Firefox vertrouwt certificaat DigiD niet meer

Mozilla heeft het ssl-certificaat van DigiD op een zwarte lijst gezet, waardoor inloggen bij een dienst met DigiD binnenkort een foutmelding oplevert. De softwaremaker reageert hiermee op de problemen bij ssl-autoriteit DigiNotar.

Niet alleen het root-certificaat van DigiNotar wordt door Mozilla niet meer vertrouwd, zoals al bekend was: alle certificaten die zijn uitgegeven door een autoriteit die met de tekenreeks 'DigiNotar' begint, worden op een zwarte lijst gezet. Daaronder valt ook het certificaat van DigiD.nl. Dat geeft een consultant van Mozilla aan in de bugtracker van de organisatie. Het draaien van een testbuild van Firefox bevestigt haar woorden: wie in de testbuild probeert in te loggen op DigiD.nl, krijgt een foutmelding. Inloggen kan desgewenst dan nog wel, maar dan garandeert Firefox de identiteit van DigiD.nl niet. DigiD wordt onder meer gebruikt door de Belastingdienst en DUO, voorheen de IB-Groep.

In de stabiele versie van Firefox zijn de certificaten van DigiNotar nog vertrouwd; Firefox-ontwikkelaar Mozilla gaf eerder al aan dat het met een update zou komen waarin de certificaten worden geblacklist. Als Mozilla blijft vasthouden aan het schrappen van alle DigiNotar-certificaten, kunnen Firefox-gebruikers dus niet meer vertrouwen op een veilige inlog op DigiD, evenals andere websites met een DigiNotar-certificaat. Hetzelfde geldt voor gebruikers van Firefox Mobile, Thunderbird en SeaMonkey.

Google en Microsoft hebben aangegeven het root-certificaat van DigiNotar te zullen blacklisten, maar of dit ook gevolgen heeft voor DigiD, is onbekend. Jochem Binst, woordvoerder van DigiNotar-eigenaar Vasco Security, claimde eerder dat de problemen bij DigiNotar geen problemen zouden hebben voor diensten van de overheid. Het Ministerie van Binnenlandse Zaken heeft aangegeven het 'volle vertrouwen' in DigiNotar te hebben.

De problemen bij DigiNotar kwamen maandagavond aan het licht, toen bleek dat het bedrijf uit Beverwijk een ongeldig ssl-certificaat voor Google.com had uitgegeven. Dat certificaat is mogelijk door de Iraanse overheid gebruikt om inwoners te bespioneren; onder meer verkeer van en naar Gmail, Google Voice en Google Docs kan zijn onderschept.

Firefox Diginotar

Reacties (225)

_Arthur
30 augustus 2011 12:02

Microsoft HEEFT het reeds geremoved;

Microsoft has been able to confirm that one digital certificate affects all subdomains of google.com and may be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web browser users including users of Internet Explorer. Microsoft is continuing to investigate how many more certificates have been fraudulently issued. As a precautionary measure, Microsoft has removed the DigiNotar root certificate from the Microsoft Certificate Trust List.

Email van Holland Duty TAM (nldtam@microsoft.com) Subject; Alert - Microsoft Security Advisory 2607712 Released

TJVB
@_Arthur • 30 augustus 2011 12:39

Het was al bekent dat zowel Mozilla, Microsoft als Google het root certificaat van DigiNotar zouden intrekken (zie: nieuws: Browsermakers geven nieuwe versies uit na DigiNotar-blunder )

Maar in het artikel staat:
Niet alleen het root-certificaat van DigiNotar wordt door Mozilla ingetrokken, zoals al bekend was: alle certificaten die zijn uitgegeven door een autoriteit die met de tekenreeks 'DigiNotar' begint, worden ongeldig verklaard.

Oftewel ze trekken nog meer in dan Microsoft en dat heeft ook veel meer gevolgen

Jasper Janssen
@TJVB • 30 augustus 2011 21:24

Het is inderdaad nogal jammer dat de andere browsermakers zo stom zijn om te hebben vergeten dat er nog andere certificaten in het spel zijn dan alleen hun eigen root, nl met name het subcertificaat van de overheid dat door hen wordt beheerd. Aangezien zij de certificaten getekend met dat certificaat (waaronder dus oa digid) op dezelfde manier beheren als hun eigen certificaten is een gecompromitteerde positie op de ene ook automatisch een gecompromitteerde positie op de andere. Eigenlijk zou de overheid dus zelf het diginotar subcert in moeten trekken, maar daar zijn ze blijkbaar te lamlendig voor.

Ex-KPN-er
30 augustus 2011 12:53

Goh.. wat hebben ze weer verstand van IT bij de overheid..

Heb net voor de gein Digid opgebeld, met de melding dat ik een certificaatfout heb..

De vriendelijke dame zegt dat ze daar wel veel meldingen van ontvangen vandaag, maar dat dat komt door een beveiligingsinstelling van mijn browser, en dat ik dat dan maar moet veranderen zodat het wel goed gaat.... Wellicht kan ik de site in de vertrouwde site's plaatsen, dat schijnt het op te lossen..

Daarna na een opmerking mijnerzijde dat er misschien toch iets meer aan de hand is, aangezien er o.a. op tweakers word gemeld dat er wel iets meer aan de hand is.. Gaat de dame naar tweakers.net en kan ze dat niet zien omdat die geblokt is (Hahaha; zeker de porno die op het forum staat of zo..:D )

wordt er even overlegd in de achtergrond, en is er een gemompelde melding dat er een persbericht uit gaat van digid en dat we daar maar even op moeten wachten..

Vraag ik of ze al vaker hebben geadviseerd om de certificaten te omzeilen vandaag, en dan wordt het even stil. Daarna de twijfelende-stem die meld: Dat kan toch geen kwaad???

Pffffff...

Moet je doen; gewoon even bellen met DigiD en horen hoe goed de overheid met de IT omgaat..

Manmanman wat een puinzooi is het toch daar bij die ambtenaren die de beslissingen nemen..

Austin
@Ex-KPN-er • 30 augustus 2011 13:01

Dacht je nou echt dat je gelijk een technisch persoon aan de lijn zou krijgen ?
Je kan het een non IT helpdesk medewerker moeilijk kwalijk nemen dat ze niets van dit gedoe met certificaten af weet.
Tuurlijk zou het netjes zijn geweest als deze dame netjes geinstureerd was of ze tijdelijk iemand anders met wat kennis er hadden neergezet of desnoods eerst een bandje met een boodschap erop dat DigiD tijdelijk niet werkt.

Maar om nu gelijk weer de omgang van de overheid met de IT te bekritiseren op deze manier vind ik wel heel erg overdreven.

Nieknikey
@Austin • 30 augustus 2011 13:10

Ze zit daar wel in een vertrouwenspositie. Mensen die naar DigiD bellen met een probleem met het certificaat gaan er vanuit dat ze zorgvuldig behandeld worden en ze vertrouwen hetgeen wat een helpdesk meldt.

En zoals we geleerd hebben in dit topic: vertrouwen komt te voet...

87Vortex87
@Ex-KPN-er • 30 augustus 2011 13:36

Ik heb ook even gebeld met Digid en ze zijn daar bezig met "verschillende onderzoeken", naar aanleiding van het nieuws. Natuurlijk weet de helpdeskmedewerker die ik sprak niet veel, maar ze kon me wel vertellen dat ik "even moest wachten met inloggen als ik er niet zeker van ben dat het veilig is"

Aan het geluid op de achtergrond was te horen dat het een aardige chaos is op dit moment daar en dat ze wel degelijk opmerken dat er iets aan de hand is.

Het advies dat ik kreeg was dus simpelweg: wachten met inloggen.

