Ministers: geen ernstige gevolgen intrekken DigiNotar-certificaten

De Nederlandse overheid heeft geen grote problemen gekregen door het niet meer kunnen gebruiken van DigiNotar-certificaten. Dat schrijven twee ministers. Wel moet een boordcomputersysteem voor taxi's een half jaar worden uitgesteld.

Overheidsdiensten moesten snel overschakelen op ssl-certificaten van andere leveranciers dan DigiNotar, omdat de overheid het vertrouwen in certificaten van DigiNotar twee weken geleden opzegde. Het wisselen van certificaten heeft niet tot grote verstoringen geleid, claimen de ministers Donner van Binnenlandse Zaken en Opstelten van Veiligheid. Gevreesd werd dat onder meer gemeenteloketten hinder zouden ondervinden, omdat diverse systemen de communicatie beveiligden met DigiNotar-certificaten.

Om overlast te voorkomen, had Microsoft in Nederland een patch voor Windows uitgesteld. Die patch maakt dat Windows-computers DigiNotar-certificaten niet meer vertrouwt. Terwijl de patch in de rest van de wereld op 6 september werd uitgerold, gebeurde dat in Nederland op verzoek van de overheid een week later.

De DigiNotar-hack heeft wel gevolgen voor de invoering van een nieuw systeem voor boordcomputers van taxi's. Dat systeem zou per 1 oktober ingevoerd worden en beveiligd worden met DigiNotar-certificaten. Omdat dat nu niet meer kan, wordt de invoering van het systeem een half jaar uitgesteld.

Donner benadrukt dat de DigiNotar-hack grote gevolgen heeft. "De DigiNotar problematiek heeft de kwetsbaarheid van de digitale datacommunicatie aangetoond", schrijft de minister. Mede daarom wordt, zoals eerder bekend werd, het systeem van PKI-Overheid-certificaten onder de loep genomen. Ook wordt beveiliging meer betrokken in de ontwikkeling van toekomstige systemen, zoals dat van eID, de opvolger van DigiD.

Een Iraanse hacker zou deze zomer hebben ingebroken bij de Nederlandse certificatenmaker DigiNotar. Dat was mogelijk vanwege de slechte beveiliging. De hacker genereerde 531 valse ssl-certificaten, die onder meer misbruikt zijn door de Iraanse overheid om eigen burgers te bespioneren. Omdat de systemen voor het maken van particuliere certificaten en overheidscertificaten niet gescheiden bleken te zijn, zegde de Nederlandse overheid het vetrouwen in DigiNotar op. Omdat OPTA heeft besloten DigiNotar-certificaten ongeldig te laten verklaren, lijkt het einde voor het gehackte bedrijf nabij. DigiNotar is na de overname begin dit jaar onderdeel van het Amerikaanse Vasco.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 17-09-2011 13:14 25

17-09-2011 • 13:14

25

Lees meer

Certificaatautoriteit ANSSI verstrekte vals Google-certificaat
Certificaatautoriteit ANSSI verstrekte vals Google-certificaat Nieuws van 8 december 2013
Minister: geen aangifte tegen 'ethische' hackers
Minister: geen aangifte tegen 'ethische' hackers Nieuws van 3 januari 2013
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren
Taskforce moet informatiebeveiliging bij overheid gaan verbeteren Nieuws van 12 november 2012
Veel aangiftes belastingadviseurs hebben nog Diginotar-certificaat
Veel aangiftes belastingadviseurs hebben nog Diginotar-certificaat Nieuws van 23 juli 2012
Regels voor verstrekken ssl-certificaten zijn aangescherpt
Regels voor verstrekken ssl-certificaten zijn aangescherpt Nieuws van 1 juli 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
DigiD binnenkort zes uur plat vanwege verhelpen kwetsbaarheid
DigiD binnenkort zes uur plat vanwege verhelpen kwetsbaarheid Nieuws van 27 januari 2012
Vasco ziet winst flink afnemen door DigiNotar-faillissement
Vasco ziet winst flink afnemen door DigiNotar-faillissement Nieuws van 27 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
Tweede Kamer wil 'ict-brandweer'
Tweede Kamer wil 'ict-brandweer' Nieuws van 14 oktober 2011
Gehackte ssl-autoriteit DigiNotar is failliet verklaard
Gehackte ssl-autoriteit DigiNotar is failliet verklaard Nieuws van 20 september 2011
DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd
DigiNotar-patch voor Windows XP en Server 2003 werkt niet altijd Nieuws van 20 september 2011
Nederlandse hackers willen meer bevoegdheden voor Govcert
Nederlandse hackers willen meer bevoegdheden voor Govcert Nieuws van 15 september 2011
Govcert: Nederland was zeven keer doelwit cyberaanval
Govcert: Nederland was zeven keer doelwit cyberaanval Nieuws van 15 september 2011
OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig
OPTA verklaart gekwalificeerde certificaten DigiNotar ongeldig Nieuws van 14 september 2011
Ministerie onderzoekt stelsel ssl-certificaten
Ministerie onderzoekt stelsel ssl-certificaten Nieuws van 13 september 2011
Apple brengt DigiNotar-patch voor OS X uit
Apple brengt DigiNotar-patch voor OS X uit Nieuws van 10 september 2011
DigiNotar-hacker daagt Fox-IT uit
DigiNotar-hacker daagt Fox-IT uit Nieuws van 9 september 2011
OPTA neemt uitgifteproces Diginotar-certificaten onder de loep
OPTA neemt uitgifteproces Diginotar-certificaten onder de loep Nieuws van 7 september 2011
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack Nieuws van 7 september 2011
Hacker Comodo claimt DigiNotar-inbraak
Hacker Comodo claimt DigiNotar-inbraak Nieuws van 6 september 2011
Overheid dwingt vertraagde Windows Update af bij Microsoft
Overheid dwingt vertraagde Windows Update af bij Microsoft Nieuws van 5 september 2011
DigiNotar-hackers blijken 531 certificaten te hebben vervalst
DigiNotar-hackers blijken 531 certificaten te hebben vervalst Nieuws van 4 september 2011
Hackers maakten certificaten aan voor sites geheime diensten
Hackers maakten certificaten aan voor sites geheime diensten Nieuws van 4 september 2011
Overheid: mogelijk DigiD-inloggegevens gestolen door hack
Overheid: mogelijk DigiD-inloggegevens gestolen door hack Nieuws van 3 september 2011
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar Nieuws van 3 september 2011
Overheid zegt vertrouwen in gehackte ssl-autoriteit op
Overheid zegt vertrouwen in gehackte ssl-autoriteit op Nieuws van 3 september 2011
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack Nieuws van 1 september 2011
Overheid vertrouwt blunderende ssl-autoriteit
Overheid vertrouwt blunderende ssl-autoriteit Nieuws van 31 augustus 2011
Browsermakers geven nieuwe versies uit na DigiNotar-blunder
Browsermakers geven nieuwe versies uit na DigiNotar-blunder Nieuws van 30 augustus 2011
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen'
'Iran gebruikt Nederlands certificaat om Gmail te onderscheppen' Nieuws van 29 augustus 2011
DigiNotar verkocht aan Vasco voor tien miljoen euro
DigiNotar verkocht aan Vasco voor tien miljoen euro Nieuws van 10 januari 2011
Meer producten en artikelen
Economie en maatschappij Beveiliging Hackers Nederland Overheid

Reacties (25)

-Moderatie-faq
25
22
15
2
0
1
Wijzig sortering

Sorteer op:

Weergave:
wildhagen
17 september 2011 13:16
De DigiNotar-hack heeft wel gevolgen voor de invoering van een nieuw systeem voor boordcomputers van taxi's. Dat systeem zou per 1 oktober ingevoerd worden en beveiligd worden met DigiNotar-certificaten. Omdat dat nu niet meer kan, wordt de invoering van het systeem een half jaar uitgesteld.
:?

Het is toch gewoon een kwestie van een ander certificaat nemen van een wél betrouwbare CA, en die implementeren in dat systeem?

Waarom moet dit in godsnaam een halfjaar duren?
Sundog @wildhagen17 september 2011 14:23
[...]
Waarom moet dit in godsnaam een halfjaar duren?
Het gaat hier niet (alleen) om SSL server certificaten maar vooral om zogenaamde gekwalificeerde certificaten.
Dat zijn certificaten die op individueel nivo worden uitgegeven (bijvoorbeeld op een taxi pas) en kunnen persoonsgebonden zijn.

De OPTA heeft vast gesteld dat hackers ook in het systeem van die gekwalificeerde certificaten zijn geweest.
Dat betekend dus dat er een nieuwe uitgever van die certificaten moet worden aangewezen en het proces aangepast aan het nieuwe uitgifte punt.
Daarnaast kan het zijn dat door die hack, er nieuwe certificaten moeten worden uitgegeven incl de hele accreditatie of een taxi chauffeur voor die pas in aanmerking komt.
To_Tall @Sundog18 september 2011 13:30
Misschien handig uit teleggen wat zo'n pas is ;-)

Bij zowel Advocatuur, Belastingadviseurs en nu ook Taxi's en mogelijk nog veel meer bedrijfsonderdelen. Hebben een fysieke ID pas met hierop opgeslagen van Diginotar een persoons gebonden certificaat.

Dit is om met de overheid te kunnen communiceren.

Nu zullen al deze personen dus niet alleen de Taxi chauffeurs een nieuwe smartcard moeten krijgen die voorzien moeten worden met een CA. Met onze paar duizend chauffeurs, advocaten, belastingadviseurs, enz kan het wel even deuren eer dat iedereen een nieuwe smartcard heeft. Met andere worden. eerst worden alle operationele diensten vervangen. daarna zullen alle overige diensten worden vervangen.
DrClaw @wildhagen17 september 2011 13:18
vanwege accreditatie?
wildhagen
@DrClaw17 september 2011 13:22
Nope... de overheid doet nu ook al met meerdere CA's zaken, DigiNotar is (of eigenlijk: was) er maar één van, niet de enige CA die certificaten leverden aan de overheid.

Men kan dus een certificaat van de andere bedrijven nemen die al geaccrediteerd zijn.

Testen kan het ook al niet zijn, want de tests zijn al gedaan, je hoeft alleen maar te kijken of het nieuwe certificaat geaccepteerd word.

Er is nu nog twee weken tot 1 oktober, dat zou meer dan genoeg tijd moeten zijn voor het verkrijgen van een nieuwe certificaat (kan binnen één dag), het implementeren, en een test of deze word geaccepteerd.

Als het goed is hebben de boordcomputers zelf al de juiste root-CA's (van bijvoorbeeld VeriSign) in hun database zitten. Maar zelfs al zou dat niet zo zijn ben je hooguit een paar weken bezig om dat te regelen. Stel het dan uit tot 1 november o.i.d.

Waarom dat dan weer 6 maanden moet duren...
Verwijderd @wildhagen18 september 2011 05:01
@ Wildhagen.

Waarom dat zo lang moet duren?

Omdat de overheid heeft bewezen een log apparaat te zijn en mede omdat overheid en ICT niet echt samengaan zoals de geschiedenis heeft geleerd.

Kijk voor de lol eens op UWV site.

Als jij snapt naar welk loket je moet onder het kopje Hellevoetsluis dan snap ik het ook om over de spelfouten maar te zwijgen: http://www.hellevoetsluis...6D340041180F?opendocument
To_Tall @Verwijderd18 september 2011 13:23
Dit heeft niets te maken met LOG apparaat, Veel grote bedrijven zijn LOG en traag in beslissingen. Maar Je zou de ICT afdeling niet van mogen afhangen. Wanneer er een security risk is binnen een bedrijf zou de ICT afdeling naar eigen inzicht moeten kunnen acteren.

Hellaas hebben de grotere bedrijven dit wel door, alleen de overheid is hiermee nog steeds een bureaucratie's dom apparaat.
SpacyRicochet @To_Tall19 september 2011 09:48
Dus @KeesDeJong heeft wél gelijk. De overheid heeft hiermee bewezen een compleet log apparaat te zijn. Dat andere bedrijven maar deels een log apparaat zijn doet niets af aan de logheid ;)
curry684 @wildhagen17 september 2011 13:20
Random gok: omdat die boordcomputers alleen de public key van DigiNotar ingebakken hebben gekregen?
HarmoniousVibe 17 september 2011 13:24
De directe impact van deze hack wel voor Nederland inderdaad mee. Maar er worden twee belangrijke zaken over het hoofd gezien: dit is slechts een symptoom van de onderliggende kwetsbaarheden in het hele CA-signingsysteem.

En dat vele levens van Iraniërs in gevaar zijn gebracht. Mensen die via het internet kritiek hebben geuit op de overheid aldaar of anderszins dingen doen die de overheid niet bevalt. Duizenden levens zijn in het geding. Dat vind ik niet 'niet ernstig'. Zoals op zoveel fronten is Nederland en ook de media veel te veel naar binnen gericht.
koppie @HarmoniousVibe17 september 2011 13:50
Het gaat om het intrekken van de certificaten, niet het hacken in eerste instantie, want die gevolgen kunnen zeer ernstig zijn. En zijn dat ook waarschijnlijk.
Gehakt 17 september 2011 17:21
Er bestaat software van overheid en gemeente die nog werkt met sha1 certificaten. Deze zijn sinds dit jaar verboden door de overheid. Om de certificaten van die systemen te kunnen vernieuwen moet de software dus met sha2 overweg kunnen. Er moet dan dus snel besloten worden om software te upgraden of code moet worden aangepast als het maatwerk is. Dit lijkt mij toch degelijk een probleem aangezien het tijd en geld kost en binnen een zeer korte deadline moet gebeuren...
SuperDre
17 september 2011 17:46
Omdat dat nu niet meer kan, wordt de invoering van het systeem een half jaar uitgesteld.
pfff. verrekte bureaucratie, zoveel tijd is er werkelijk helemaal niet nodig, en als dat wel zo is, dan is de implementatie wel heel erg slecht geschreven..
darkfader @SuperDre17 september 2011 22:49
Het is vast gewoon een goede smoes. Waarschijnlijk liepen ze al achter.
Ze hadden ook net zo goed self-signed client/server certificaten kunnen gebruiken. Dan ben je tenminste niet meer afhankelijk van CA's.
Consequator 18 september 2011 01:08
Het PKI overheids certificaat aanvraag proces is nodeloos ingewikkeld en de beveiliging is niet een haar beter dan als je een normaal ssl certificaat hebt.
En ze zijn nog een stuk duurder ook nog, en verplicht . ik meende een 300-400 euro per certificaat, tel dan een stuk of 5-10 voor kleine gemeentes en 50-100 voor grote gemeentes waarschijnlijk.

Er is totaal niet over nagedacht anders dan 1 of andere drophannes die bedacht heeft dat het dan maar via een eigen overheids root certificaat zou moeten.
Er zit een hele rompslomp om heen voor je überhaupt zo'n certificaat mag aanvragen, en dat terwijl het toch wel vrij duidelijk is wie zo'n certificaat moet hebben, aangezien ze verplicht zijn voor overheids instanties.

Maar elke gemeente, provincie en rijks instantie moet een idioot proces door lopen waarbij mensen zich op locatie of bij een GWK persoonlijk moeten identificeren, terwijl het niet zo moeilijk is om te kijken of het fysieke adres waar het certificaat per post heen gestuurd moet worden hetzelfde is als waar de aanvrager claimt dat het moet worden afgeleverd .. aangezien gemeentes etc niet zo heel vaak verhuizen van locatie.

Imo had de hele PKI overheids certificaten distributie nooit aan een 'publieke' certificaten leverancier mogen hangen maar gewoon op een privaat stuk ergens niet verbonden met het internet.
MrHankey 17 september 2011 14:30
De Nederlandse overheid heeft geen grote problemen gekregen door het niet meer kunnen gebruiken van DigiNotar-certificaten. Dat schrijven twee ministers.
Mja, alsof dat ook maar iets zegt. Voor het zelfde geld heeft de halve Nederlandse overheid nu een rootkit draaien, of een nare worm met een payload die ons terug stuurt naar het jaar 0. Deze 'Twee ministers' zouden dat echt niet weten, laat staan eerlijk vertellen. Deze mannen liepen al rond toen radio nog verketterd werd.

Ik vertrouw het allemaal voor geen meter. Onze overheid snapt helemaal geen barst van IT-gerelateerde zaken. Rekeningrijden (de voorstellen iig), OV-Chipkaart, DigiD, Elektronisch patientendossier. Fail, Fail, Fail. Er is voor miljoenen kapot gegaan aan 'project-gerelateerde websites', ook zoiets waar de overheid geen kaas van gegeten heeft. Niemand bezocht deze websites, a 1000 euro per hit. En ondertussen maar liegen en ambitieus doen.
Stel nou dat ze met het bericht komen: "Alle gegevens van Nederlanders liggen in Iran op straat." Dag Nederlandse IT-sector, dag Nederlands kabinet, dag computers en smart-phones. Dus dit bericht neem ik iig met wel een hele vette korrel zout.
SuperDre
@MrHankey17 september 2011 17:50
Weet je wat wel zo is, en daar zit nou net het geniepige, al die projecten worden dus uitgevoerd door grote gespecialiseerde bedrijven, ofwel wat je beter kunt stellen is dat al die bedrijven zoal pinkrocade, atos origin, baan etc. gewoon slechte bedrijven zijn, aangezien DIE juist verantwoordelijk zijn voor al die ontwerpen.. Het probleem zit em dus meer in de bedrijven die worden ingehuurd dan in de overheid zelf..

Eigenlijk moeten ze dus ondertussen eens die bedrijven aansprakelijk stellen voor deze fiasco's.
Rutix @SuperDre18 september 2011 11:20
Punt is vaak dat die bedrijven niet worden gekozen omdat ze zo specialistisch zijn maar omdat ze het goedkoopst zijn in een aanbesteding. Het spreekt natuurlijk voor zich dat bedrijven die het beter en veiliger willen doen vaak duurder uitkomen en dus niet worden gekozen.
Gosat 17 september 2011 13:39
Om overlast te voorkomen, had Microsoft in Nederland een patch voor Windows uitgesteld. Die patch maakt dat Windows-computers DigiNotar-certificaten niet meer vertrouwt. Terwijl de patch in de rest van de wereld op 6 september werd uitgerold, gebeurde dat in Nederland op verzoek van de overheid een week later.
Ik dacht dat de productondersteuning van WinXP en IE6 al was gestopt.
wildhagen
@Gosat17 september 2011 13:42
Klopt niet helemaal, XP zit nog tot 2014 in support. Maar ook al was hij wel out of support, voor dit soort toch wel belangrijke, en vrij eenvoudig te maken, fixes kan men altijd een uitzondering maken natuurlijk.

Ook voor XP is er een patch uitgekomen, die DigiNotar uit de lijst haalt.

Op deze pagina kan je alle fixes downloaden, als je ze nog niet via Windows Update hebt binnengekregen (de patch word inmiddels namelijk ook via WU aangeboden in NL).

[Reactie gewijzigd door wildhagen op 23 juli 2024 02:34]

botoo 17 september 2011 19:13
De Nederlandse overheid meent geen grote problemen gekregen te hebben door het niet meer kunnen gebruiken van DigiNotar-certificaten
fixed

Dat zou er volgens mij moeten staan, ik heb te weining vertrouwen in de kennis van onze overheid om dergelijke uitspraken geloofwaardig te doen overkomen.

Helaas :/
Verwijderd 19 september 2011 08:39
www.mijnpensioenoverzicht.nl doet het anders nog steeds niet :(
bijzonder vervelend als je de gegevens wil opzoeken om een hypotheek te kunnen afsluiten

ja ik weet dat ik het ook op papier heb

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:34]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq