Door Erik van Straten: Helaas kennen we in Nederland geen .gov.nl, want waar Wouter nu een certificaat voor politieeindhovencentrum.nl kon krijgen, had dat (mede door afspraken met certificaatverstrekkers - als .gov.nl bestaan had) een stuk lastiger kunnen zijn voor politieeindhovencentrum.gov.nl. Op vergelijkbare wijze is *.politie.nl al een verbetering, maar zolang sites als www.mijnpolitie.nl bestaan, blijft het een inconsistent rommeltje.
Dat gebrek aan .gov.nl (of ".oh.nl" ofzo, voor OverHeid) hebben we aan Piet Beertema te danken, die er in de begintijd het domeinenverhaal maar een beetje bijdeed. Ook later is dat door niemand aangekaart danwel opgepakt, zo te zien.
Bij gebrek aan beter hebben we wel politie.nl en dat had al helemaal voldoende kunnen zijn. Sterker, "eindhovencentrum.politie.nl" (of zelfs "centrum.eindhoven.politie.nl" met een doorverwijspagina op "eindhoven.politie.nl" die je precies vertelt welk subdomein je waarvoor moet hebben) is duidelijk voor eenieder die het systeem een beetje kent en als je het toch over "opvoeden" hebt dan is dit simpeler uit te leggen.
Dat heeft nog meer voordelen zelfs, want je geeft dat de politieorganisatie zelf in de hand (idem dito met "politie.gov.nl") zodat de korpsen zich alleen tot de eigen ict-ondersteuningsorganisatie hoeven wenden. Maar dan moet dat wel opgezet zijn en ook nog eens intern gecommuniceerd.
En dat hier intern beleid over bestaat dat ook nog eens gecommuniceerd en begrepen is binnen alle politieorganisaties lijkt me toch echt een stukje belangrijker dan dat je een willekeurige
bezoeker denkt te moeten opvoeden.
Overigens is "gov.nl" geregistreerd door een mij verder onbekende "dienst publiek en communicatie" te Den Haag, dus wellicht dat er een tentje binnen het ambtenarenapparaat eens wat nuttigs kan doen.
2) Zorg in certificaten voor eenheid. Waarom gebruikt de Politie geen PKI-overheid certificaten? Waarom zijn PKI-Overheid certificaten geen EV certificaten? Waarom is de "O" (Organization) bij politie.nl "voorziening tot samenwerking Politie Nederland" en bij mijnpolitie.nl "Politie Noord-Holland Noord"?
Allemaal goede vragen. Wat mij betreft indicatief van een gebrek aan begrip en organisatie. Daarmee een mensenprobleem.
(Enigszins off topic maar wel een ergernis: waarom moet www.politie.nl zonodig Javascript downloaden van ajax.googleapis.com, waarmee die laatste site kan meekijken met wat ik doe?)
Zodat de site altijd de laatste versie heeft en de bezoeker dus altijd de nieuwste, beste, en (merk ik aan mijn browser) vaak langzaamste versie gebruikt. Echt een groot voordeel, wat ik je brom.
02-02-2015, 13:56 door Anoniem: Dit is dus gewoon geen fix.
Kennelijk heb ik niet duidelijk genoeg overgebracht wat ik bedoel: de
oude situatie was, helaas pindakaas, niet goed (oude domainnames opnieuw proberen te registreren is natuurlijk een paardenmiddel), maar extra zorgelijk vind ik dat ook op de
nieuwe situatie veel valt aan te merken. Waarom niet in 1x zaken goed oppakken?
Dat ben ik met je eens, en je kaart (nu) aardige puntjes aan, maar dat stond niet in jouw origineel.
Wat er wel stond was vooral techno-saus op dat mensenprobleem proberen te gooien, met bijwerkingen bovendien. Bijvoorbeeld, als mensen met software zonder https-ondersteuning (of als het certificaat verlopen is of weet ik wat er deze week misgaat) zelfs alleen nog maar informatie van de overheid willen, dan laat een altijd-verplicht-met-ssl-eis ze al in de kou staan. Lijkt me niet de bedoeling. Bovendien lost het dat probleem van verherregistreerde verlopen domeinen niet op, wat direct voortvloeit uit in het originele stukje aangekaarte zaken.
Zodra gebruikers geleerd is dat overheidssites uitsluitend via https bereikbaar zijn, die sites eenduidig herkenbare certificaten gebruiken en webbrowsers er geen potje van maken, kun je gebruikers leren echte- van nepsites te onderscheiden, en daarmee ook SSLStrip-aanvallen en DNS manipulatie te leren herkennen.
Ik denk dat je verder komt met minder draconische maatregelen, en het moedwillig uitsluiten van toegang tot publieke informatie wellicht een beetje te voortvarend is. Want zorgen dat alles onder .politie.nl staat is ook best aardig te communiceren en minder technisch en dus beter begrijpelijk dan "goed op die abracadabra achter het slotje letten hoor!"
Helaas begrijpen nog steeds veel te weinig mensen dat een SSL certificaat er primair is voor authenticatie van de webserver, en dat de bescherming van vertrouwelijkheid en integriteit van gegevens (tijdens transport) pas daarna aan de orde komt.
Niet te vergeten, zoals net duidelijk werd, dat certificaten niets zeggen over de achterliggende organisatie anders dan "oh ja die hebben het domein geregistreerd."
Hier wreekt zich overigens ook dat X.509 losgeweekt is van de X500 structuur en slechts met hele losse en vrijblijvende verwijzingen naar domeinnamen getrokken is. Lees: Iedere rootCA kan werkelijk eenieder domein "authenticeren", dus als er eentje niet het gewenste certificaat wil afgeven, nou, dan haal je het toch bij een ander? Er zijn er genoeg.
Dan heb je dus een systeem wat per ontwerp eigenlijk nooit kan doen wat ervan verwacht wordt dat het doet, en daar moet je de eindgebruiker niet mee opzadelen. Dat is gewoon extra maakwerk voor nauwlijks tot geen winst in veiligheid.
Opsommend, het was, is, en zo te zien blijft het een zooitje bij de politie, en ik ben ook met je eens dat ze er beter aan zouden doen door het nu dan goed op te pakken. Maar begin met de organisatorische kant en druk dat uit zoals het domeinnamensysteem dat toestaat.
Staar je niet blind op algehele ver- en geboden die vooral technisch van aard zijn, en niet organisatorisch. Het is verstandig er wel over na te denken en mee te nemen in het algemene plan maar op zichzelf leveren bv. certificaten gewoon niet wat je nodig hebt hier. Plus het is wel handig op te letten dat je niet andere legitieme toegang en passant kapotmaakt.
(Ik weet toevallig dat Anoniem van 13:08 en 13:56 en ondergetekende dezelfde zijn.)1GYYopciYLMZB1mUTgZta7WpgMa78Smwt3