Rijk onderzoekt certificaat voor overheidswebsites
Het Rijk onderzoekt de mogelijkheid of het eigen SSL-certificaten voor overheidswebsites kan uitgeven, zo heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties laten weten. De NOS meldt dit vandaag. Er wordt gesproken over een "veiligheidsgarantie", waar het waarschijnlijk SSL-certificaten mee bedoelt. De nieuwsorganisatie verwijst ook naar berichten dat "overheidssites niet honderd procent waterdicht zijn".
Onlangs werd bekend dat de portal-website van het Beverwijkse DigiNotar in het verleden meerdere keren gehackt is geweest. Deze aanvallen hebben waarschijnlijk niets te maken met de recente inbraak bij DigiNotar. Aanvallers wisten bij het bedrijf in te breken en daar honderden frauduleuze certificaten te genereren. Deze certificaten zeggen niets over de veiligheid van een website, maar brengen wel de communicatie in gevaar van gebruikers die hiermee communiceren. Het onderscheppen van communicatie en het doorsturen van gebruikers naar vervalste websites is hierdoor mogelijk.
Normaliter zou de browser hiervoor waarschuwen, maar in het geval van de bij DigiNotar gestolen certificaten, gebeurde dat alleen bij gebruikers van Google Chrome en alleen voor het Google-domein.
Iran
De NOS weet ook te melden dat de aanval het werk van Iraanse hacker is. Waarop dit is gebaseerd is onduidelijk. Beveiligingsbedrijf Fox-IT zal volgens overheidsinstantie Logius, naar alle waarschijnlijk aan het eind van deze week een rapport over de aanval bij DigiNotar publiceren.
Vervolgens komt daar een hele administratieve romp-slomp bij en moeten er "veiligheidsgaranties" gaan komen om "het DigiNotar verhaal" te gaan voorkomen.
Tegen de tijd dat we zo ver zijn en dat iedereen het ergens over eens is zijn we minstens 3 maanden verder. Vervolgens moet het geheel dus nog opgezet worden. Daarna moet de overheid haar Root CA nog in OS X, GNU/Linux, BSD, Windows, Mozilla en Opera zien te krijgen.
Dat zijn procedures met vrij veel gehannes waar meestal ook nog een paar maand overheen gaan om geaccepteerd te worden en totdat iedereen is bijgewerkt.
Ondertussen zijn mensen die op oudere software draaien de lul want als die certificate store niet wordt bijgewerkt ben je er nog niet en zit je met bedrijven die er nog een halfjaar over doen om dat soort updates uit te rollen, al is het een "simpel" iets als een Root Certificate update.
Kortom, je zit naar een scenario van minstens een half jaar tot een jaar te kijken voordat alles op die manier op orde is (positief ingeschat dit, ik gok een stuk langer) en in de tussentijd moet er ook nog wat bedacht worden om de huidige situatie zo spoedig mogelijk te verhelpen mits inderdaad alle DigiNotar CA's worden ingetrokken, inclusief Staat der Nederlanden.
Raar hé, dat mijnoverheid ineens mijn.overheid is geworden en federatie overheid ?? stemt mij niet hoopvol! Ik kan nergens ook een melding vinden dat mijnoverheid is verplaatst?
Kan iemand mij helpen?
Raar hé, dat mijnoverheid ineens mijn.overheid is geworden en federatie overheid ?? stemt mij niet hoopvol! Ik kan nergens ook een melding vinden dat mijnoverheid is verplaatst?
Kan iemand mij helpen?
Helpen kan ik je niet wel wat verduidelijken misschien.
Als ik naar mijnoverheid.nl ga krijg ik een oranje banner te zien waar deze tekst op staat:
De informatie van www.mijnoverheid.nl staat nu op mijn.overheid.nl
MijnOverheid is nu onderdeel van Overheid.nl. Pas indien nodig uw favorieten aan.
Vervolgens komt daar een hele administratieve romp-slomp bij en moeten er "veiligheidsgaranties" gaan komen om "het DigiNotar verhaal" te gaan voorkomen.
Tegen de tijd dat we zo ver zijn en dat iedereen het ergens over eens is zijn we minstens 3 maanden verder. Vervolgens moet het geheel dus nog opgezet worden. Daarna moet de overheid haar Root CA nog in OS X, GNU/Linux, BSD, Windows, Mozilla en Opera zien te krijgen.
Dat zijn procedures met vrij veel gehannes waar meestal ook nog een paar maand overheen gaan om geaccepteerd te worden en totdat iedereen is bijgewerkt.
Ik verwacht dat hun websites (DigiD, mijn.overheid, duo, belastingdienst etc.) vrij snel over een niet-DigiNotar certificaat zullen beschikken, waarschijnlijk dit weekend of begin volgende week al. Het grotere probleem is alle client-certificaten, dat loopt in de 10.000en én die zijn minder gemakkelijk te vervangen. Kortom, daar is nog wel wat werk aan de winkel!
Vervolgens komt daar een hele administratieve romp-slomp bij en moeten er "veiligheidsgaranties" gaan komen om "het DigiNotar verhaal" te gaan voorkomen.
Tegen de tijd dat we zo ver zijn en dat iedereen het ergens over eens is zijn we minstens 3 maanden verder. Vervolgens moet het geheel dus nog opgezet worden. Daarna moet de overheid haar Root CA nog in OS X, GNU/Linux, BSD, Windows, Mozilla en Opera zien te krijgen.
Dat zijn procedures met vrij veel gehannes waar meestal ook nog een paar maand overheen gaan om geaccepteerd te worden en totdat iedereen is bijgewerkt.
Ik verwacht dat hun websites (DigiD, mijn.overheid, duo, belastingdienst etc.) vrij snel over een niet-DigiNotar certificaat zullen beschikken, waarschijnlijk dit weekend of begin volgende week al. Het grotere probleem is alle client-certificaten, dat loopt in de 10.000en én die zijn minder gemakkelijk te vervangen. Kortom, daar is nog wel wat werk aan de winkel!
Een servercertificaat vervangen is makkelijker inderdaad, maar er zit iets minder tijdsdruk op client certificaten.
Het besluit om een door diginotar gesigned client certificaat niet (meer) te vertrouwen wordt genomen door de beheerder van servers waar die clients mee communiceren. Daar is niet de (externe) druk van "alle" browser leveranciers die een certificaat eruit gooien.
Updates op die servers horen niet helemaal blindelings te zijn, en dus bestaat de mogelijkheid om diginotar gesignde clients nog wat langer te accepteren. Nu de lijst van compromised domein certificaten naar buiten komt is dat wel een af te wegen risico.
Met wat flexibiliteit (niet altijd makkelijk in dat type omgevingen) zou je nog kunnen denken aan een oplossing om alleen bestaande en al bekende door diginotar gesignde client certificaten te blijven accepteren.
Timelord
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
