Fokke & ... Oosenbrug moeten security.nl eens wat vaker bezoeken; zelf ook eens wat initiatief tonen ... enzo
;)

Uit https://zoek.officielebekendmakingen.nl/kv-tk-2014Z19218.pdf: Mijn antwoord zou zijn (vooral denkend aan arme eindgebruikers, minder aan ministriële verantwoordelijkheid):

Ten eerste. U stelt de verkeerde vraag. Het certificaat is redelijk in orde, maar als u met uw webbrowser verbinding maakt met https://www.digid.nl/ is de verbinding in verreweg de meeste gevallen onvoldoende veilig doordat van de RC4 "stream cipher" gebruik gemaakt wordt. Het NCSC heeft op 1 april 2013 het gebruik van RC4 afgeraden, omdat deze versleutelingsmethode is gekraakt. Meer informatie hierover vindt u in [1].

Ten tweede. In tegenstelling tot wat Erik Westhovens suggereert in de TV uitzending van "Opgelicht" maakt het certificaat geen gebruik van het, door hem als onveilig aangeduide, SHA1 secure hash algoritme. Meer informatie hierover in [2].

Ten derde. Het certificaat zou op twee punten kunnen worden verbeterd:
A) De gegevens in het certificaat maken niet duidelijk dat digid.nl een site van de "Rijksoverheid" is (dat woord komt er niet in voor). Zie ook [2]. <sarcasme>Gelukkig kunnen we uitsluiten dat iemand een website genaamd https://www.digi-d.nl/ kan opzetten, daar een certificaat voor aanvraagt en dat certificaat ook daadwerkelijk krijgt toegekend, want dat zou tot enorm veel verwarring kunnen leiden.</sarcasme>

B) Het is geen "EV" (Extended Validation) certificaat. Hoewel de meerwaarde qua beveiligingsaspecten beperkt is, tonen de meeste webbrowsers de authenticatie-informatie van de webserver op een veel prominentere wijze (hoe verschilt helaas per producent, versie en instellingen). In [4] ziet u een fraai overzicht van verschillen tussen "gewone" en "EV" certificaten in diverse webbrowsers. Zie ook [3].

Resumerend.
<sarcasme>Om uw vraag 7 sub 2 sub a concreet te beantwoorden: na de onvoorziene rekening uit Brussel en de verwachte onrust over de naheffing van minstens 300 Euro per belastingbetaler in 2015, ontbreken ons momenteel de middelen om hier iets aan te doen. Bij de meeste gemeenten zijn budgetten voor IB (InformatieBeveiliging) overgeheveld naar de cususpot om zorgtaken te leren oppakken, ook op dat vlak hoeft u dus voorlopig niets te verwachten. M.b.t. vraag 7 sub 2 sub b: inzichten op het gebied van cybersecurity wijzigen elke dag. Wij hebben wel wat beters te doen dan dat allemaal in de gaten te blijven houden. Bovendien begrijpen wij niets van al die nieuwsberichten, het lijkt wel of specialisten uitsluitend versleutelde informatie publiceren.

P.S. Hoewel een aanval zoals getoond in http://i.imgur.com/IALiSn7.png theoretisch mogelijk was (zie [3] voor een toelichting), sluiten wij uit dat iemand daar intrapt. En mocht iemand dat toch doen, en de aanvaller voor duizenden Euro's buitmaakt, dan is dat helaas pindakaas voor de persoon die erin getrapt is - want die sukkel zal dat bedrag tot de laatste cent zelf terug moeten betalen.</sarcasme>

[1] https://www.security.nl/posting/406116/
[2] https://www.security.nl/posting/406814/#posting406856
[3] https://www.security.nl/posting/407031/#posting407069
[4] https://www.expeditedssl.com/pages/visual-security-browser-ssl-icons-and-design

Correctie 18:08 - link [3] tussengevoegd, helaas ontbrak die hiervoor

Als kamerleden eerst nu eens de feiten gingen onderzoeken voor ze überhaupt vragen gaan stellen en niet domweg maar er van uitgaan dat de situatie die geschetst wordt in het programma Tros Opgelicht juist is. Een kamerlid kan niet overal wat van afweten maar laat je dan tenminste goed adviseren voor je dit soort domme vragen gaat stellen!
Gevalletje klok klepel

Schuilnaam Olifant

Dan snap jij weinig van politiek. De meeste vragen in de kamer worden niet gesteld omdat men iets wil weten, maar omdat men zich voor de camera wil profileren richting achterban. Het klinkt altijd goed als je laat zien dat je bent begaan met de veiligheid van de kiezers, ook al weet je bij voorbaat het antwoord al.

Blijkbaar hebben de heren politici geen andere informatiebronnen? Alleen maar een eenzijdig verhaal van TV?
Misschien moeten ze wat meer energie stoppen in het stellen van vragen die niet van enige vooringenomenheid getuigen.
Bv. "Kloppen de beweringen van de uitzending?"; "Kan de minister andere informatie-bronnen aanreiken die de bewereringen bevestigen of ontkrachten."; etc, etc.


Aangezien Diginotar ook al zijn audits gehaald had, betekent het halen van een audit niet dat alles veilig is. Dat beweis is al geleverd. Waarom zou je dan nog enig vertrouwen hebben in ICT-audits als garantie voor veiligheid.
Aan de andere kant, als de heren politici hier tevreden mee zijn... zegt dit meer over hun kunde en goedglovigheid dan iets anders.


De rijksoverheid, op instigatie van de politiek, is op dit moment bezig met een mega-operatie om het Sociale Domein over te dragen naar de gemeenten (= decentralisatie).
Redenen: de gemeenten staan dichter bij de burgers, en kunnen goedkoper en beter diensten verlenen dan de rijksoverheid dat kan. (dit is de heersende mening onder de politici)
Als diezelfde politici nu blijkbaar vinden dat gemeenten hun taken niet zorgvuldig kunnen uitvoeren en deze politici vragen om centralisatie ipv decentralisatie, waar zijn we dan in goednaam mee bezig in het Sociale Domein?
Of dit nu het vertrouwen in de poltiek versterkt? Ik betwijfel het.

Tja, als websites van gemeenten over gaan naar het grote boze rijk dan:

+ wellicht beter beveiligd en geaudit
+ in potentie kosten effectiever

- alleen bereikbaar via mega-aanbestedingen waar ik geen illusie heb dat deze ooit zonder corruptie zijn ontstaan
- kleine ondernemingen kunnen wel inpakken
- naar alle waarschijnlijk voor tig miljoen euro met de performance van een lycos website
- als het fout gaat, gaat het voor alle sites fout
- duurt het langer voordat men doorheeft dat er iets fout is gegaan

Veel meer dan PKI - Overheid met Quovadis als issuer en "Staat der Nederlanden' haal je er niet uit. Mij zegt dat genoeg, maar welke simpele burger bekijkt de certificaten uberhaupt zo nauwkeurig.

Dat ze hem voortaan gewoon even WhatsAppen met dit soort onzin, in plaat van hier kostbare tijd aan te verdoen.
Recentelijk nog in het nieuws hoe volstrekt incompetent de ICT-infrastructuur van de Rijksoverheid bestuurd wordt, en dan gaan zeuren over een CMS op een Gemeentelijke website.

Rookgordijn of complete incompetentie? Ik twijfel...

Dat dacht ik ook totdat ik http://computerworld.nl/beveiliging/83538-nieuwe-diginotar-details-het-falen-zat-diep las. Zoals wel vaker ligt het toch net even anders...

Omdat we niks beters hebben c.q. tot nu toe hebben kunnen bedenken. Aan de andere kant, een voor 100% volledige audit zou, onder meer, alle ooit in de toekomst te vinden lekken in de, tijdens de audit, gebruikte software moeten hebben gevonden (de tegenstelling in die regel toont al aan dat dit niet realistisch is).

Bijvoorbeeld https://www.smartpark.eu/ en https://alkmaar.interaccess.nl/ hebben vergelijkbare certificaten (afgeleid van root certificaat "Staat der Nederlanden Root CA - G2"), maar dat maakt ze nog geen overheidssites.

Eens, maar aangezien we geen www.digid.gov.nl systeem (graag in combinatie DNSSEC) gebruiken, is het "Subject" in een certificaat de enige plaats waar je, als gebruiker, met redelijke zekerheid kunt vaststellen wie de eigenaar/verantwoordelijke is van een website (zie https://www.digid.nl/ versus https://www.digi-d.nl/).

Als we het daar met z'n allen over eens zijn, en aanvragers van certificaten voortaan hun hersens beter gebruiken, kunnen we gebruikers precies die verificatieslag aanleren (en niet: als de URL luidt... of als de website er ongeveer zo uitziet...).

Daarnaast: bij elke CSP zouden er alarmbellen moeten gaan rinkelen als een willekeurig iemand een certificaat aanvraagt met daarin, naast "C=NL": "O=Rijksoverheid", "O=Overheid" of "O=Gemeente Alkmaar" etc. (ik vermoed/hoop dat https://www.digi-d.nl/ haar certificaat dan niet gekregen had). En gaat het toch een keer fout, dan heb je als (Rijks-) Overheid betere (juridische) argumenten om zo'n CSP over te halen een dergelijk misleidend certificaat in te trekken.

De reden dat ik (ondanks de bezwaren die ik er ook tegen heb) toch voor een EV certificaat pleit, is dat je, in de meeste browsers, met minder klikken de relevante informatie te zien krijgt (en geen "(unknown)" zoals in Firefox). Zie https://www.expeditedssl.com/pages/visual-security-browser-ssl-icons-and-design.

Een audit is nooit meer dan een beperkte controle op een bepaald moment.
Het kan aangeven dat het niet voldoet, het kan nooit bewijzen dat het overal perfect gedaan is.

Dat is de hele clou van de bewustwording rondom http://www.taskforcebid.nl/taskforce/. (PDCA als kenmerk). Deze wordt binnenkort opgeheven. We zijn niet eens zo ver dat techneuten al zo ver zijn dat ze het doel begrijpen en er naar handelen.