2011 15:30
Volgens mij is diginotar pas begin dit jaar overgenomen door een Amerikaans bedrijf.

Daarbij zolang de usa de Private Keys niet heeft, dan kunnen ze er weinig mee. Ik zie niet wat de toegevoegde waarde is van deze eis.
tes_shavon 13 september 2011 15:13
Interessant dat straks het ministerie gaat besluiten dat het SSL-systeem op de schop moet. En dan? Komt het ministerie dan met oplossingen? Gaat het ministerie zelf iets ontwikkelen? Geldt dat dan alleen voor nederlandse bedrijven? Waarom is het systeem er nog als er een beter systeem voor handen zou zijn?

Vragen vragen vragen...
Anoniem: 162126 @tes_shavon13 september 2011 15:26
"Waarom is het systeem er nog als er een beter systeem voor handen zou zijn?" is een hele goede vraag. Het ontwerp van het certificaten stelsel dateert uit 1994. Een zeer informatieve video van Moxie Marlinspike van Blackhat USA 2011 is hier te vinden : http://www.youtube.com/watch?v=Z7Wl2FW2TcA.

Er is een alternatief welke op dit moment alleen beschikbaar is als een plugin voor Firefox en die is hier te vinden : http://convergence.io/
jst_fubar @Anoniem: 16212613 september 2011 16:27
Idd, ik ben ook voorstander van een systeem zoals Moxie voorstelt. De Nederlandse overheid zou het project kunnen steunen en "notaries" hosten? Het zou al een stap in de goede richting zijn!

[edit]
@arjankoole:
Het grote voordeel van dit systeem is dat je controleert of iedereen hetzelfde certificaat te zien krijgt (ook bijvoorbeeld vanuit verschillende geografische locaties). Dan maakt het eigenlijk weinig uit of dit certificaat self-signed is of door een CA is uitgereikt...

[Reactie gewijzigd door jst_fubar op 23 juli 2024 18:54]

Xubby @jst_fubar13 september 2011 16:41
Waar het bij convergence om gaat, als ik het goed begrijp, dat de pc-gebruiker de te vertrouwen notaries kiest. Daar gaat het om. Dat kan de staat zijn, en nog een paar andere goed bekende staande partijen. Ook je browser zou die "standaard" kunnen voorstellen. En je kunt ze dan zelf aanpassen.
Niet voor iedereen weggelegd, misschien.
arjankoole
@Anoniem: 16212613 september 2011 16:14
Er is een alternatief welke op dit moment alleen beschikbaar is als een plugin voor Firefox en die is hier te vinden : http://convergence.io/
En dat is een prachtig alternatief, maar ook eentje wat nooit (door het de-centrale karakter) vertrouwd zal worden door banken, bedrijven, instellingen en overheden. Ze kunnen namelijk niet 1 bedrijf uitkiezen om zaken mee te doen, te auditen, en indien noodzakelijk een claim bij neer te leggen.

Hoe ga je een systeem vertrouwen, dat gebouwd is op het principe dat iedereen (en niemand) te vertrouwen is?
ronh 13 september 2011 14:39
Ik weet niet waar een "trusted" publisher aan moet voldoen.
Maar alles draait om trust, het vertrouwen.
En met name door DigiNotar is dit vertrouwen nu ernstig geschaad.

Ik vraag me af hoe "gemakkelijk" iemand een root-CA kan opzetten.
Aan wat voor regels men moet voldoen, én of er uberhaupt naderhand nog audits zijn, of men nog wel voldoet aan de regels.

Want PC's zonder virusscanners en gemakkelijke passwords in zo'n omgeving, waar alles draait om vertrouwen en security, dat kan toch gewoon niet?

[Reactie gewijzigd door ronh op 23 juli 2024 18:54]

MSalters
@ronh13 september 2011 15:33
Een root-CA opzetten kost je, als je vertrouwd bent in de materie misschien een kwartiertje.

Het echte werk is om vervolgens je nieuw gemaakte root certificaat in alle browsers te krijgen. Dan moet je opeens aan de regels gaan voldoen. Die worden opgesteld door het CA/Browser Forum
Anoniem: 247804 @MSalters13 september 2011 20:04
Het zijn ook niet zozeer de regels die falen, maar , zoals bij bijna elke overheidsinstantie...de controle en handhaving.

En ja, dan is het weer erg gemakkelijk om er maar weer een "onderzoek" tegen aan te gooien voor tig euro's wat jij en ik allemaal moeten betalen, maar wat er nooit in komt te staan (rapportage onderzoek) is dat de overheid met hele dikke vingers naar zich zelf moet wijzen aangaande CONTROLE en HANDHAVING.

Als men daar heel gewoon alleen al hun eigen regels zouden volgen, zouden dit soort bedrijven heel snel door de mand vallen.

bah...verachtelijk volk dat politici gepeupel....wel regels bedenken, maar te belazerd om ze zelf te volgen...
Anoniem: 80466 13 september 2011 14:27
Volgens mij is Tweakers ook bezig met een onderzoekje naar hun ceritificaten want ik kreeg de laaste dagen wel veelvuldig meldingen.
Ceritficaat error

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 18:54]

Xubby 13 september 2011 16:21
Zowel "gewone" als "EV" (extended validation = uitgebreide controle) certificaten zijn soms ronduit "rommelig" uitgegeven:

http://www.thetechherald....ems-with-SSL-certificates
"Searching through the collected data, the EFF discovered more than 2,000 certificates issued to “localhost”. Moreover, nearly 8,000 certificates were issued to “exchange”, “exch”, or other variants. In all, some 37,000 certificates were issued to non-qualified domains."
Ofwel: er zijn meer dan 2000 certificaten uitgegeven op de websitenaam: localhost (=eigennaam computer), 8000 certificaten op de naam: exchange, exch of varianten en in totaal 37000 cerfificaten zijn uitgegeven op ongeldige domeinnamen.(!)

http://www.thetechherald....h-SSL-certificates?page=2
"We found our system did not proactively block the issuance of certificates containing non-FDQNs. We expeditiously revoked the affected certificates and established enhanced programmatic blocks to ensure proper FQDN checks."
Als ik het goed begrijp zijn er in het verleden EV certficaten uitgegeven zonder dat er actief gecontroleerd is op een geldig domein. Deze certificaten zijn later geblokkeerd.

Met certificaten is geld te verdienen, dat is duidelijk. Duidelijk is ook dat er winst gemaakt moet worden, en dat soms de procedure "er wat bij in schiet."

http://www.informationwee...8/07/ev_certificates.html
Deze link zeg dat EV niks meer betekent dan dat gecontroleerd is dat het bedrijf legaal bestaat.

[Reactie gewijzigd door Xubby op 23 juli 2024 18:54]

NL-JP 13 september 2011 20:24
De grote vraag is of dit wel door een ministerie moet worden uitgezocht. De overheid heeft nou eenmaal niet zo'n goede reputatie als het om ICT gaat.
Ik zou liever zien dat er een 'denktank' van wijze mannen/vrouwen uit de sector bij elkaar wordt geroepen om hier iets van te vinden.
regmaster 13 september 2011 21:07
Volgens mij is het verdomd lastig om met een alternatief te komen want je zult op de één of andere wijze een partij moeten vertrouwen die gecontroleerd heeft of de partij met wie je zaken wilt doen wel te vertrouwen is. Welk systeem je ook bedenkt, geen enkel systeem is waterdicht zolang er mensen en belangen bij betrokken zijn. Het huidige PKI systeem is helemaal zo slecht nog niet alleen er zal een betere controle op de CA's moeten plaats gaan vinden en mogelijk een daaraan gekoppeld penalty systeem.
De NL overheid zou de eigen overheidsdiensten en gemeenten overigens prima van eigen certificaten kunnen voorzien. Dat zou Logius best wel aan kunnen. Door middel van externe accountants controle kan de burger (2e kamer) toezicht houden op een goed verloop van het uitgifte systeem.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq