Veel aangiftes belastingadviseurs hebben nog Diginotar-certificaat

Zes procent van de aangiftes die worden gedaan door belastingadviseurs, hebben een certificaat van Diginotar. Vanaf augustus zal de Belastingdienst aangiftes met een Diginotar-certificaat niet langer accepteren, zo waarschuwt de overheid.

De overheid zegde vorig jaar het vertrouwen in Diginotar-certificaten op, omdat het bedrijf dat de certificaten genereerde, bleek te zijn gehackt. De Belastingdienst heeft belastingadviseurs in de afgelopen tijd herhaaldelijk gewaarschuwd niet meer te werken met Diginotar BAPI-certificaten voor belastingaangiftes. Desondanks wordt nog altijd zes procent van de aangiftes gedaan met een Diginotar-certificaat, zegt de overheid.

In komende tijd wijst de Belastingdienst adviseurs die nog Diginotar-certificaten gebruiken, er per brief en telefoon een laatste keer op dat ze met een nieuw certificaat moeten gaan werken. Gebeurt dat niet, dan worden aangiftes vanaf augustus niet meer geaccepteerd. Dat kan boetes tot gevolg hebben voor hun klanten, omdat aangiftes dan te laat kunnen binnenkomen.

Een Iraanse hacker kon de computersystemen van Diginotar binnendringen en zelf certificaten genereren. Die zouden onder meer misbruikt zijn door de Iraanse overheid, die daarmee onder meer kon meelezen met de e-mail van zijn burgers. Moederbedrijf Vasco zag geen uitweg meer voor de ssl-autoriteit uit Nederland en liet het bedrijf failliet gaan.

IT-banen

Reacties (64)

bitflusher 23 juli 2012 17:38

Ik ben hier mee bezig geweest voor een klant. als aanvulling wil ik dit melden: het is pas vanaf maart mogelijk om nieuwe certificaten aan te vragen bij kpn. de software van bijvoorbeeld kluwer is ook pas net geupdate om niet diginotar certificaten aan te vragen en nog erg buggy. zo ging bij mijn klant de digitale aanvraag naar diginotar en de papieren aanvraag naar kpn. pas twee weken geleden is het gelukt om daadwerkelijk een certificaaraanvraag rond te krijgen en te gebruiken.
kortom ik zou het zo omschrijven: slechts 6 % gebruikt nog diginotar.

het blijft mij overigens een heel groot raadsel waarom de certificaten nog niet revoked zijn... geeft meer druk bij ontwikkelaars zoals kluwer. deze melden namelijk dat er tot augustus niets aan de hand is met diginotar (dat waren 'maar' 2 helpdeskmedewerkers)

nextware @bitflusher • 23 juli 2012 19:01

Heb je het pas geleden voor elkaar gekregen ?

Ik heb het zowel bij Kluwer als bij Snelstart direct voor elkaar gekregen zodra de mogelijkheid in de software aanwezig was. De betreffende klant draait sinds begin april met de nieuwe KPN Bapi certificaten.
Volgens mij was dat bij Kluwer versie 7.02 die, als ik het mezelf goed herinner, eind maart 2012 is uitgekomen.

Daarbij totaal geen problemen tegengekomen.

KPN was zelfs nog heel klantvriendelijk door te bellen toen ze merkten dat er vanaf de klant nogal wat spoed bij was ivm BTW-aangiftes. Daarbij is alles letterlijk binnen 2 dagen geregeld.

Rutix @bitflusher • 23 juli 2012 18:03

Wauw dan is kluwer echt slecht bezig. Dezelfde dag dat dit diginotar verhaal speelde werd bij ons en bij veel bedrijven al hard gewerkt om nieuwe certificaten te regelen. Het is dus gewoon ronduit slecht dat kluwer dus zo lang over doet.

SuperDre @Rutix • 23 juli 2012 20:13

knap, want zoals meneer zegt, is het pas sind maart(nouja, februari) mogelijk om kpn certificaten aan te vragen, omdat de servers toen pas actief waren.

Houston3 23 juli 2012 18:01

Ik moet zeggen dat het vervangen van de certificaten toch wel een tijdrovende klus is. Eer dat je alles binnen hebt ben je zo een maand verder en de software van kluwer en elsevier (om er maar 2 te noemen) zijn ook niet zomaar aangepast, dat had best nog een paar uur werk nodig omdat de uitleg onduidelijk was.

Dit hele diginotar''verhaal'' en de overstap naar KPN is extra zuur omdat aangiftes van kalenderjaar 2012 niet meer via het certificatensysteem gaan maar via de ''digipoort'' maar je kunt wel voor 4 jaar certificaten aanschaffen tegen enkele honderden euro's waarvan een deel dus zo de vuilnisbak in gaat. Een betere strategie van de overheid hierin was gepast geweest om zo extra kosten te besparen.

Tenslotte lees ik hier wat reacties dat de certificaten geblokkeerd hadden moeten worden. Ik snap deze beredenering maar bekijk het ook van de andere kant. Als om welke reden dan ook de omschakeling nog niet gelukt is, had je dus geen aangiftes meer kunnen indienen voor je klant die dan de dupe worden omdat zij degene zijn die een boete voor te laat indienen krijgen, een klein beetje nuance lijkt me wel op zijn plek.

Rutix @Houston3 • 23 juli 2012 18:07

Aan de andere kant, als ze de certificaten wel hadden geblokkeerd dan was er ook meer druk gekomen om software patches uit te rollen. Dit hoeft echt niet 8-10 maanden te duren.

Verwijderd @Rutix • 23 juli 2012 18:21

Eerlijk gezegd had ik verwacht dat na een maand of twee deze certificaten totaal geweigerd werden.
Honderden euro zegt me niets. Dat zijn bedrijfskosten, aftrekbaar, en als het goed is, eenmalig per x jaar. Hopen we...
Uit jouw kostenplaatje en hierboven is het 600 euro voor 4 jaar, dus zeg maar vijf knaken per maand. Daar ligt zelfs een privepersoon die helpt met aangiftes niet wakker van.

repmeer @Verwijderd • 23 juli 2012 18:39

Alle software moet eerst getest moeten worden. Daarnaast moeten de certificaten uitgevers de tijd hebben om zoveel aanvragen op tijd te verwerken. Als dan besloten was om na twee maanden de diginotar certificaten niet meer te accepteren dan kreeg de belastingdienst geen aangiftes meer binnen en kan er ook geen geld binnen komen voor de overheid. Daar is niemand bij gebaat.

SuperDre @Rutix • 23 juli 2012 20:18

uhhh, dus wel, ook de systemen van de belastingdienst moesten hierop aangepast worden, en de hele infrastructuur voor het aanvragen, verwerken en weer doorgeven bij de belastingdienst.. Plus alle softwarepaketten waarmee je kunt aanvragen moesten natuurlijk ook nog wachten totdat de testservers actief waren en de nieuwe manier van aanvragen implementeren. het was dus voornamelijk wachten tot kpn/belastingdienst klaar waren.. Trust me, wij zaten er heel HEEL dicht bij...

Schway @Houston3 • 23 juli 2012 18:25

je kan die shit toch ook als p-biljet uit printen en een paar keer per post versturen?

nextware @Schway • 23 juli 2012 19:03

Tuurlijk. Ga jij even een paar 100 aangiftes uitprinten, invullen en versturen. Daar zit de belastingdienst echt op te wachten.....

Om maar niet te spreken over het advieskantoor dat even een paar 100 pagina's mag gaan uitprinten. Daarbij ook even rekening houden met de tijd, portokosten, enveloppen, etc, etc.

Daarom zijn al deze software matige oplossing bedacht

SuperDre @Schway • 23 juli 2012 20:20

nope, dat kan dus niet, daar moet je dus een goedkeuring voor krijgen, en die geven ze alleen in heel HEEL uitzonderlijke situaties, en daar valt dit NIET onder...

Poekie McPurrr @Schway • 23 juli 2012 20:38

Mag je vervolgens gaan uitleggen waarom je klant een boete heeft omdat het niet geaccepteerd is..
Daarbij, een aangifte IB-ondernemers word al verrekte lastig op een Pbiljetje, laat staan een LH, OB etc.

dennisvalk @Poekie McPurrr • 24 juli 2012 09:07

Een IB ondernemer moet zijn aangifte digitaal aanleveren.

Bron

Hoowgii @Houston3 • 23 juli 2012 20:23

Reden dat het langer duurt is omdat de fiscus pas in 2016 verwacht alle berichtenverkeer via digipoort te laten lopen.

Wanneer je dus nu een aangifte 2011 verstuurd kan het nog even duren voordat je hiervoor een voorlopige en definitieve aanslag voor krijgt, daarnaast heb je nog de bezwaar procedure.
Tot slot kan het zijn dat je de aangifte (te) laat instuurt e.d.

Dit alles resulteert erin dat dit oude berichtenverkeer met aangiften van <2011 dus nog tot 2016 via Bapi moet en kan lopen.

regmaster 23 juli 2012 21:45

Grappige jongens daar bij de Belastingdienst. Ze hebben zelf tot ergens begin van dit jaar volgehouden dat er niets met de Bapi certificaten mis was en dat deze niet hoefden te worden vervangen. Kluwer heeft daarom ook pas heel laat een update uitgebracht waarmee een nieuw certificaat kon worden aangevraagd. Dat is nog zo eenvoudig niet, dat moet via de software worden aangevraagd en na ontvangst (duurt een paar weken) kan het nieuwe certificaat worden ingelezen. Pas na de update was het mogelijk om een KPN certificaat aan te vragen daarvoor verliep de aanvraag nog steeds via Diginotar. Ik heb er zelfs een aanvaring met de inspecteur over gehad omdat de Belastingdienst onvermurwbaar bleef volhouden dat Diginotar Bapi certificaten veilig waren en ik wilde weten onder welke steen ze leefden. Goed om te zien dat ze daar toch anders over zijn gaan denken.

SuperDre @regmaster • 24 juli 2012 10:06

Ze zijn er helemaal niet anders over gaan denken, maar in principe waren de Diginotar BAPI certificaten nog gewoon veilig, maar het was de hele infrastructuur van de aanvraag/aangifte die nog lang niet klaar was, en ze moesten dus wel.. Niet laten insturen van aangiftes was gewoonweg geen optie, geld moet binnenkomen.
En trust me, tweakers kunnen nogal overdrijven als het aankomt op dit soort zaken, ja het is in principe niet veilig, maar de kans dat er misbruik van wordt gemaakt op deze manier is zo minimaal. Er zijn vele makkelijkere manieren om misbruik te maken van die aangiftes, maar daar ga ik verder niet op in...
Vergeet ook niet dat een apparaat als de Belastingdienst gewoonweg niet eventjes dingen kunnen beslissen van de ene op de andere dag, alles moet ook getoetst worden met de wet, en in dit geval eventjes overstappen op een andere leverancier is niet zo simpel..

breinonline 23 juli 2012 17:24

Ben ik de enige die het vreemd vind dat deze certificaten nog steeds gebruikt mogen worden? Het vertrouwen in Diginotar is vorig jaar september al opgezegd. Dat iedereen de tijd moet hebben om nieuwe te vergaren ja, maar zo lang hoeft dat toch niet te duren?

IStealYourGun @breinonline • 23 juli 2012 18:12

Omdat het niet het einde van de wereld is. Als je als bedrijf je gegevens gewoon via de post verstuurt is het totaal niet beveiligt en dat is ook nog steeds toegestaan.

Proxy @breinonline • 24 juli 2012 05:56

Nee hoor, ik vind het ook vreemd, als ik de overheid was geweest had ik de certificaten meteen geblokkeerd.

Gert @Proxy • 24 juli 2012 09:48

Dan had jij als overheid geen belastingaangiftes meer ontvangen en ging je dus failliet.
Ook een oplossing, niet zo praktisch.

Belasting consulenten moeten elektronisch aangifte doen, elke maand, dus dan heb je minder dan een maand de tijd om heel Nederland te voorzien van nieuwe certificaten, Succes!

_Thanatos_ 23 juli 2012 20:32

Waarom worden die certificaten aan de andere kant van de lijn dan nog geaccepteerd?!

Ik bedoel, als ze nog werken, zijn er twee partijen die een brak certificaat accepteren, niet slects de adviseurs, maar de belastingdienst (waar ze verbinding mee leggen?) dus ook.

[Reactie gewijzigd door _Thanatos_ op 24 juli 2024 19:22]

erikdenv @_Thanatos_ • 23 juli 2012 21:28

KPN is niet snel genoeg met het verstrekken van de nieuwe certificaten:

http://www.accountancynie...ginotar-naar.108593.lynkx

http://www.accountancynie...ie-diginotar.109296.lynkx

dennisvalk @erikdenv • 24 juli 2012 09:11

Dat is de coulance vanuit de Belastingdienst naar de belastingplichtige.

KPN is momenteel goed bezig en hebben geen achterstand meer. Zie de site van KPN. Op 20-07 hoeven ze er maar 9 af te handelen. Deze bak heeft er ook weleens anders (lees 'voller') uitgezien.

Verwijderd 23 juli 2012 20:45

Alleen jammer dat de belastingdiest halverwege Maart plotseling stopte met het accepteren van aangiftes geddan met Digi Notar

repmeer @Verwijderd • 23 juli 2012 21:34

Dat klopt niet wat jij zegt. In eerste instatie was dat per 1 juni maar dat is telkens een maandje opgeschoven tot uiteindelijk 1 augustus.

elleP @gtissink • 23 juli 2012 17:29

Ik sprak toevallig van het weekend iemand die net zijn oude certificaat had vervangen dor een nieuwe. Dat grapje kost ruim 600 euro, niet zo gek dus dat 6% dat een jaar of langer uitstelt.

Verwijderd @elleP • 23 juli 2012 20:50

Mijn echtgenote betaald 80 euro per jaar voor haar eenmans bedrijf. Ze gebruikt software van Kluwer.

Met deze software accepteert de belastingdienst al sinds half Maart geen Diginotar Certificaten meer. (dit zonder de gebruikers te verwittigen)

Met als gevolg dat de helft van het klantenbestond hun aangifte niet bij de belastingdienst geaccepteerd werdt, terwijl de software gewoon aangaf dat er goed ontvangen was.

probeeer jij half Juni maar eens aan je klanten uit te leggen dat hun aangifte nooit ontvangen is door de belastingdienst omdat ze de certicaten niet meer accepteerden.

Kortom zooitje bij de belastingdients.

SuperDre @Verwijderd • 24 juli 2012 09:56

Het is niet de Belastingdienst die geen certificaten meer accepteert sinds half maart, het is de software van kluwer.. Er is dan eerder iets anders compleet fout gegaan, want blijkbaar heeft de Belastingdienst dus wel gewoon een 'berich geaccepteerd' gezonden. OF mevrouw heeft de berichten niet goed gecontroleerd (ken zelf alleen de software van LoonsomBapi/connect welke door veel administratieve pakketten (onder een eigen naam) wordt meegeleverd, en daarmee zou het wel degelijk te zien zijn, maar uit ervaring weet ik dat mensen nogal eens problemen hebben met lezen of opletten)

blouweKip @Verwijderd • 23 juli 2012 20:58

Kortom zooitje bij de belastingdients.

Kluwer is een private onderneming en geen onderdeel van de belastingdienst...

erikdenv @Verwijderd • 23 juli 2012 21:21

Te kort door de bocht.

De Belastingdienst kan de aangifte wel goed ontvangen hebben (correct XBRL bericht) maar dat wil niet zeggen dat de aangifte daarna ook goed verwerkt kan worden. Het is een meertraps systeem.

Sommige software werkt hier niet goed mee. Je weet niet of het aan Kluwer of de Belastingdienst ligt.

Onlangs nog een presentatie over gehad. :-)

(werdt

)

SuperDre @Verwijderd • 24 juli 2012 09:58

Nou, dat lijkt me sterk, aangezien de Belastingdienst brieven heeft verstuurd, en ik ga er ook van uit dat Kluwer mailingen hierover gestuurd heeft (in iedergeval de meeste softwareleveranciers hebben dat gedaan)..

Ook al Bezet @elleP • 23 juli 2012 17:34

Belastingadviseurs zijn nou niet echt de verworpenen der aarde, als die geen 600 euro kunnen uitgeven aan de veligheid van hun klantgegevens zitten ze in het verkeerde vak.

Trouwens, het is vast belastingaftrekbaar dus van de 600 zal ook nog wel wat af gaan in de praktijk

[Reactie gewijzigd door Ook al Bezet op 24 juli 2024 19:22]

Iblies @Ook al Bezet • 23 juli 2012 18:38

Belastingadviseur is geen IT'er maar gebruikt gewoon software van derde.
Bericht is tendentieus en niet compleet. Het is namelijk goed mogelijk dat het hier gaat om software van vorig jaar of eerder dat niet gepatched is. 6% Is heel weinig en kan oorzaken hebben die niet voor de hand liggend zijn.

Even een greep van de aangiftes die verstuurd moeten worden;
inkomstenbelasting
loonbelasting
omzetbelasting
vennootsschapbelasting
etc
etc

Het lijkt erger dan het is en er word verder niet vertelt in welke hoek gezocht moet worden.

SuperDre @Iblies • 23 juli 2012 20:01

ik kan je zeggen dat als leverancier van zulke software de klanten echt zelf de keuze maken om niet nieuwe aan te vragen. Er is echt heel vaak sinds dat het mogelijk is om nieuwe certificaten aan te vragen (begin februari) mailingen richting klanten gegaan, zowel van de softwareleverancier als van de Belastingdienst..
maar, het is pas mogelijk sinds februari, en zo snel zijn ze bij kpn nou ook weer niet, dus eigenlijk is het wel heel kort dag...

mae-t.net @SuperDre • 24 juli 2012 04:14

Niet echt een coherent geschreven bericht, dus ik kan het mis hebben, maar ik begrijp dat jij uit ervaring als leverancier spreekt? Dan zou je moeten weten dat er bij jouw collegae (bij jou niet natuurlijk) ook erg veel halfbakken rommel wordt verkocht onder de noemer administratieve pakketten en de ondersteuning is ook van wisselende kwaliteit.

@hieronder: dank voor je heldere uitleg!

[Reactie gewijzigd door mae-t.net op 24 juli 2024 19:22]

SuperDre @mae-t.net • 24 juli 2012 09:50

Was geschreven vanaf een tablet in weinig tijd, LOL, I so hate writing responses on my tablet..
Maar het klopt, ik spreek uit ervaring als leverancier, en ken ook een heleboel administratieve pakketten. Het aantal pakketten dat werkelijk de digitale BAPI-aanleveringen doet is zeer beperkt, hiermee bedoel ik de werkelijk gebruikte software. Heel veel administratieve softwareleveranciers leveren namelijk een standaard-pakket mee (Loonsombapi/Loonsom connect) met alleen een eigen splashscreen/windowtitle, en met deze software was het pas sinds februari (of maart, ben het even vergeten) mogelijk om uberhaupt de aanvragen te kunnen kunnen doen en de nieuwe Belastingdienstcertificaten te kunnen binnenhalen, en de reden dat het pas sinds toen kon, is omdat de servers van de Belastingdienst/KPN toen actief werden, en tot die tijd kon er ook niet echt denderend fatsoenlijk getest worden omdat de infrastructuur brak was..
Dus dat er in nog geen 5 maanden nog maar 6% met oude certificaten werkt is toch wel een hele prestatie, maar dat wordt dus nergens vermeldt, de meeste tweakers denken dat sinds het failliet gaan van Diginotar men meteen nieuwe certificaten bij een andere leverancier konden aanvragen, maar dat is dus echt niet het geval geweest, in iedergeval niet voor de certificaten die nodig zijn om aangiftes te kunnen doen richting de Belastingdienst..

Jochem_ @Iblies • 24 juli 2012 08:50

6% Is heel weinig en kan oorzaken hebben die niet voor de hand liggend zijn.

6% is niet weinig, zeker niet als we het over onveilige certificaten hebben.

Ik snap de gang van zaken ook niet helemaal. Het is OF wel OF niet acceptabel dat er onveilige certificaten gebruikt worden, en niet 'nu nog net eventjes wel, maar straks echt niet meer'. Als het, om welke reden dan ook, niet mogelijk blijkt om op tijd met een veilig certificaat te werken, dan moet de belastingdienst/overheid beslissen dat er uitstel zonder boete mogelijk is in plaats van nog maar eventjes toe te staan dat er met onveilige certificaten gewerkt wordt. Want als dat certificaat nu nog goed genoeg is, dan is dat het volgend jaar net zo goed.

SuperDre @Jochem_ • 24 juli 2012 09:52

6% in 5 maanden is wel erg weinig, het gaat hier om tienduizenden certificaten. De hele infrastructuur om dit uberhaupt te kunnen aanvragen en verwerken werkt pas sinds februari (en in het begin ging het toen ook al niet van zn leie dakje), dus dat er in zo'n korte tijd toch al 94% over is, is toch wel een behoorlijk prestatie in zo'n logge keten..

Jochem_ @SuperDre • 24 juli 2012 10:08

1 van elke 20 belastingaangiftes (zelfs iets meer) gaat dus nog met een onbetrouwbaar certificaat. Ik vind dat veel.

Wat jij echter aanstipt is dat het hele proces pas laat op gang is gekomen, en dat er moeilijkheden en wachttijden zijn geweest bij het aanvragen en verwerken. Daarom vind jij het weinig.

Ik denk dat wij het eens zijn als ik zeg dat 6% wel veel is, maar heel begrijpelijk (en misschien zelfs een meevaller) als je bedenkt dat alles zo laat op gang is gekomen.

DMT @Jochem_ • 24 juli 2012 20:43

6% is niet veel. Dat is weinig.
Je stelt dat 1 van elke 20 nog verstuurd worden met een onveilig certificaat.
Dat is een foute aanname. 6% van de certificaten is nog oud. Dat zegt niets over de hoeveelheid aangiftes. Misschien doen die bedrijven veel aangiften met dat certificaat of misschien weinig.

Verder moeten we niet onderschatten wat voor een operatie dit is om dit te wijzigen.
Dat in gedachte is het een hele prestatie. Maar dat geef je zelf ook al aan.

In hoeverre we het geheel onveilig kunnen noemen weet ik niet. Wellicht heeft de Belastingdienst tijdelijk een extra controle ingebouwd.

Jochem_ @DMT • 25 juli 2012 07:27

Ik doe geen (foute) aanname, dit staat precies zo in het artikel:

Zes procent van de aangiftes die worden gedaan door belastingadviseurs, hebben een certificaat van Diginotar.

6% van de aangiftes dus.

Als dit onjuist is, is de informatie in het artikel onjuist.

En ja, het is wel een hele prestatie, en of je het onveilig moet noemen weet ik ook niet. Maar kennelijk vind men het zo onveilig dat het straks niet meer mag. Dan zeg ik: dan is het op dit moment al net zo onveilig als straks, en moet het nu dus ook niet meer mogen. Men zou (boetevrij) uitstel moeten verlenen voor deze gevallen.

[Reactie gewijzigd door Jochem_ op 24 juli 2024 19:22]

Herko_ter_Horst

@Ook al Bezet • 23 juli 2012 17:54

Maar ja, als je dan die belastingaftrek niet krijgt omdat je de aanvraag niet kunt indienen vanwege een ongeldig certificaat...

s_schimmel @gtissink • 23 juli 2012 17:26

Hoezo is dit een blunder van de overheid?

Diginotar was een privaat bedrijf dat er zelf voor heeft gezorgt failliet te gaan. De overheid is vervolgens opgestapt op een nieuwe betrouwbare leverancier van certificaten. Vervolgens zijn er een handjevol private bedrijven die hun klanten weigeren te beschermen tegen dergelijke beveiligings inbreuken en weigeren een goede dienstverlening aan hun klanten te bieden.

Eerder een blunder van die bedrijven. Ze mogen nog van geluk spreken dat de Belastingdienst zoveel moeite doet om ze op een nieuw certificaat te krijgen en niet meteen de deur heeft dicht gegooid en boetes is gaan uitdelen.

IStealYourGun @s_schimmel • 23 juli 2012 18:08

Een andere logische reden is dat een bedrijf nog werkt met oude software en geen nieuwe software wil of kan aanschaffen.

Schway @IStealYourGun • 23 juli 2012 18:23

voor een certificaat is een update toch voldoende?

repmeer @Schway • 23 juli 2012 18:34

Was dat maar. Aangezien iedereen over moet naar een andere certificaat uitgever moet er ook e.e.a. adminstratieve handelingen uitgevoerd worden voordat het certificaat uitgegeven kan/mag worden. Zo simpel als jij het nu ziet is het niet.

[Reactie gewijzigd door repmeer op 24 juli 2024 19:22]

init6 @repmeer • 23 juli 2012 23:48

Welke handelingen zijn dat dan? Je hebt een server csr file en een private key op de server staan, nog wat root CA files (chainfiles) Die is van de Belastingdienst. Vervolgens heb je de client certificates. Die worden gegenereerd door het bezoeken van de dienst over het algemeen (iig bij apache, bij VPN krijg je bijvoorbeeld de vraag of je het certificaat accepteerd). Over deze client certficates gaat het nu.

Als ik een ssl certificaat vernieuw op een apache server (en dat heb ik de afgelopen periode 10 tot 20 keer gedaan) dan is dat binnen 5 minuten gepiept: Ik maak een 2 tal files aan via openssl, die dien je in bij de certificate authority: Comodo, Symantec etc. die genereren 3-4 files die ze naar je terug sturen. Dit hele process is volgens mij geauthoriseerd, want langer dan 10 minuten heb ik nooit hoeven wachten op de files door de leverancier.

Files installeren op de server, httpd conf aanpassen, applicatie aanpassen met verwijziging naar je nieuwe files, rebooten van de services en klaar.

Waar het hier op neer komt is dat mensen waarschijnlijk in deze situatie handmatig uit de omgeving (denk https omgeving, dus waarschijnlijk het certificaat uit internet explorer of firefox of chrome) het certificaat moeten verwijderen, waarna een nieuw certificaat gepushed gaat worden door de web omgeving. Ik heb sterk het vermoeden, als ik de overheid een klein beetje ken, dat er slecht gecommuniceerd is en digibeten (want ook dat kunnen belastingadviseurs met een 1manszaak zijn) niet de ballen begrijpen waarom ze iets moeten weggooien wat nog goed werkt.

[Reactie gewijzigd door init6 op 24 juli 2024 19:22]

repmeer @init6 • 24 juli 2012 07:48

Jij beschrijft de technische handelingen en de certificaten waarover jij het over hebt zijn ssl certificaten en die zijn anders dan BAPI of digipoort certificaten. Ik had het over de administratieve handelingen.

Aangezien iedereen de certificaten bij Diginotar had moesten iedereen naar een andere leverancier. In het geval van de Bapi certificaten moest iedereen over naar KPN certificaten. Daarvoor moest je eerst een abonnee registratie doen. Daar ging al een paar weken overheen vanwege de grote stortvloed aan aanvragen nadat die goed goedgekeurd was kreeg je een abonneenummer waarmee je de aanvraag via de software waarvoor je het nodig had (vooropgesteld dat je de juiste update al had) kon doen. Als dat gebeurt was duurde het nog maar een paar dagen voor dat het binnen was.
De volgende stap was het inlezen van het certificaat.
Hiermee was je er nog niet. Na het inlezen van het certificaat moest je een brief uitprinten die naar de belastingdienst gestuurd moest worden om hun op de hoogte gesteld te worden. Pas als de belastingdienst een brief terug had gestuurd (dat kon max 3 weken duren, maar in de praktijk was dat 3 a 4 werkdagen) dat de nieuwe bapi certificaten gebruikt konden worden mocht je certificaten pas in de software activeren.

Zo duidelijk?

[Reactie gewijzigd door repmeer op 24 juli 2024 19:22]

hardwareaddict @repmeer • 24 juli 2012 08:41

Nah, het is natuurlijk allemaal geldklopperij.

Die certificaten zijn gebaseerd op 2048 bits RSA. Dus de publieke key zijn dan 2 grote priemgetallen met elkaar vermenigvuldigd.

Dus n = p * q

Nu weet ik zeker dat jij n niet weet te ontbinden in p en q. Dat heet factoriseren dat proces. Op het moment dat je dat lukt is het certificaat natuurlijk 'gekraakt' en kun je alles signen wat je wilt ermee.

We moeten echter wel heel naief zijn om te geloven dat de Iraanse NSA dit niet kan factoriseren.

Nu is het totaal fout wat Diginotar deed - maar het verhaal van de Iraanse hacker is net zo'n lulkoek verhaal zoals je zo vaak hoort als het om cryptografie gaat.
Als het Iraans regime herrie wil schoppen dan lukt ze dat. Diginotar of KPN of wie dan ook, dat maakt niet zoveel uit.

Bazvv @gtissink • 23 juli 2012 18:50

Jij hoeft geen nieuw certificaat te kopen.
De private key zit bij de belastingsdienst.
Bij ons was het alleen nieuwe certificaten downloaden met de BAPi module.
Wij doen wel alleen uploaden dus mogelijk dat je met downloaden wel een eigen certificaat nodig hebt.

SuperDre @Bazvv • 23 juli 2012 20:05

tenzij je aanlevert met pincode (zeer onveilig, en vanaf volgend jaar ook niet meertoegestaan), heb je wel degelijk ook nieuwe eigen certificaten nodig.

Banath

@gtissink • 23 juli 2012 19:29

En dat weigeren die bedrijven? Ik zou als de gesmeerde bliksem van accountant veranderen als ik erachter kwam die die beknibbeld op de beveiliging van zijn bedrijfsvoering.

En eigen kosten .. jaja die berekenen ze heus wel door aan jou de klant.

Poekie McPurrr @Banath • 23 juli 2012 20:35

Er zijn helaas maar al te veel bedrijven/zzp'rs die geen idee hebben wat hun accountant nu eigenlijk werkelijk voor ze doet. Het gros daarvan stuurt zelfs hun hele administratie naar de accountant onder het mom van dan heb ik er geen last van, even vergetend dat ze bij een controle zelf de boel moeten kunnen overleggen. En bij een geschil met de accountant zijn de rapen helemaal gaar.. dokken of accountant weigert de administratie terug te geven (verwerpelijke tactiek, maar het gebeurt maar al te vaak helaas).

Pisang @gtissink • 23 juli 2012 17:28

De overheid blundert niet écht in deze, er is/was een instantie gekozen voor het uitgeven van de betreffende certificaten. Deze instantie heeft geblunderd, daar kan de overheid niet echt veel aan doen

SuperDre @Pisang • 23 juli 2012 19:56

en de huidige is ook echt niet veel beter.... helaas... maarja weer switchen gaat niet meer...

Mirved @oliveroms • 24 juli 2012 08:43

Dit gaat over zelfstandige belastingadviseurs die nog een oud software pakketje gebruiken die niet over is op de nieuwe certificaten. Heel de BD is al lang over.

[Reactie gewijzigd door Mirved op 24 juli 2024 19:22]

SuperDre @Mirved • 24 juli 2012 09:40

Heel de BD is al lang over.

al lang? LOL...... als je een paar maanden lang noemt......

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: