Nu wreekt zich gebrek aan beleid, en dat terwijl het systeem zelf daar best handvatten voor biedt. De simpele en origineel precies zo bedoelde methode gaat zo: Je registreert politie.nl en je levert aan ieder korps een <korpsnaam>.politie.nl.

Daarmee heeft de landelijke politie-ict-facilitatie-organisatie het betalen van precies een domeinnaam bij te houden en kan naar hartelust subdomeinen weggeven. Het enige wat je ervoor nodig hebt is een klein beetje inzicht en een minieme hoeveelheid centrale infrastructuur. En de voordelen zijn ook duidelijk: Je hebt een duidelijke naamgevingsstructuur en je kan daarmee een uniform beeldvormingsplaatje afgeven, terwijl veranderingen over tijd automatisch in eigen hand blijven.

Dit consultatieadvies gratis als mosterd na de maaltijd, zonder gene want de politie had zichzelf deze kennis maar op tijd zelf moeten bezorgen, desnoods tijdig inkopen. Het leuke maar wat doen blijkt uiteindelijk dus rommelen in de marge, en dat straft zichzelf nu af.

Wouter Slotboom toont hiermee aan dat het belangrijk is om de mogelijkheden van DNS en SSL certificaten zoveel mogelijk te benutten om bezoekers maximale zekerheid te geven dat ze de bedoelde website bezoeken.

Heel jammer is dan te moeten constateren dat alles en iedereen linkt naar http://www.politie.nl/. Temeer daar https://www.politie.nl/ wel werkt, maar alle links in die pagina weer met http beginnen.

Een aanvaller met netwerktoegang (WiFi aanval of gemanipuleerde modem/router DNS instellingen) kan zo heel simpel een hijack aanval uitvoeren door http://aangifte.politie.nl/e-aangifte (i.p.v. https://aangifte.politie.nl/e-aangifte) te tonen en de rest van die sessie naar keuze in te richten. Waarom zou een gebruiker dan wel een slotje missen?

Of tijdens een werkelijke aangifte al om DigiD authenticatie gevraagd wordt weet ik niet, maar een aanvaller kan dat natuurlijk altijd doen en zo mensen de bijbehorende gegevens afhandig maken.

Fix: maak overheidssites https only en zorg ook dat alle interne en externe verwijzingen https gebruiken; voed dan gebruikers op.

Nee. Niet een beetje niet, maar helemaal niet. Kijk maar:

Erik, je hebt vaak best leuke ideetjes, maar dit valt daar wat mij betreft niet onder. Namelijk, er verloopt een domein, voorheen van de politie, en iemand anders pakt het op, compleet met nieuw (en correct) certificaat. Dan komen alle oude verwijzingen naar dat domein bij de nieuwe eigenaar terecht, met of zonder https. Met https dus inclusief correct certificaat, dus een correct geel of wieweet zelfs groen balkje. Waarmee je alle gebruikelijke vinkjes gezet hebt.

En "gebruikers opvoeden"? Wat wil je dan, dat ze voor elke klik eerst even een whois uitvoeren?

Dit is dus gewoon geen fix.

Overheid. ICT. Faal.
What else is new?

Niet dat je veel van who is eruit kan halen als diegene daar protection voor heeft nog even cloudflare er over en goodluck ^^

Slapend en laakbaar.

Dat is voor u als IT-expert duidelijk. Echter zijn onze landgenoten opgevoed met het idee dat alles begint met wee wee wee, en wat je dan krijgt is dat ze alsnog www.politie.nl gaan proberen of www.korps.politie.nl. Al is dat natuurlijk deels af te vangen, is het echte niet gebruiksvriendelijk. Niet zo gebruiksvriendelijk als een pagina die zegt kies uw regio/korps.

Dus het politiebureau wordt verplaatst naar een ander pand.
De nieuwe huurder schroeft een lichtbak op de gevel met het politielogo.
Hij gaat binnen zitten en doet alsof hij politieagent is.
En neemt aangiftes op in een uniform.

En dan is het de schuld van iedereen behalve de nieuwe huurder en de gene die aangifte doet?

Wanneer wordt men in dit kneuterige landje een beetje meer zelfredzaam?

Nou en of, in de zin van dat Wouter Slotboom laat zien dat het tot nu toe hartstikke fout was.

1) Optimaal van DNS gebruik maken doe je door van rechts (TLD) naar links in domainnames duidelijk te maken (zowel aan bezoekers als uitgevers van SSL certificaten) wie voor een domein verantwoordelijk is. Helaas kennen we in Nederland geen .gov.nl, want waar Wouter nu een certificaat voor politieeindhovencentrum.nl kon krijgen, had dat (mede door afspraken met certificaatverstrekkers - als .gov.nl bestaan had) een stuk lastiger kunnen zijn voor politieeindhovencentrum.gov.nl. Op vergelijkbare wijze is *.politie.nl al een verbetering, maar zolang sites als www.mijnpolitie.nl bestaan, blijft het een inconsistent rommeltje.

