Firefox veroorzaakt toch waarschuwing op DigiD.nl
Door een fout van Mozilla wordt een certificaat dat DigiD gebruikt niet vertrouwd, waardoor gebruikers een waarschuwing krijgen. De grote browserleveranciers zoals Microsoft, Mozilla en Google hebben het vertrouwen opgezegd in de DigiNotar Root, maar niet in de PKIoverheid-certificaten die onder de Staat der Nederlanden Root door DigiNotar zijn uitgegeven.
"Helaas heeft Mozilla abusievelijk alleen de Staat der Nederlanden Root CA vertrouwd en niet ook de Staat der Nederlanden Root CA – G2", aldus overheidsinstantie Logius in een verklaring. Daarin staat verder dat Mozilla is ingelicht en dat de open source-ontwikkelaar aan een oplossing werkt.
Aanvallers wisten bij DigiNotar in te breken en daar vervolgens 247 certificaten aan te vragen. Tenminste één van deze certificaten werd gebruikt om het Gmail-verkeer van Iraanse internetgebruikers af te tappen. Daarop werd besloten DigiNotar uit Firefox, Internet Explorer en Chrome te verwijderen.
Browser
Inmiddels heeft GovCERT een factsheet online gezet. Daarin worden gebruikers geadviseerd om updates voor browser en besturingssysteem meteen te installeren, om zo de frauduleuze certificaten te blokkeren.
Gebruikers van Internet Explorer zijn extra gewaarschuwd, aangezien de browser bij alle certificaten die door Diginotar zijn uitgegeven een waarschuwing geeft. "Het kan dan gebeuren dat u een waarschuwing krijgt van uw browser, en u dus niet kunt achterhalen of u de website kunt vertrouwen", aldus GovCERT.
Koddig..
Die checken de certs gewoon elke keer...
http://my.opera.com/securitygroup/blog/2011/08/30/when-certificate-authorities-are-hacked-2
Volledig blacklisten die handel.
Zint mij en menigeen totaal niet.
Al helemaal niet die code.
Nederland maakt zich belachelijk.
Al moet comodo er ook uit.
Alle certificaten uitgegeven door Diginotar zouden revoked moeten worden, aangezien zij niet competent zijn. Het enige waaraan een root CA moet voldoen is betrouwbaarheid. beschamen zij het vetrouwen, dan opdoeken.
De staat der Nederlanden moet maar een andere partner vinden om hun certificaat uit te geven.
Ik heb het vermoeden - lees: weet bijna zeker - dat diginotar certificaten intern bij de overheid een meer dan publiek bekend grote rol spelen. DigiId is het laatste van hun zorgen.
Het heeft verschrikkelijk veel impact in het functioneren van alle overheidsdiensten, inclusief alle secties stiekum en de politie. De complete infra is dus gecomprommitteerd. Het lijkt me daarom dat ook de overheid wel beseft dat de hardcoded oplossing van tijdelijke aard moet zijn: dagen eerder dan de gebruikelijke maanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
