Eerste Kamer akkoord met Wet digitale overheid: invoering vanaf 1 juli
De Eerste Kamer heeft het wetsvoorstel digitale overheid aangenomen, dat onder andere regelt met welke middelen er bij de overheid kan worden ingelogd. De Wet digitale overheid (Wdo) wordt op 1 juli van dit jaar in fases ingevoerd. De Wdo legt de basis voor de verdere digitalisering van de overheid. Het eerste deel van de Wdo gaat over veilig inloggen op dienstverlening bij (semi-) overheidsinstanties.
De Wdo is een zogeheten kaderwet: de wet regelt algemene principes, verantwoordelijkheden en procedures, maar geen gedetailleerde regels. Dit moet volgens het kabinet voor meer flexibiliteit zorgen, zodat er met nieuwe ontwikkelingen rekening kan worden gehouden. De Wdo maakt het mogelijk om straks via publieke én private inlogmiddelen digitaal zaken te doen met bijvoorbeeld gemeenten en zorginstanties.
De wet verplicht publieke dienstverleners om per dienst te bepalen welk betrouwbaarheidsniveau is vereist voor toegang tot hun digitale dienstverlening. Ook zijn zij verplicht de inlogmiddelen die de minister van Binnenlandse Zaken heeft toegelaten, te accepteren voor hun digitale diensten, zo meldt het ministerie. Voor toelating moeten aanbieders van deze inlogmiddelen blijvend voldoen aan toelatingseisen. Dat geldt voor het publieke inlogmiddel DigiD en private middelen als eHerkenning, maar ook voor mogelijke nieuwe private inlogmiddelen voor burgers en bedrijven.
De Eerste Kamer had in eerste instantie allerlei zorgen over het wetsvoorstel. Daarop werd in 2021 de novelle Wet digitale overheid ingediend. De novelle zorgt ervoor dat privacy by design, verbod op het verhandelen van gegevens en open source zijn vastgelegd in de wet. Niet alle kritiek was met de novelle weggenomen. Zo had de Kamer nog steeds zorgen over de toegankelijkheid van mensen met weinig digitale kennis, om buitenlandse aanbieders die aan minder hoge eisen voldoen, over de veiligheid en betrouwbaarheid van de software en over de rol van commerciële techbedrijven.
Van de partijen in de Eerste Kamer stemden OSF, PvdA, GroenLinks, D66, SP, Fractie-Otten, PVV, SGP, ChristenUnie, CDA en VVD voor, Fractie-Nanninga, PvdD, 50PLUS, FVD en Fractie-Frentrop waren tegen. Een motie van senator Van Hattem (PVV) die uitspreekt dat verdere stappen richting een Europese digitale identiteit onwenselijk zijn en de Nederlandse regering hiervan moet afzien, werd verworpen.
Reacties (23)
22-03-2023, 08:48 door
spatieman
EU versie van de CCP zou je haast zeggen.
22-03-2023, 09:10 door
Erik van Straten
De betrouwbaarheid van DigiD wordt ook al steeds verder ondergraven: https://blog.xot.nl/2023/02/23/zijn-de-procedures-bij-digid-wel-op-orde/index.html.
Ondertussen neemt magical thinking alleen maar toe.
Ondertussen neemt magical thinking alleen maar toe.
Zo had de Kamer nog steeds zorgen over de toegankelijkheid van mensen met weinig digitale kennis, om buitenlandse aanbieders die aan minder hoge eisen voldoen, over de veiligheid en betrouwbaarheid van de software en over de rol van commerciële techbedrijven.
Maar dat weerhield de Kamer niet om de wet aan te nemen, met dank aan OSF, PvdA, GroenLinks, D66, SP, Fractie-Otten, PVV, SGP, ChristenUnie, CDA en VVD.
Gaan zij nog uitleggen hoe deze zorgen weggenomen zullen worden (of al in een roze wolk zijn opgelost)
Of gaan ze in Den Haag over een aantal jaartjes, als de zittende politici weer vertrokken zijn, de volgende set problemen behandelen in een parlementaire enquête?
Zo had de Kamer nog steeds zorgen over de toegankelijkheid van mensen met weinig digitale kennis,
Als er een eerlijk onderzoek komt dan denk ik dat meer dan tachtig procent geen of weinig digitale kennis heeft. Maar dit is in hun nadeel dus iedereen die een programma kan opstarten, bij een webwinkel iets kan
kopen is volgens hun regels digitaal vaardig. Ik heb hier weleens een vergelijking met een auto gelezen, dan
is mijn vraag hoeveel mensen begrijpen hoe een auto nu werkt dus inclusief de soft en hardware. Het gaat
hier over kennis en niet over het gebruiken.
Kan je uberhaubt nog zonder internet leven in nederland?
Of ben je dan illegaal bezig?
Waar moet ik zijn om die vraag beantwoord te krijgen?
Of ben je dan illegaal bezig?
Waar moet ik zijn om die vraag beantwoord te krijgen?
Door Erik van Straten: De betrouwbaarheid van DigiD wordt ook al steeds verder ondergraven: https://blog.xot.nl/2023/02/23/zijn-de-procedures-bij-digid-wel-op-orde/index.html.
Ondertussen neemt magical thinking alleen maar toe.
In het artikel wordt terecht gewezen op de naam van de organisatie waar je voor inlogt, dat dient overeen te komen met waar je denkt voor in te loggen. Uiteindelijk is het een waarde die je invult bij het aanvragen van een aansluiting, dus iemand bij het Logius (Rijksoverheid ICT orgaan) heeft niet op zitten te letten.Ondertussen neemt magical thinking alleen maar toe.
Aangaande de betrouwbaarheid, jaarlijks dienen aansluithouders aan Logius een door een RE gesigneerde DigiD TPM te overleggen als onderdeel van de totale ENSIA audit. Het normenkader waarop getoetst wordt is te vinden op de website van NOREA en betreft voor een deel een subset van de NCSC beveiligingsrichtlijnen voor webapplicaties.
Er wordt nu al gebruik gemaakt van Bdo en wat is dan het verschil met Wdo?
Door Anoniem: Kan je uberhaubt nog zonder internet leven in nederland?
Of ben je dan illegaal bezig?
Waar moet ik zijn om die vraag beantwoord te krijgen?
Of ben je dan illegaal bezig?
Waar moet ik zijn om die vraag beantwoord te krijgen?
Als je elke dag gewoon netjes opstaat, adem blijft halen, voedsel tot je neemt, restjes uitscheidt en weer gaat slapen, blijf je volgens mij gewoon leven hoor. Je hoeft géén internet te hebben om te leven. Het is niet illegaal. Hoef je je ook geen zorgen over te maken en er is ook géén loketje waar je je vraag hoeft te stellen (want dat is ook niet nodig).
Het is overigens wel gemakkelijker als je mee blijft gaan met de rest van de maatschappij. Dan blijf je ook aangehaakt met ontwikkelingen, of die nou goed of slecht zijn. Deden ze in de afgelopen 10.000 jaar ook.
Door Anoniem: Kan je uberhaubt nog zonder internet leven in nederland?
Of ben je dan illegaal bezig?
Waar moet ik zijn om die vraag beantwoord te krijgen?
Op papier kun je zonder internet leven in Nederland in de praktijk niet.Of ben je dan illegaal bezig?
Waar moet ik zijn om die vraag beantwoord te krijgen?
En aan degene die zullen reageren dat dit niet waar is jouw reactie op mijn post op dit forum gehost via het internet bewijst mijn punt.
De Wdo maakt het mogelijk om straks via publieke én private inlogmiddelen digitaal zaken te doen met bijvoorbeeld gemeenten en zorginstanties.
Mooi ik wil verder geen zaken doen met gemeenten en zorginstanties dus veel plezier er mee. Heb geprobeerd digid op te zeggen maar ben nog niet door het doolhof heen. Een mevrouw aan de telefoon snapte er helemaal niets van wat mijn vraag is en blijkbaar weet niemand hoe dat moet.
EU versie van de CCP zou je haast zeggen.
Onderbouw die stelling eens, op basis van inhoudelijke argumenten ? Op basis waarvan roep je dit ?
Het is overigens wel gemakkelijker als je mee blijft gaan met de rest van de maatschappij. Dan blijf je ook aangehaakt met ontwikkelingen, of die nou goed of slecht zijn. Deden ze in de afgelopen 10.000 jaar ook.
Ja en dat doen ze in Rusland ook, geweldig voor die aan de macht zijn, oogjes dicht en snaveltjes toe. Gelukkig zijn er nog steeds denkers.
@ anoniem van 9:53,
Die vraag heb je eigenlijk al zelf beantwoord. De zogenaamde digitale maatschappij is een laatste poging van de overlords om de totaal ontspoorde digitale en analoge maatschappij nog eningszins in de klauwen te kunnen houden en niet compleet te laten ontsporen met gewone en cyber-misdaad.
Of is eigenlijk die ontsporing en complete chaos laten ontstaan het doel hierachter? Beweer het maar niet, want dan ben je een wap, een conspiratie-denker, of nog erger en mag de digi-burgemeester je over eventjes opsluiten in je 15 minuten-cyber-districtje.
Koppel eens lekker af, zou ik zo zeggen. Voel eens aan de schors van een boom. Stel je voor hoe de Irokezen voor 1500 leefden of onze verre voorouders. De wal, die zal het schip wel keren. Maak je kat blij met een pak voer met 44% minder inhoud. Nu voor de prijs van de 100% verpakking van vroeger. Je ziet het, men heeft beslist het beste met je voor.... (sarc. modus on). Haal TikTok van je smartfoon en gebruik uitsluitend Google en Meta. Doei.....
Die vraag heb je eigenlijk al zelf beantwoord. De zogenaamde digitale maatschappij is een laatste poging van de overlords om de totaal ontspoorde digitale en analoge maatschappij nog eningszins in de klauwen te kunnen houden en niet compleet te laten ontsporen met gewone en cyber-misdaad.
Of is eigenlijk die ontsporing en complete chaos laten ontstaan het doel hierachter? Beweer het maar niet, want dan ben je een wap, een conspiratie-denker, of nog erger en mag de digi-burgemeester je over eventjes opsluiten in je 15 minuten-cyber-districtje.
Koppel eens lekker af, zou ik zo zeggen. Voel eens aan de schors van een boom. Stel je voor hoe de Irokezen voor 1500 leefden of onze verre voorouders. De wal, die zal het schip wel keren. Maak je kat blij met een pak voer met 44% minder inhoud. Nu voor de prijs van de 100% verpakking van vroeger. Je ziet het, men heeft beslist het beste met je voor.... (sarc. modus on). Haal TikTok van je smartfoon en gebruik uitsluitend Google en Meta. Doei.....
Als je elke dag gewoon netjes opstaat, adem blijft halen, voedsel tot je neemt, restjes uitscheidt en weer gaat slapen, blijf je volgens mij gewoon leven hoor. Je hoeft géén internet te hebben om te leven. Het is niet illegaal. Hoef je je ook geen zorgen over te maken en er is ook géén loketje waar je je vraag hoeft te stellen (want dat is ook niet nodig).
Wel vrij lastig vandaag de dag. Genoeg zaken welke je moet regelen, welke niet meer kunnen zonder internet. Jij regelt je betalingen vast ook niet met overschrijvingsformulier.
Door Anoniem: [...] bij het aanvragen van een aansluiting, dus iemand bij het Logius (Rijksoverheid ICT orgaan) heeft niet op zitten te letten.
Er gaat hier veel meer mis, waaronder:1) BSN wordt gedeeld met commerciële organisatie. Het gaat welliswaar om een kliniek, maar waar ligt de grens?
2) In https://blog.xot.nl/2023/02/23/zijn-de-procedures-bij-digid-wel-op-orde/index.html schrijf Jaap-Henk Hoepman onder meer:
Vorige week moest ik met DigiD inloggen op een nieuwe site. Het ging om een medische dienstverlener: Keizer Kliniek, <www.mijnkeizerkliniek.nl>.
Laat ik (met voorkennis) eigenwijs zijn en eerst eens in de adresbalk van mijn browser invullen: mijnkeizerkliniek.nl en op Enter drukken. In de meeste browsers leidt dat ertoe dat er een http (niet https) verbinding wordt gemaakt, dus wordt http://mijnkeizerkliniek.nl geopend:curl -vv http://mijnkeizerkliniek.nl
* Trying 84.241.179.155:80...
* Connected to mijnkeizerkliniek.nl (84.241.179.155) port 80 (#0)
> GET / HTTP/1.1
> Host: mijnkeizerkliniek.nl
[...]
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 22 Mar 2023 11:05:57 GMT
< Location: https://mijnkeizerkliniek.nl//
[...]
* Trying 84.241.179.155:80...
* Connected to mijnkeizerkliniek.nl (84.241.179.155) port 80 (#0)
> GET / HTTP/1.1
> Host: mijnkeizerkliniek.nl
[...]
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 22 Mar 2023 11:05:57 GMT
< Location: https://mijnkeizerkliniek.nl//
[...]
Als er geen AitM (Attacker in the Middle) tussenzit (die je naar een andere server doorstuurt, zoals mijnkeizerkIiniek.nl, mijnkeizer-kliniek.nl, mijnkeizerkliniek.com of mijn-medisch-dossier.*) kom je dus uit op https://mijnkeizerkliniek.nl met het volgende https servercertificaat:
Subject:
commonName = mijnkeizerkliniek.nl
Subject Public Key Info:
[...]
Issuer: (CA ID: 904)
commonName = Go Daddy Secure Certificate Authority - G2
[...]
countryName = US
[...]
commonName = mijnkeizerkliniek.nl
Subject Public Key Info:
[...]
Issuer: (CA ID: 904)
commonName = Go Daddy Secure Certificate Authority - G2
[...]
countryName = US
[...]
Kennelijk is een DV-cert tegenwoordig acceptabel voor DigiD!
Indien de browsende persoon was doorgestuurd naar een fake site (met bijvoorbeeld één van de eerder genoemde domeinnamen), die -ongetwijfeld- ook een DV-certificaat hebben, dan kan die persoon nergens aan zien dat die fake site niet de bedoelde site is.
Daarbij, in https://security.nl/posting/790029 kaartte ik dit probleem ook aan: de EU heeft het over:
qualified certificates for website authentication pursuant to Regulation (EU) No 910/2014
In die "Regulation", te vinden in https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG wordt naar Annex IV verwezen voor de eisen aan "Qualified certificates for website authentication".
In de Nederlandstalige versie (PDF: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32014R0910&from=NL) is dat Bijlage IV (OK: en FAIL: toegevoegd door mij):
257/114 [NL] Publicatieblad van de Europese Unie 28.8.2014
----------------------------------------------------------------
BIJLAGE IV
EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE
Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:
a) OK: een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;
b) OK: een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waar die dienstverlener is gevestigd en
— voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,
— voor een natuurlijke persoon: de naam van de persoon;
c) FAIL: voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem.
Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;
voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;
d) FAIL: elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;
e) OK: de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;
f) OK: informatie over begin en einde van de geldigheidsduur van het certificaat;
g) OK: de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;
h) OK: de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;
i) OK: de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;
j) OK (sommige browsers en dan default fail open): de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.
Volgens deze zeer vage (o.a. wat is "geavanceerde", "pseudoniem", en eisen t.a.v. cryptografie - of een verwijzing naar externe actuele fatsoenlijke eisen daarvoor - ontbreken) eisen is een DV https servercertificaat niet gekwalificeerd.----------------------------------------------------------------
BIJLAGE IV
EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE
Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:
a) OK: een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;
b) OK: een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waar die dienstverlener is gevestigd en
— voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,
— voor een natuurlijke persoon: de naam van de persoon;
c) FAIL: voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem.
Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;
voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;
d) FAIL: elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;
e) OK: de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;
f) OK: informatie over begin en einde van de geldigheidsduur van het certificaat;
g) OK: de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;
h) OK: de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;
i) OK: de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;
j) OK (sommige browsers en dan default fail open): de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.
3) Als ik www.mijnkeizerkliniek.nl in de adresbalk had ingevuld en Enter had getikt was er (zonder AitM) verbinding gemaakt met http://www.mijnkeizerkliniek.nl - en dat is, net als http://keizerkliniek.nl, een CloudFlare server.
Nb. Oerstom om voor de inlogsite niet voor mijn.keizerkliniek.nl te kiezen, een logica die niemand schijnt te snappen (de Politie heeft dit ondertussen gedeeltelijk begrepen met https://kombijde.politie.nl, maar nog niet bij https://www.vraaghetdepolitie.nl).
Als mensen zoals Jaap-Henk Hoepman, die zo'n domeinnaam kennelijk ergens vernomen hebben (of er zelf www. vóór gezet hebben) verstandig zijn, zetten zij daar https:// voor (of stellen hun browser zo in dat deze dat voor hen doet). De URL wordt dan: https://www.mijnkeizerkliniek.nl - zodat AitM's nagenoeg worden uitgesloten (tenzij je typfouten in de domeinnaam maakt).
Als je laatstgenoemde link opent, ontvangt jouw browser een m.i. doodeng https servercertificaat (geheel te zien in https://crt.sh/?id=6892130131):
Subject:
commonName = sni.cloudflaressl.com
organizationName = Cloudflare, Inc.
localityName = San Francisco
stateOrProvinceName = California
countryName = US
[...]
X509v3 Subject Alternative Name:
DNS:mijnkeizerkliniek.nl
DNS:*.mijnkeizerkliniek.nl
DNS:sni.cloudflaressl.com
[...]
Issuer: (CA ID: 157938)
commonName = Cloudflare Inc ECC CA-3
organizationName = Cloudflare, Inc.
countryName = US
commonName = sni.cloudflaressl.com
organizationName = Cloudflare, Inc.
localityName = San Francisco
stateOrProvinceName = California
countryName = US
[...]
X509v3 Subject Alternative Name:
DNS:mijnkeizerkliniek.nl
DNS:*.mijnkeizerkliniek.nl
DNS:sni.cloudflaressl.com
[...]
Issuer: (CA ID: 157938)
commonName = Cloudflare Inc ECC CA-3
organizationName = Cloudflare, Inc.
countryName = US
Ik vind dit scary.
Door Anoniem: Aangaande de betrouwbaarheid, jaarlijks dienen aansluithouders aan Logius een door een RE gesigneerde DigiD TPM te overleggen als onderdeel van de totale ENSIA audit. Het normenkader waarop getoetst wordt is te vinden op de website van NOREA en betreft voor een deel een subset van de NCSC beveiligingsrichtlijnen voor webapplicaties.
Ofwel daar staat tegenwoordig flauwekul in (ik heb het niet gecheckt), ofwel de audits vinden niet plaats, ofwel de auditors auditten niet.Ik weiger om met DigiD in te loggen op, qua authenticatie, totaal onveilige websites. Uit ervaring weet ik dat dit nog veel meer ellende voorspelt voor overige essentiële beveiligingsmaatregelen van zo'n website en de ICT van de organisatie daarachter: meestal is het wachten op een stevig datalek als er zo met beveiliging wordt omgegaan.
Door Erik van Straten:
1) BSN wordt gedeeld met commerciële organisatie. Het gaat welliswaar om een kliniek, maar waar ligt de grens?
2) In https://blog.xot.nl/2023/02/23/zijn-de-procedures-bij-digid-wel-op-orde/index.html schrijf Jaap-Henk Hoepman onder meer:
Als er geen AitM (Attacker in the Middle) tussenzit (die je naar een andere server doorstuurt, zoals mijnkeizerkIiniek.nl, mijnkeizer-kliniek.nl, mijnkeizerkliniek.com of mijn-medisch-dossier.*) kom je dus uit op https://mijnkeizerkliniek.nl met het volgende https servercertificaat:
Met andere woorden, een DV (Domain Validated) https servercertificaat (uitgegeven door een certificaatuitgever in de VS).
Kennelijk is een DV-cert tegenwoordig acceptabel voor DigiD!
Indien de browsende persoon was doorgestuurd naar een fake site (met bijvoorbeeld één van de eerder genoemde domeinnamen), die -ongetwijfeld- ook een DV-certificaat hebben, dan kan die persoon nergens aan zien dat die fake site niet de bedoelde site is.
Daarbij, in https://security.nl/posting/790029 kaartte ik dit probleem ook aan: de EU heeft het over:
In die "Regulation", te vinden in https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG wordt naar Annex IV verwezen voor de eisen aan "Qualified certificates for website authentication".
In de Nederlandstalige versie (PDF: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32014R0910&from=NL) is dat Bijlage IV (OK: en FAIL: toegevoegd door mij):
3) Als ik www.mijnkeizerkliniek.nl in de adresbalk had ingevuld en Enter had getikt was er (zonder AitM) verbinding gemaakt met http://www.mijnkeizerkliniek.nl - en dat is, net als http://keizerkliniek.nl, een CloudFlare server.
Nb. Oerstom om voor de inlogsite niet voor mijn.keizerkliniek.nl te kiezen, een logica die niemand schijnt te snappen (de Politie heeft dit ondertussen gedeeltelijk begrepen met https://kombijde.politie.nl, maar nog niet bij https://www.vraaghetdepolitie.nl).
Als mensen zoals Jaap-Henk Hoepman, die zo'n domeinnaam kennelijk ergens vernomen hebben (of er zelf www. vóór gezet hebben) verstandig zijn, zetten zij daar https:// voor (of stellen hun browser zo in dat deze dat voor hen doet). De URL wordt dan: https://www.mijnkeizerkliniek.nl - zodat AitM's nagenoeg worden uitgesloten (tenzij je typfouten in de domeinnaam maakt).
Als je laatstgenoemde link opent, ontvangt jouw browser een m.i. doodeng https servercertificaat (geheel te zien in https://crt.sh/?id=6892130131):
Oftewel, er bestaat minstens één andere server met een geldig (DV) certificaat voor zowel mijnkeizerkliniek.nl als voor *.mijnkeizerkliniek.nl.
Ik vind dit scary.
Ik weiger om met DigiD in te loggen op, qua authenticatie, totaal onveilige websites. Uit ervaring weet ik dat dit nog veel meer ellende voorspelt voor overige essentiële beveiligingsmaatregelen van zo'n website en de ICT van de organisatie daarachter: meestal is het wachten op een stevig datalek als er zo met beveiliging wordt omgegaan.
Door Anoniem: [...] bij het aanvragen van een aansluiting, dus iemand bij het Logius (Rijksoverheid ICT orgaan) heeft niet op zitten te letten.
Er gaat hier veel meer mis, waaronder:1) BSN wordt gedeeld met commerciële organisatie. Het gaat welliswaar om een kliniek, maar waar ligt de grens?
2) In https://blog.xot.nl/2023/02/23/zijn-de-procedures-bij-digid-wel-op-orde/index.html schrijf Jaap-Henk Hoepman onder meer:
Vorige week moest ik met DigiD inloggen op een nieuwe site. Het ging om een medische dienstverlener: Keizer Kliniek, <www.mijnkeizerkliniek.nl>.
Laat ik (met voorkennis) eigenwijs zijn en eerst eens in de adresbalk van mijn browser invullen: mijnkeizerkliniek.nl en op Enter drukken. In de meeste browsers leidt dat ertoe dat er een http (niet https) verbinding wordt gemaakt, dus wordt http://mijnkeizerkliniek.nl geopend:curl -vv http://mijnkeizerkliniek.nl
* Trying 84.241.179.155:80...
* Connected to mijnkeizerkliniek.nl (84.241.179.155) port 80 (#0)
> GET / HTTP/1.1
> Host: mijnkeizerkliniek.nl
[...]
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 22 Mar 2023 11:05:57 GMT
< Location: https://mijnkeizerkliniek.nl//
[...]
* Trying 84.241.179.155:80...
* Connected to mijnkeizerkliniek.nl (84.241.179.155) port 80 (#0)
> GET / HTTP/1.1
> Host: mijnkeizerkliniek.nl
[...]
< HTTP/1.1 301 Moved Permanently
< Date: Wed, 22 Mar 2023 11:05:57 GMT
< Location: https://mijnkeizerkliniek.nl//
[...]
Als er geen AitM (Attacker in the Middle) tussenzit (die je naar een andere server doorstuurt, zoals mijnkeizerkIiniek.nl, mijnkeizer-kliniek.nl, mijnkeizerkliniek.com of mijn-medisch-dossier.*) kom je dus uit op https://mijnkeizerkliniek.nl met het volgende https servercertificaat:
Subject:
commonName = mijnkeizerkliniek.nl
Subject Public Key Info:
[...]
Issuer: (CA ID: 904)
commonName = Go Daddy Secure Certificate Authority - G2
[...]
countryName = US
[...]
commonName = mijnkeizerkliniek.nl
Subject Public Key Info:
[...]
Issuer: (CA ID: 904)
commonName = Go Daddy Secure Certificate Authority - G2
[...]
countryName = US
[...]
Kennelijk is een DV-cert tegenwoordig acceptabel voor DigiD!
Indien de browsende persoon was doorgestuurd naar een fake site (met bijvoorbeeld één van de eerder genoemde domeinnamen), die -ongetwijfeld- ook een DV-certificaat hebben, dan kan die persoon nergens aan zien dat die fake site niet de bedoelde site is.
Daarbij, in https://security.nl/posting/790029 kaartte ik dit probleem ook aan: de EU heeft het over:
qualified certificates for website authentication pursuant to Regulation (EU) No 910/2014
In die "Regulation", te vinden in https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG wordt naar Annex IV verwezen voor de eisen aan "Qualified certificates for website authentication".
In de Nederlandstalige versie (PDF: https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32014R0910&from=NL) is dat Bijlage IV (OK: en FAIL: toegevoegd door mij):
257/114 [NL] Publicatieblad van de Europese Unie 28.8.2014
----------------------------------------------------------------
BIJLAGE IV
EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE
Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:
a) OK: een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;
b) OK: een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waar die dienstverlener is gevestigd en
— voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,
— voor een natuurlijke persoon: de naam van de persoon;
c) FAIL: voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem.
Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;
voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;
d) FAIL: elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;
e) OK: de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;
f) OK: informatie over begin en einde van de geldigheidsduur van het certificaat;
g) OK: de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;
h) OK: de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;
i) OK: de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;
j) OK (sommige browsers en dan default fail open): de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.
Volgens deze zeer vage (o.a. wat is "geavanceerde", "pseudoniem", en eisen t.a.v. cryptografie - of een verwijzing naar externe actuele fatsoenlijke eisen daarvoor - ontbreken) eisen is een DV https servercertificaat niet gekwalificeerd.----------------------------------------------------------------
BIJLAGE IV
EISEN VOOR GEKWALIFICEERDE CERTIFICATEN VOOR WEBSITE-AUTHENTICATIE
Gekwalificeerde certificaten voor websiteauthenticatie moeten het volgende bevatten:
a) OK: een vermelding, ten minste in een vorm die geschikt is voor automatische verwerking, dat het certificaat afgegeven is als een gekwalificeerd certificaat voor websiteauthenticatie;
b) OK: een reeks gegevens die ondubbelzinnig verwijzen naar de gekwalificeerde verlener van vertrouwensdiensten die de gekwalificeerde certificaten afgeeft, met inbegrip van ten minste de lidstaat waar die dienstverlener is gevestigd en
— voor een rechtspersoon: de naam en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers,
— voor een natuurlijke persoon: de naam van de persoon;
c) FAIL: voor natuurlijke personen: op zijn minst de naam van de persoon aan wie het certificaat is afgegeven, of een pseudoniem.
Indien een pseudoniem wordt gebruikt, wordt dat duidelijk aangegeven;
voor rechtspersonen: ten minste de naam van de rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, het registratienummer zoals vermeld in de officiële registers;
d) FAIL: elementen van het adres, met inbegrip van ten minste de plaats en de staat, van de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven en, indien van toepassing, zoals vermeld in de officiële registers;
e) OK: de domeinnaam/-namen die wordt/worden geëxploiteerd door de natuurlijke of rechtspersoon aan wie het certificaat is afgegeven;
f) OK: informatie over begin en einde van de geldigheidsduur van het certificaat;
g) OK: de identiteitscode van het certificaat, die uniek moet zijn voor de gekwalificeerde verlener van vertrouwensdiensten;
h) OK: de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel van de afgevende gekwalificeerde verlener van vertrouwensdiensten;
i) OK: de locatie waar het certificaat ter ondersteuning van de geavanceerde elektronische handtekening of het geavanceerde elektronische zegel als bedoeld onder h) gratis beschikbaar is;
j) OK (sommige browsers en dan default fail open): de locatie van de valideringsstatusdiensten voor certificaten die gebruikt kunnen worden om informatie over de geldigheidsstatus van het gekwalificeerde certificaat te raadplegen.
3) Als ik www.mijnkeizerkliniek.nl in de adresbalk had ingevuld en Enter had getikt was er (zonder AitM) verbinding gemaakt met http://www.mijnkeizerkliniek.nl - en dat is, net als http://keizerkliniek.nl, een CloudFlare server.
Nb. Oerstom om voor de inlogsite niet voor mijn.keizerkliniek.nl te kiezen, een logica die niemand schijnt te snappen (de Politie heeft dit ondertussen gedeeltelijk begrepen met https://kombijde.politie.nl, maar nog niet bij https://www.vraaghetdepolitie.nl).
Als mensen zoals Jaap-Henk Hoepman, die zo'n domeinnaam kennelijk ergens vernomen hebben (of er zelf www. vóór gezet hebben) verstandig zijn, zetten zij daar https:// voor (of stellen hun browser zo in dat deze dat voor hen doet). De URL wordt dan: https://www.mijnkeizerkliniek.nl - zodat AitM's nagenoeg worden uitgesloten (tenzij je typfouten in de domeinnaam maakt).
Als je laatstgenoemde link opent, ontvangt jouw browser een m.i. doodeng https servercertificaat (geheel te zien in https://crt.sh/?id=6892130131):
Subject:
commonName = sni.cloudflaressl.com
organizationName = Cloudflare, Inc.
localityName = San Francisco
stateOrProvinceName = California
countryName = US
[...]
X509v3 Subject Alternative Name:
DNS:mijnkeizerkliniek.nl
DNS:*.mijnkeizerkliniek.nl
DNS:sni.cloudflaressl.com
[...]
Issuer: (CA ID: 157938)
commonName = Cloudflare Inc ECC CA-3
organizationName = Cloudflare, Inc.
countryName = US
commonName = sni.cloudflaressl.com
organizationName = Cloudflare, Inc.
localityName = San Francisco
stateOrProvinceName = California
countryName = US
[...]
X509v3 Subject Alternative Name:
DNS:mijnkeizerkliniek.nl
DNS:*.mijnkeizerkliniek.nl
DNS:sni.cloudflaressl.com
[...]
Issuer: (CA ID: 157938)
commonName = Cloudflare Inc ECC CA-3
organizationName = Cloudflare, Inc.
countryName = US
Ik vind dit scary.
Door Anoniem: Aangaande de betrouwbaarheid, jaarlijks dienen aansluithouders aan Logius een door een RE gesigneerde DigiD TPM te overleggen als onderdeel van de totale ENSIA audit. Het normenkader waarop getoetst wordt is te vinden op de website van NOREA en betreft voor een deel een subset van de NCSC beveiligingsrichtlijnen voor webapplicaties.
Ofwel daar staat tegenwoordig flauwekul in (ik heb het niet gecheckt), ofwel de audits vinden niet plaats, ofwel de auditors auditten niet.Ik weiger om met DigiD in te loggen op, qua authenticatie, totaal onveilige websites. Uit ervaring weet ik dat dit nog veel meer ellende voorspelt voor overige essentiële beveiligingsmaatregelen van zo'n website en de ICT van de organisatie daarachter: meestal is het wachten op een stevig datalek als er zo met beveiliging wordt omgegaan.
Op de website https://www.keizerkliniek.nl, bij "Over Ons" staat oa. het volgende:
Digitale ruggengraat
Naast de focus op uitstekende patiëntenzorg, staat bij Keizer Kliniek de ICT centraal. Om de efficiency in de processen te vergroten heeft de kliniek vanaf dag één een eigen ICT-afdeling; de digitale ruggengraat van de medische en organisatorische bedrijfsvoering.
Elektronisch patiënt dossier, medische applicaties, patiëntplanning, facturatie naar Vecozo, klant contact centrum, patiënt- en medewerkersportaal zijn twaalf jaar lang uitvoerig ontwikkeld, getest, gebruikt en geoptimaliseerd.
In 2017 is CNS Connect https://www.cnsconnect.nl/ ontstaan om verdere ontwikkeling van deze ICT toepassingen mogelijk te maken.
22-03-2023, 15:46 door
Erik van Straten
Aanvulling op mijn laatste reactie hierboven: het huidige https servercertificaat van de server genaamd mijnkeizerkliniek.nl (met IP-adres 84.241.179.155 [*]): zie je in https://crt.sh/?id=7215953076 (daarin kun je zien dat uitsluitend de domeinnaam als identifier van mijnkeizerkliniek.nl wordt vermeld, dus zonder alternatieve "offline" identificerende informatie.
[*] Er bestaat minstens nóg een server met die naam, waarvan de betreffende eigenaar (CloudFlare) vindt dat ie zo mag heten en er ook zelf een https servercertificaat voor heeft uitgegeven (best handig als je dat zelf mag doen, we zullen er maar op moeten vertrouwen dat daar alleen brave mensen werken die zelf niet in phishing trappen en geen certificaten uitgeven voor nepsites.
Maar dat eventuele vertrouwen is misplaatst, bijvoorbeeld uit https://en.wikipedia.org/wiki/Cloudflare#Crime (opmaak aangepast en verwijzingen verwijderd door mij):
[*] Er bestaat minstens nóg een server met die naam, waarvan de betreffende eigenaar (CloudFlare) vindt dat ie zo mag heten en er ook zelf een https servercertificaat voor heeft uitgegeven (best handig als je dat zelf mag doen, we zullen er maar op moeten vertrouwen dat daar alleen brave mensen werken die zelf niet in phishing trappen en geen certificaten uitgeven voor nepsites.
Maar dat eventuele vertrouwen is misplaatst, bijvoorbeeld uit https://en.wikipedia.org/wiki/Cloudflare#Crime (opmaak aangepast en verwijzingen verwijderd door mij):
Cloudflare has been cited in reports by The Spamhaus Project, an international spam tracking organization, for the high numbers of cybercriminal botnet operations hosted by Cloudflare.
An October 2015 report found that Cloudflare provisioned 40% of the SSL certificates used by typosquatting phishing sites, which use deceptive domain names resembling those of banks and payment processors to compromise Internet users' banking and other transactions.
In 2018, Cloudflare was identified by the European Union's Counterfeit and Piracy Watch List as a "notorious market" which engages in, facilitates, or benefits from counterfeiting and piracy.
The report noted that Cloudflare hides and anonymizes the operators of 40% of the world's pirate sites, and 62% of the 500 largest such sites, and "does not follow due diligence when opening accounts for websites to prevent illegal sites from using its services."
[...]
An October 2015 report found that Cloudflare provisioned 40% of the SSL certificates used by typosquatting phishing sites, which use deceptive domain names resembling those of banks and payment processors to compromise Internet users' banking and other transactions.
In 2018, Cloudflare was identified by the European Union's Counterfeit and Piracy Watch List as a "notorious market" which engages in, facilitates, or benefits from counterfeiting and piracy.
The report noted that Cloudflare hides and anonymizes the operators of 40% of the world's pirate sites, and 62% of the 500 largest such sites, and "does not follow due diligence when opening accounts for websites to prevent illegal sites from using its services."
[...]
Door Erik van Straten:
Kennelijk is een DV-cert tegenwoordig acceptabel voor DigiD!
Indien de browsende persoon was doorgestuurd naar een fake site (met bijvoorbeeld één van de eerder genoemde domeinnamen), die -ongetwijfeld- ook een DV-certificaat hebben, dan kan die persoon nergens aan zien dat die fake site niet de bedoelde site is.
Kennelijk is een DV-cert tegenwoordig acceptabel voor DigiD!
Indien de browsende persoon was doorgestuurd naar een fake site (met bijvoorbeeld één van de eerder genoemde domeinnamen), die -ongetwijfeld- ook een DV-certificaat hebben, dan kan die persoon nergens aan zien dat die fake site niet de bedoelde site is.
Nee, maar dan kan die op die fake site ook niet inloggen met DigiD he?
Althans niet met de echte DigiD. Misschien met Digi-D ja. Maar daarom wil DigiD tegenwoordig ook een second factor authenticatie hebben en niet alleen een wachtwoord. Of een app, die je al helemaal niet op deze manier om de tuin kunt leiden...[/quote]
Beste Eric,
Regelmatig kruisen hier onze degens (overigens voor mij heel plezierig).
Met het verhaal dat je nu (weer) brengt geef je aan dat de wegen-verkeerswet voor het internet nog niet helemaal af is (sarcasme staat aan).
Authenticatie is mijn vakgebied. Eigenlijk is digitaal vertrouwen mijn vakgebied, maar toch.
PKI is een bottom-up technologie. Die is inmiddels zo belangrijk geworden dat de technologie (eigenlijk het gebruik ervan) nu top-down moet worden benaderd. Dat gebeurt nu ook gedeeltelijk. Jij laat zien dat dit in onvoldoende mate gebeurt.
Ik zeg altijd: inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht.
|Ik bedoel hiermee dat de top-down benadering gefragmenteerd plaats vindt en dan ook nog zonder echte doorwrochte visie op hoe eea op aantoonbaar veilige manier moet gaan werken.
Onze bestuurders ontberen nmm die visie gerichte manier van werken. Als mens is dat hen niet kwalijk te nemen, als functionaris wel.
Maar/enne: de wegen-verkeerswet is ook niet in één jaar ontstaan. Die bestaat ook uit verschillende componenten
1. uit hoe wegen veilig kunnen zijn
2. hoe voertuigen veilig kunnen zijn
3. veilige gedragsregels.
Er is nog een heleboel werk
Regelmatig kruisen hier onze degens (overigens voor mij heel plezierig).
Met het verhaal dat je nu (weer) brengt geef je aan dat de wegen-verkeerswet voor het internet nog niet helemaal af is (sarcasme staat aan).
Authenticatie is mijn vakgebied. Eigenlijk is digitaal vertrouwen mijn vakgebied, maar toch.
PKI is een bottom-up technologie. Die is inmiddels zo belangrijk geworden dat de technologie (eigenlijk het gebruik ervan) nu top-down moet worden benaderd. Dat gebeurt nu ook gedeeltelijk. Jij laat zien dat dit in onvoldoende mate gebeurt.
Ik zeg altijd: inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht.
|Ik bedoel hiermee dat de top-down benadering gefragmenteerd plaats vindt en dan ook nog zonder echte doorwrochte visie op hoe eea op aantoonbaar veilige manier moet gaan werken.
Onze bestuurders ontberen nmm die visie gerichte manier van werken. Als mens is dat hen niet kwalijk te nemen, als functionaris wel.
Maar/enne: de wegen-verkeerswet is ook niet in één jaar ontstaan. Die bestaat ook uit verschillende componenten
1. uit hoe wegen veilig kunnen zijn
2. hoe voertuigen veilig kunnen zijn
3. veilige gedragsregels.
Er is nog een heleboel werk
Door spatieman: EU versie van de CCP zou je haast zeggen.
Door spatieman: EU versie van de CCP zou je haast zeggen.
Nee hoor!
In Rusland is het pas eng.
Kijk eens hier, Erik, ->http://cloudflaressl.com.domainsdata.org
Wat daar getolereerd wordt.
Past binnen het verdienmodel.
"Scary", is wat jij opmerkt en dat is het ook.
Schrikwekkend.
luntrus
Wat daar getolereerd wordt.
Past binnen het verdienmodel.
"Scary", is wat jij opmerkt en dat is het ook.
Schrikwekkend.
luntrus
Door Anoniem: Op papier kun je zonder internet leven in Nederland in de praktijk niet.
Toch even mijn zus bellen om haar te vragen of ze nog leeft. Die heeft nog nooit een computer of internet gehad. En aan degene die zullen reageren dat dit niet waar is jouw reactie op mijn post op dit forum gehost via het internet bewijst mijn punt.
Dat ik nu bewijs dat ik leef door op je te reageren bewijst niet dat mensen zonder internet niet leven. Dit bewijst je punt niet, jij bewijst dat je niet logisch kan nadenken.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
