image

Rijk onderzoekt certificaat voor overheidswebsites

vrijdag 2 september 2011, 21:36 door Redactie, 9 reacties

Het Rijk onderzoekt de mogelijkheid of het eigen SSL-certificaten voor overheidswebsites kan uitgeven, zo heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties laten weten. De NOS meldt dit vandaag. Er wordt gesproken over een "veiligheidsgarantie", waar het waarschijnlijk SSL-certificaten mee bedoelt. De nieuwsorganisatie verwijst ook naar berichten dat "overheidssites niet honderd procent waterdicht zijn".

Onlangs werd bekend dat de portal-website van het Beverwijkse DigiNotar in het verleden meerdere keren gehackt is geweest. Deze aanvallen hebben waarschijnlijk niets te maken met de recente inbraak bij DigiNotar. Aanvallers wisten bij het bedrijf in te breken en daar honderden frauduleuze certificaten te genereren. Deze certificaten zeggen niets over de veiligheid van een website, maar brengen wel de communicatie in gevaar van gebruikers die hiermee communiceren. Het onderscheppen van communicatie en het doorsturen van gebruikers naar vervalste websites is hierdoor mogelijk.

Normaliter zou de browser hiervoor waarschuwen, maar in het geval van de bij DigiNotar gestolen certificaten, gebeurde dat alleen bij gebruikers van Google Chrome en alleen voor het Google-domein.

Iran
De NOS weet ook te melden dat de aanval het werk van Iraanse hacker is. Waarop dit is gebaseerd is onduidelijk. Beveiligingsbedrijf Fox-IT zal volgens overheidsinstantie Logius, naar alle waarschijnlijk aan het eind van deze week een rapport over de aanval bij DigiNotar publiceren.

Reacties (9)
02-09-2011, 22:18 door _Peterr
Ja goed idee. Gaan ze lekker over praten en dan over 3 jaar komen ze er achter dat het niet een goed plan is en doen ze het niet. ICT projecten en Overheid.......
02-09-2011, 22:22 door Anoniem
Eerlijk gezegd vraag ik me af of dit zin heeft. Stel dat ze het inderdaad zelf gaan uitgeven, dan moet er dus een instantie komen die dit voor de overheid gaat beheren.
Vervolgens komt daar een hele administratieve romp-slomp bij en moeten er "veiligheidsgaranties" gaan komen om "het DigiNotar verhaal" te gaan voorkomen.

Tegen de tijd dat we zo ver zijn en dat iedereen het ergens over eens is zijn we minstens 3 maanden verder. Vervolgens moet het geheel dus nog opgezet worden. Daarna moet de overheid haar Root CA nog in OS X, GNU/Linux, BSD, Windows, Mozilla en Opera zien te krijgen.
Dat zijn procedures met vrij veel gehannes waar meestal ook nog een paar maand overheen gaan om geaccepteerd te worden en totdat iedereen is bijgewerkt.
Ondertussen zijn mensen die op oudere software draaien de lul want als die certificate store niet wordt bijgewerkt ben je er nog niet en zit je met bedrijven die er nog een halfjaar over doen om dat soort updates uit te rollen, al is het een "simpel" iets als een Root Certificate update.

Kortom, je zit naar een scenario van minstens een half jaar tot een jaar te kijken voordat alles op die manier op orde is (positief ingeschat dit, ik gok een stuk langer) en in de tussentijd moet er ook nog wat bedacht worden om de huidige situatie zo spoedig mogelijk te verhelpen mits inderdaad alle DigiNotar CA's worden ingetrokken, inclusief Staat der Nederlanden.
02-09-2011, 23:19 door Anoniem
Geachte lezers, ik kan nu niet meer "veilig" inloggen op mijnoverheid.nl ik wordt ineens doorverwezen naar mijn.overheid.nl en mij https die daarna verschijnt: federatie.overheid (vreemd federatie) geeft mijn browser dat ik dan ineens een onveilige site bewandel?

Raar hé, dat mijnoverheid ineens mijn.overheid is geworden en federatie overheid ?? stemt mij niet hoopvol! Ik kan nergens ook een melding vinden dat mijnoverheid is verplaatst?

Kan iemand mij helpen?
03-09-2011, 06:54 door quikfit
Hahaha,het Rijk weet van voren niet dat 't van achteren leeft...
03-09-2011, 12:56 door Damiaen
Door Anoniem: Geachte lezers, ik kan nu niet meer "veilig" inloggen op mijnoverheid.nl ik wordt ineens doorverwezen naar mijn.overheid.nl en mij https die daarna verschijnt: federatie.overheid (vreemd federatie) geeft mijn browser dat ik dan ineens een onveilige site bewandel?

Raar hé, dat mijnoverheid ineens mijn.overheid is geworden en federatie overheid ?? stemt mij niet hoopvol! Ik kan nergens ook een melding vinden dat mijnoverheid is verplaatst?

Kan iemand mij helpen?

Helpen kan ik je niet wel wat verduidelijken misschien.
Als ik naar mijnoverheid.nl ga krijg ik een oranje banner te zien waar deze tekst op staat:

De informatie van www.mijnoverheid.nl staat nu op mijn.overheid.nl
MijnOverheid is nu onderdeel van Overheid.nl. Pas indien nodig uw favorieten aan.
03-09-2011, 13:39 door wizzkizz
Door Anoniem: Eerlijk gezegd vraag ik me af of dit zin heeft. Stel dat ze het inderdaad zelf gaan uitgeven, dan moet er dus een instantie komen die dit voor de overheid gaat beheren.
Vervolgens komt daar een hele administratieve romp-slomp bij en moeten er "veiligheidsgaranties" gaan komen om "het DigiNotar verhaal" te gaan voorkomen.

Tegen de tijd dat we zo ver zijn en dat iedereen het ergens over eens is zijn we minstens 3 maanden verder. Vervolgens moet het geheel dus nog opgezet worden. Daarna moet de overheid haar Root CA nog in OS X, GNU/Linux, BSD, Windows, Mozilla en Opera zien te krijgen.
Dat zijn procedures met vrij veel gehannes waar meestal ook nog een paar maand overheen gaan om geaccepteerd te worden en totdat iedereen is bijgewerkt.
De overheid is al een root-CA, die procedures zijn dus in het verleden al gevolgd en succesvol afgesloten. Alle major browsers zien deze Staat der Nederlanden Root CA als vertrouwd. Op basis van deze situatie kan het rijk eenvoudig Logius als nieuwe intermediate CA certificeren (kan ze zelf) en dan kan Logius ook PKIOverheid certificaten uitgeven. Of ze gebruiken PKIOverheid-certificaten van Getronics. Of van één van de vier andere intermediate CA's voor PKIOverheid. Mogelijkheden genoeg dus.

Ik verwacht dat hun websites (DigiD, mijn.overheid, duo, belastingdienst etc.) vrij snel over een niet-DigiNotar certificaat zullen beschikken, waarschijnlijk dit weekend of begin volgende week al. Het grotere probleem is alle client-certificaten, dat loopt in de 10.000en én die zijn minder gemakkelijk te vervangen. Kortom, daar is nog wel wat werk aan de winkel!
03-09-2011, 18:05 door Anoniem
Door wizzkizz:
Door Anoniem: Eerlijk gezegd vraag ik me af of dit zin heeft. Stel dat ze het inderdaad zelf gaan uitgeven, dan moet er dus een instantie komen die dit voor de overheid gaat beheren.
Vervolgens komt daar een hele administratieve romp-slomp bij en moeten er "veiligheidsgaranties" gaan komen om "het DigiNotar verhaal" te gaan voorkomen.

Tegen de tijd dat we zo ver zijn en dat iedereen het ergens over eens is zijn we minstens 3 maanden verder. Vervolgens moet het geheel dus nog opgezet worden. Daarna moet de overheid haar Root CA nog in OS X, GNU/Linux, BSD, Windows, Mozilla en Opera zien te krijgen.
Dat zijn procedures met vrij veel gehannes waar meestal ook nog een paar maand overheen gaan om geaccepteerd te worden en totdat iedereen is bijgewerkt.
De overheid is al een root-CA, die procedures zijn dus in het verleden al gevolgd en succesvol afgesloten. Alle major browsers zien deze Staat der Nederlanden Root CA als vertrouwd. Op basis van deze situatie kan het rijk eenvoudig Logius als nieuwe intermediate CA certificeren (kan ze zelf) en dan kan Logius ook PKIOverheid certificaten uitgeven. Of ze gebruiken PKIOverheid-certificaten van Getronics. Of van één van de vier andere intermediate CA's voor PKIOverheid. Mogelijkheden genoeg dus.

Ik verwacht dat hun websites (DigiD, mijn.overheid, duo, belastingdienst etc.) vrij snel over een niet-DigiNotar certificaat zullen beschikken, waarschijnlijk dit weekend of begin volgende week al. Het grotere probleem is alle client-certificaten, dat loopt in de 10.000en én die zijn minder gemakkelijk te vervangen. Kortom, daar is nog wel wat werk aan de winkel!

Een servercertificaat vervangen is makkelijker inderdaad, maar er zit iets minder tijdsdruk op client certificaten.
Het besluit om een door diginotar gesigned client certificaat niet (meer) te vertrouwen wordt genomen door de beheerder van servers waar die clients mee communiceren. Daar is niet de (externe) druk van "alle" browser leveranciers die een certificaat eruit gooien.
Updates op die servers horen niet helemaal blindelings te zijn, en dus bestaat de mogelijkheid om diginotar gesignde clients nog wat langer te accepteren. Nu de lijst van compromised domein certificaten naar buiten komt is dat wel een af te wegen risico.
Met wat flexibiliteit (niet altijd makkelijk in dat type omgevingen) zou je nog kunnen denken aan een oplossing om alleen bestaande en al bekende door diginotar gesignde client certificaten te blijven accepteren.
03-09-2011, 21:14 door Anoniem
Dit kan natuurlijk alleen maar op VN-niveau. Alles daaronder geeft alleen maar problemen.
Timelord
04-09-2011, 13:51 door Anoniem
en dan kan nog steeds elke andere CA valse certificaten uitgeven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.