PolarWolf
@Ex-KPN-er • 30 augustus 2011 13:10

Goh, wat heeft een ex-KPN-er verstand van de overheids ICT. Oh wacht...diginotar is geen overheid maar slechts een toeleverancier. Net als die geweldige club die KPN heet, trouwens.

Persoonlijk vindt ik dat de overheid alles weer in eigen hand moet nemen voor wat betreft inhoudelijke zaken en de toeleveranciers alleen gebruiken voor wat randvoorwaardelijke meuk zoals een kabeltje hier en een verbindinkje daar. De prutsers die zich "marktpartij" of "value added" partner/reseller noemen kun je hoegenaamd helemaal niks mee.

timag
@Ex-KPN-er • 30 augustus 2011 13:16

Humor, zeker als dit wordt gepost door iemand met de nick Ex-KPN-er. Als KPN slachtoffer zou zijn van zoiets zou ik zeker van hun helpdesk het goede antwoord krijgen. Laat me niet lachen...

M.M
30 augustus 2011 12:34

... Het Ministerie van Binnenlandse Zaken heeft aangegeven het 'volle vertrouwen' in DigiNotar te hebben...

Typisch. Bij mij zou het eerste gevolg zijn het verliezen van het vertrouwen in Diginotar. Direct daarna gevolgd door het volledig buiten trappen en het op de zwarte lijst plaatsen van Diginotar. En als Vasco Security spatjes heeft, krijgt dat bedrijf hetzelfde recept.

Misschien kunnen Mozilla, Microsoft, Google en mensenrechten organisaties het ministerie overtuigen van de ernst van de fout van Diginotar, het belang van vertrouwen voor het certificaten-systeem en de ernst van de gevolgen van deze fout.

Nu klinkt het alsof het ministerie of hoge ambtenaren belang hebben bij het overeind houden van Diginotar / Vasco Security.

Evi
@M.M • 30 augustus 2011 12:43

Een klein probleempje doet zich hier voor dat ze Diginotar niet alleen zelf gebruiken maar ook verplicht hebben gesteld voor elk bedrijf in Nederland dat digitaal aangifte doet. Als bedrijf moet je dat via PKI doen en dus zelf een key hebben, deze mag alleen van het schreeuwend dure Diginotar af komen. Ze zijn een door de overheid gekozen monopolist in deze, dus ze maar even in de ban doen gata je nogal wat erg boze ondernemers opleveren.

NLxAROSA
@Evi • 30 augustus 2011 12:57

Dat is niet waar, binnen PKI Overheid kun je van verschillende partijen je certificaten afnemen. Op dit moment zijn er dat zo'n zeven stuks.

Zie ook: http://www.logius.nl/prod...sluiten/toegetreden-csps/

SuperDre

Overheid

@NLxAROSA • 30 augustus 2011 13:42

Nou, ik heb dus nog nooit gehoord dat je als bedrijf bij een andere leverancier dan Diginotar certificaten kunt krijgen die geschikt zijn voor communicatie met de Belastingdienst (via BAPI), en wij waren in het begin dat het verplicht werd gesteld (2006) 1 van de enige leveranciers op de markt die een standaardoplossing hadden waar ook veel softwarepakketten gebruik van maakte, en wij hadden veel contact met de Belastingdienst.

De overige leveranciers zijn waarschijnlijk mogelijk bij gebruik van de Overheids TransactiePoort (OTP).

Evi
@NLxAROSA • 30 augustus 2011 13:43

Misschien had ik de afkorting BAPI moeten laten vallen... Er zijn inderdaad een paar alternatieve routes voor bedrijven om met andere middelen aangiften te doen, de voornaamste via de belastingdienst software/site. Dit heeft voor enigsinds grotere bedrijven en vooral ook consulenten het nadeel dat er geen goede historie aan vast zit. Je kan slecht of niet terugzien wat je vorig jaar hebt gedaan en wat je wel kan zien is slecht georganiseerd of slechts in zeer beperkte mate te gebrukken voor nieuwe aangiften. Zover ik weet kun je voor aangiften via het BAPI/PKI systeem nog steeds geen andere certificaten dan die van diginotar gebruiken en tekst op onder andere http://www.elsevierfiscaa...estelde-vragen/programmas (elsevierfiscaal.nl) en belastingdienst.nl lijkt het daar mee eens.

