Door Anoniem: [...] bij het aanvragen van een aansluiting, dus iemand bij het Logius (Rijksoverheid ICT orgaan) heeft niet op zitten te letten.
Er gaat hier veel meer mis, waaronder:
1) BSN wordt gedeeld met commerciële organisatie. Het gaat welliswaar om een kliniek, maar waar ligt de grens?
2) In
https://blog.xot.nl/2023/02/23/zijn-de-procedures-bij-digid-wel-op-orde/index.html schrijf Jaap-Henk Hoepman onder meer:
Vorige week moest ik met DigiD inloggen op een nieuwe site. Het ging om een medische dienstverlener: Keizer Kliniek, <www.mijnkeizerkliniek.nl>.
Laat ik (met voorkennis) eigenwijs zijn en eerst eens in de adresbalk van mijn browser invullen:
mijnkeizerkliniek.nl en op Enter drukken. In de meeste browsers leidt dat ertoe dat er een
http (niet http
s) verbinding wordt gemaakt, dus wordt
http://mijnkeizerkliniek.nl geopend:
curl -vv http://mijnkeizerkliniek.nl
* Trying 84.241.179.155:80...
* Connected to mijnkeizerkliniek.nl (84.241.179.155) port 80 (#0)
> GET / HTTP/1.1
> Host: mijnkeizerkliniek.nl
[...]
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 22 Mar 2023 11:05:57 GMT
< Location: https://mijnkeizerkliniek.nl//
[...]
Als er geen AitM (Attacker in the Middle) tussenzit (die je naar
een andere server doorstuurt, zoals
mijnkeizerkIiniek.nl,
mijnkeizer-kliniek.nl,
mijnkeizerkliniek.com of
mijn-medisch-dossier.*) kom je dus uit op
https://mijnkeizerkliniek.nl met het volgende https servercertificaat:
Subject:
commonName = mijnkeizerkliniek.nl
Subject Public Key Info:
[...]
Issuer: (CA ID: 904)
commonName = Go Daddy Secure Certificate Authority - G2
[...]
countryName = US
[...]
Met andere woorden, een DV (Domain Validated) https servercertificaat (uitgegeven door een certificaatuitgever in de VS).
Kennelijk is een DV-cert tegenwoordig acceptabel voor DigiD!Indien de browsende persoon was doorgestuurd naar een fake site (met bijvoorbeeld één van de eerder genoemde domeinnamen), die -ongetwijfeld-
ook een DV-certificaat hebben, dan kan die persoon
nergens aan zien dat die fake site
niet de bedoelde site is.
Daarbij, in
https://security.nl/posting/790029 kaartte ik dit probleem ook aan: de EU heeft het over:
qualified certificates for website authentication pursuant to Regulation (EU) No 910/2014
In die "Regulation", te vinden in
https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG wordt naar Annex IV verwezen voor de eisen aan "Qualified certificates for website authentication".
In de Nederlandstalige versie (PDF:
https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32014R0910&from=NL) is dat Bijlage IV (
OK: en
FAIL: toegevoegd door mij):
257/114 [NL] Publicatieblad van de Europese Unie 28.8.2014
----------------------------------------------------------------
BIJLAGE IV
EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE
Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:
a) OK: een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;
b) OK: een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waar die dienstverlener is gevestigd en
— voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,
— voor een natuurlijke persoon: de naam van de persoon;
c) FAIL: voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem.
Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;
voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;
d) FAIL: elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;
e) OK: de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;
f) OK: informatie over begin en einde van de geldigheidsduur van het certificaat;
g) OK: de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;
h) OK: de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;
i) OK: de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;
j) OK (sommige browsers en dan default fail open): de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.
Volgens deze
zeer vage (o.a. wat is "geavanceerde", "pseudoniem", en eisen t.a.v. cryptografie - of een verwijzing naar externe
actuele fatsoenlijke eisen daarvoor - ontbreken) eisen is een DV https servercertificaat
niet gekwalificeerd.
3) Als ik
www.mijnkeizerkliniek.nl in de adresbalk had ingevuld en Enter had getikt was er (zonder AitM) verbinding gemaakt met
http://www.mijnkeizerkliniek.nl - en dat is, net als
http://keizerkliniek.nl, een
CloudFlare server.
Nb.
Oerstom om voor de inlogsite
niet voor
mijn.keizerkliniek.nl te kiezen, een logica die niemand schijnt te snappen (de Politie heeft dit ondertussen
gedeeltelijk begrepen met
https://kombijde.politie.nl, maar nog niet bij
https://www.vraaghetdepolitie.nl).
Als mensen zoals Jaap-Henk Hoepman, die zo'n domeinnaam kennelijk ergens vernomen hebben (of er zelf
www. vóór gezet hebben) verstandig zijn, zetten zij daar
https:// voor (of stellen hun browser zo in dat deze dat voor hen doet). De URL wordt dan:
https://www.mijnkeizerkliniek.nl - zodat AitM's nagenoeg worden uitgesloten (tenzij je typfouten in de domeinnaam maakt).
Als je laatstgenoemde link opent, ontvangt jouw browser een m.i. doodeng https servercertificaat (geheel te zien in
https://crt.sh/?id=6892130131):
Subject:
commonName = sni.cloudflaressl.com
organizationName = Cloudflare, Inc.
localityName = San Francisco
stateOrProvinceName = California
countryName = US
[...]
X509v3 Subject Alternative Name:
DNS:mijnkeizerkliniek.nl
DNS:*.mijnkeizerkliniek.nl
DNS:sni.cloudflaressl.com
[...]
Issuer: (CA ID: 157938)
commonName = Cloudflare Inc ECC CA-3
organizationName = Cloudflare, Inc.
countryName = US
Oftewel, er bestaat
minstens één andere server met een geldig (DV) certificaat voor zowel
mijnkeizerkliniek.nl als voor
*.mijnkeizerkliniek.nl.
Ik vind dit scary.
Door Anoniem: Aangaande de betrouwbaarheid, jaarlijks dienen aansluithouders aan Logius een door een RE gesigneerde DigiD TPM te overleggen als onderdeel van de totale ENSIA audit. Het normenkader waarop getoetst wordt is te vinden op de website van NOREA en betreft voor een deel een subset van de NCSC beveiligingsrichtlijnen voor webapplicaties.
Ofwel daar staat tegenwoordig flauwekul in (ik heb het niet gecheckt), ofwel de audits vinden niet plaats, ofwel de auditors auditten niet.
Ik weiger om met DigiD in te loggen op, qua authenticatie, totaal onveilige websites. Uit ervaring weet ik dat dit nog veel meer ellende voorspelt voor overige essentiële beveiligingsmaatregelen van zo'n website en de ICT van de organisatie daarachter: meestal is het wachten op een stevig datalek als er zo met beveiliging wordt omgegaan.