2) Zorg in certificaten voor eenheid. Waarom gebruikt de Politie geen PKI-overheid certificaten? Waarom zijn PKI-Overheid certificaten geen EV certificaten? Waarom is de "O" (Organization) bij politie.nl "voorziening tot samenwerking Politie Nederland" en bij mijnpolitie.nl "Politie Noord-Holland Noord"?

3) Webbrowser fabrikanten werken onvoldoende mee. Waar in de browser slotjes verschijnen is een verrassing, en waarom toont mijn (Engelstalige) Firefox, als ik op zo'n slotje klik:

  You are connected to
  politie.nl
  which is run by
  (unknown)
  Verified by: KPN Corporate Market BV
  The connection to this website is secure.

Wat is dat voor onbetrouwbare melding? Wat heb ik aan een "secure connection" met "(unknown)"?!?

(Enigszins off topic maar wel een ergernis: waarom moet www.politie.nl zonodig Javascript downloaden van ajax.googleapis.com, waarmee die laatste site kan meekijken met wat ik doe?)

Kennelijk heb ik niet duidelijk genoeg overgebracht wat ik bedoel: de oude situatie was, helaas pindakaas, niet goed (oude domainnames opnieuw proberen te registreren is natuurlijk een paardenmiddel), maar extra zorgelijk vind ik dat ook op de nieuwe situatie veel valt aan te merken. Waarom niet in 1x zaken goed oppakken?

Vanzelfsprekend is het niet de bedoeling dat gebruikers met whois aan de slag gaan. Zoals ik in deze bijdrage al aangaf: verstandig gebruik van de combinatie van DNS en SSL certificaten kunnen gebuikers redelijke zekerheid geven van wie de site is waar ze verbinding mee maken (en dat ze niet met een nepsite van Wouter Slotboom, of erger, te maken hebben).

Zodra gebruikers geleerd is dat overheidssites uitsluitend via https bereikbaar zijn, die sites eenduidig herkenbare certificaten gebruiken en webbrowsers er geen potje van maken, kun je gebruikers leren echte- van nepsites te onderscheiden, en daarmee ook SSLStrip-aanvallen en DNS manipulatie te leren herkennen.

Helaas begrijpen nog steeds veel te weinig mensen dat een SSL certificaat er primair is voor authenticatie van de webserver, en dat de bescherming van vertrouwelijkheid en integriteit van gegevens (tijdens transport) pas daarna aan de orde komt.

"Gebruikers die op deze websites met hun DigiD inlogden om bijvoorbeeld aangifte te doen zouden zo hun gegevens naar de onderzoeker hebben gestuurd"

Nou nee zo werkt dat niet bij DigiD.
Het zal wellicht mogelijk zijn om mensen te misleiden, maar dat kan altijd wel.
Het in de hand hebben van een website brengt je wat dat betreft niks dichter bij DigiD.

Dat gebrek aan .gov.nl (of ".oh.nl" ofzo, voor OverHeid) hebben we aan Piet Beertema te danken, die er in de begintijd het domeinenverhaal maar een beetje bijdeed. Ook later is dat door niemand aangekaart danwel opgepakt, zo te zien.

Bij gebrek aan beter hebben we wel politie.nl en dat had al helemaal voldoende kunnen zijn. Sterker, "eindhovencentrum.politie.nl" (of zelfs "centrum.eindhoven.politie.nl" met een doorverwijspagina op "eindhoven.politie.nl" die je precies vertelt welk subdomein je waarvoor moet hebben) is duidelijk voor eenieder die het systeem een beetje kent en als je het toch over "opvoeden" hebt dan is dit simpeler uit te leggen.

Dat heeft nog meer voordelen zelfs, want je geeft dat de politieorganisatie zelf in de hand (idem dito met "politie.gov.nl") zodat de korpsen zich alleen tot de eigen ict-ondersteuningsorganisatie hoeven wenden. Maar dan moet dat wel opgezet zijn en ook nog eens intern gecommuniceerd.

En dat hier intern beleid over bestaat dat ook nog eens gecommuniceerd en begrepen is binnen alle politieorganisaties lijkt me toch echt een stukje belangrijker dan dat je een willekeurige bezoeker denkt te moeten opvoeden.

Overigens is "gov.nl" geregistreerd door een mij verder onbekende "dienst publiek en communicatie" te Den Haag, dus wellicht dat er een tentje binnen het ambtenarenapparaat eens wat nuttigs kan doen.

Allemaal goede vragen. Wat mij betreft indicatief van een gebrek aan begrip en organisatie. Daarmee een mensenprobleem.

Zodat de site altijd de laatste versie heeft en de bezoeker dus altijd de nieuwste, beste, en (merk ik aan mijn browser) vaak langzaamste versie gebruikt. Echt een groot voordeel, wat ik je brom.

Dat ben ik met je eens, en je kaart (nu) aardige puntjes aan, maar dat stond niet in jouw origineel.

Wat er wel stond was vooral techno-saus op dat mensenprobleem proberen te gooien, met bijwerkingen bovendien. Bijvoorbeeld, als mensen met software zonder https-ondersteuning (of als het certificaat verlopen is of weet ik wat er deze week misgaat) zelfs alleen nog maar informatie van de overheid willen, dan laat een altijd-verplicht-met-ssl-eis ze al in de kou staan. Lijkt me niet de bedoeling. Bovendien lost het dat probleem van verherregistreerde verlopen domeinen niet op, wat direct voortvloeit uit in het originele stukje aangekaarte zaken.

Ik denk dat je verder komt met minder draconische maatregelen, en het moedwillig uitsluiten van toegang tot publieke informatie wellicht een beetje te voortvarend is. Want zorgen dat alles onder .politie.nl staat is ook best aardig te communiceren en minder technisch en dus beter begrijpelijk dan "goed op die abracadabra achter het slotje letten hoor!"

Niet te vergeten, zoals net duidelijk werd, dat certificaten niets zeggen over de achterliggende organisatie anders dan "oh ja die hebben het domein geregistreerd."

Hier wreekt zich overigens ook dat X.509 losgeweekt is van de X500 structuur en slechts met hele losse en vrijblijvende verwijzingen naar domeinnamen getrokken is. Lees: Iedere rootCA kan werkelijk eenieder domein "authenticeren", dus als er eentje niet het gewenste certificaat wil afgeven, nou, dan haal je het toch bij een ander? Er zijn er genoeg.

Dan heb je dus een systeem wat per ontwerp eigenlijk nooit kan doen wat ervan verwacht wordt dat het doet, en daar moet je de eindgebruiker niet mee opzadelen. Dat is gewoon extra maakwerk voor nauwlijks tot geen winst in veiligheid.

Opsommend, het was, is, en zo te zien blijft het een zooitje bij de politie, en ik ben ook met je eens dat ze er beter aan zouden doen door het nu dan goed op te pakken. Maar begin met de organisatorische kant en druk dat uit zoals het domeinnamensysteem dat toestaat.

Staar je niet blind op algehele ver- en geboden die vooral technisch van aard zijn, en niet organisatorisch. Het is verstandig er wel over na te denken en mee te nemen in het algemene plan maar op zichzelf leveren bv. certificaten gewoon niet wat je nodig hebt hier. Plus het is wel handig op te letten dat je niet andere legitieme toegang en passant kapotmaakt.

(Ik weet toevallig dat Anoniem van 13:08 en 13:56 en ondergetekende dezelfde zijn.)

De politie heeft ook .politie als gTLD geclaimd. Dan verloopt er niets meer.

Het eeuwige dilemma: korte bijdragen zijn onvoldoende gedetailleerd en lange bijdragen zijn te lang...

Dank voor jouw antwoord! Ik ben het grotendeels met jou eens, maar ga niet met je mee met de gedachte dat certificaten nou eenmaal niet handig zijn en dat sprake zou zijn van draconische maatregelen (als gevolg van https i.p.v. http).

Voor mij is het evident dat eindgebruikers op voldoende betrouwbare wijze moeten kunnen vaststellen welke organisatie of welk bedrijf verantwoordelijk is voor elke website (lees domainname) die ze bezoeken. Die betrouwbaarheid moet in verhouding staan tot de risico's die ze daarbij kunnen lopen (public WiFi bijv.) en de verstrekte, maar ook verkregen (met name integriteit), informatie.

Ik denk dat slimmer gebruik maken van SSL certificaten, slimmere domainnames (dan bijv. ikgeeftoestemming.nl en hetcak.nl) en betere webbrowsers hierbij aanzienlijk kunnen helpen.

Onvoorstelbaar..wat is er moeilijk aan een simpele spreadsheet met daarin de domeinen, datum van verlopen, datum van verlengen en een groups email alert te maken ?

Het probleem wat is aangetoond gaat op een woekering aan domeinnamen van een organisatie. Daar is ten eerste de politie als organisatie niet de enige in. Waarom? Omdat het mens eigen is om domweg alles te accepteren wat er voor hun kiezen komt, en procedurele regeltjes en handvatten te negeren. Mensen trappen massaal in domeinnamen die vals zijn, zelfs al zou je je organisatie zo schoon krijgen dat er niets anders officieel zou bestaan dan alles onder *.politie.nl voor politie en *.officielebanknaam.nl. Het maakt de internetter niets uit. Het maakt overigens de eigenaren van de sites ook niets uit, want zelfs al is de regel dat alles onder *.politie.nl moet vallen dan zijn het dezelfde gebruikers die toch gewoon kans zien om hun eigen projectjes te starten en weetikwaarpolitie.nl te registreren en dat een tijd vol te houden zonder dat iemand die wel weet dat er en waarom er procedures en regels over domeinnamen in de organisatie bestaan er ooit achter komt. Maar he, er zijn in NL nog honderdduizenden personen die toch niet weten hoe ze met hun DigiD-gegevens om moeten gaan en waar ze die niet achter moeten laten dat voor de hoek waar de slachtoffers vallen het geen zak uitmaakt als alles van de politie wel als in sprookjesland allemaal onder *.politie.nl zou bestaan.

Dat is iets te makkelijk.

Certificaten zijn wel nou eenmaal niet handig puur omdat ze lang niet doen wat we van ze verwachten dat ze doen*, dat zeg je zelf ook. Waarmee ik niet wil zeggen dat je ze niet moet gebruiken, maar wel dat je er niet je hele beveiligingsmodel aan moet ophangen, waar wat jij zegt wel naar ruikt. Terwijl je zelf ook al zegt dat... enz.

Wat je ook zegt is om alleen nog maar https toe te staan, en dus http-zonder-s te verbieden, voor alles, inclusief dingen die publieke informatie zijn. Dat gaat te ver want het sluit gebruikers zonder https uit van toegang die geen https zou mogen vereisen. En is daarmee draconisch.

We hebben het namelijk niet over een bedrijf dat intern even kan beslissen dat iedereen toch wel met internet exploder zal moeten browsen en dus "daarop standaardiseert"**. We hebben het over de overheid, die iedere burger moet dienen ongeacht welke browser die mee aankomt, inclusief text-only browsers, browsers zonder ssl, browsers zonder javascript, noem maar op.

Je kan zeggen, sommige dingen kunnen dan niet, maar dan moet je toch weer alternatieven bieden. Bijvoorbeeld communiceren over GPG-email, of zelfs GPG-versleutelde berichten copy/pasten in onversleutelde http formulieren. Niet geschikt als primaire methode maar zeker wel te doen als fall-back, en je bouwt gelijk in de organisatie in het idee dat meerdere methoden ondersteunen er gewoon bij hoort. En voor de digibeten (of de techno-experts die niet geloven dat de overheid voldoende kennis in huis heeft) is terug kunnen vallen op de aloude papieren brief, desnoods een handgeschreven brief, toch wel het minste. En als ze dat allemaal niet kunnen of te moeilijk vinden, dan is de overheid in gebreke.

Op dat punt ben ik echt niet flexibel: We gaan onszelf niet ophangen aan specifieke technologieen, zeker niet zo jong en veranderlijke technologieen als wat de webaapjes deze week uit de mouw schudden. Daar is de overheid gewoon te langzaam voor, die moet dat bijbenen niet eens proberen. Dat ze dat nu wel doet met hun "Nederland Digitaal", en alweer puur op de vorm ("iedereen aan de website"***) en niet op de inhoud (cq de interne organisatie, want ambtenaren) is wachten tot het volgende kaartenhuis ineenstort, en de burger mag weer eens het gelag betalen.

Dat zeker wel, maar realistisch gezien staat of valt het gebruik van al die techniek met de organisatie die erachter zit, en daar moet je dus mee beginnen. Wat mooi uitkomt want organisaties weten OHA meer van organiseren dan van techniek.

* En omdat het een hopeloos ingewikkelde kluwen pijn en moeilijk doen is, veel meer dan de waarde die ze meebrengen. Zie bijvoorbeeld (alleen de titel al van) https://www.cs.auckland.ac.nz/~pgut001/pubs/pkitutorial.pdf.
** Zo'n bedrijf betaalt ook de arbeidsmiddelen. Het logische gevolg is dan een overheid die iedereen van een windhooskompjoetor voorziet voor het invullen van de vele formulieren.
*** Waarmee de burger gek genoeg met meer werk wordt opgezadeld en met minder mogelijkheden zijn eigen organisatie te automatiseren achterblijft.

De politie heeft de gTLD .politie geclaimed en daarmee eigenaar en autoriteit binnen dit toplevel domein (dus wat SIDN is voor .nl). Zij gaan dan zelf over de DNS-records registraties (en dus geen tussenhandel waardoor domeinnamen verlopen). Dus is er geen enkele partij meer die handig gebruik/misbruik kan maken van de term 'politie'. Het enige wat hun nog rest is activeren, een naamgevingsplan opstellen en gebruik van gaan maken..

Om fraude te voorkomen hoop ik dat .politie daadwerkelijk door "de politie" is geclaimd. Maar ik hoop dat ze het niet gaan gebruiken, want (bij gebrek aan .gov.nl) vind ik politie.be en politie.nl veel duidelijker.