De pagina waar je naar linkt spreekt bij de meeste providers trouwens van "Persoonsgebonden certificaten", dat lijkt me niet van toepassing op de situatie die ik schetste van bedrijfs aangisten.

[Reactie gewijzigd door Evi op 30 augustus 2011 14:00]

NLxAROSA
@Evi • 30 augustus 2011 14:16

De meesten bieden ook services certificaten. Die je overigens inderdaad niet voor BAPI kunt gebruiken.

Meende overigens dat BAPI uit werd gefaseerd?

Evi
@NLxAROSA • 30 augustus 2011 14:30

Per sector heb je inderdaad gelijk, waarschijnlijk met m'n kont zitten kijken.

Wat betreft BAPI is er al tijden sprake van een opvolger, vervanger, etc, maar ik zie het niet meteen gebeuren. O.a. Elsevier software heeft hier het volgende over te zeggen:

Bij nieuwe vormen van verzenden via Digipoort (voorheen OTP en de opvolger van Bapi verzending) is door de overheid gekozen voor PKI-overheid certificaten, die een hogere vorm van beveiliging waarborgen. Ze zijn dan ook een stuk duurder en vereisen face-to-face controle van de aanvragen.

De software leveranciers zien het niet meteen zitten lees ik hieruit en de bedrijven voelen er vast ook niet veel voor, vooral de (kleinere) consulenten die toch al moordende concurrentie moeten verduren en de extra kosten en tijd eigenlijk niet kunnen opbrengen.

Tuckson
30 augustus 2011 12:33

Als Mozilla blijft vasthouden aan het schrappen van alle DigiNotar-certificaten, kunnen Firefox-gebruikers dus niet meer vertrouwen op een veilige inlog op DigiD

Dit is natuurlijk kul. je kon er dus kennelijk al niet op vetrouwen, en mozilla zorgt alleen maar dta gebruikers zich daar bewust van worden. je moet niet de bal bij Mozilla gaan neerleggen alsof die meldingen nu hun "schuld" zijn. Als de CA onbetrouwbaar is, is de actie van Mozilla de enige juiste.

regmaster
30 augustus 2011 13:43

Wij kregen de volgende reactie van Diginotar:

Er zal vandaag een persbericht verspreid worden die de huidige situatie toelicht. Daarnaast zullen wij klanten op wie dit direct invloed heeft persoonlijk informeren.

Wat in ieder geval duidelijk is: Deze situatie heeft alleen gevolgen voor DigiNotar standaard SSL certificaten, uitgegeven uit de DigiNotar Root CA. Bezoekers van websites die DigiNotar SSL gebruiken kunnen een beveiligingswaarschuwing krijgen. Dit staat dus geheel los van PKIoverheid en de hieronder uitgegeven certificaten.

Volgens mij tracht Diginotar het gezicht te redden door het geheel te bagitaliseren.

Vinnienerd
@regmaster • 30 augustus 2011 17:19

DigiNotar is geen root CA! Ze zijn een intermediate CA. De Nederlandse Staat CA kan zelf maatregelen nemen door het intermediate CA van DigiNotar in te trekken.

edit: OEPS! Het lijkt erop dat in Firefox DigiNotar zowel als Root CA aanwezig is (CN: Diginotar Root CA) , als intermediate CA (CN: DigiNotar PKIoverheid CA Overheid en Bedrijven). Het eerste is dus het certificaat wat gehakt is, Digid valt hier niet onder.

[Reactie gewijzigd door Vinnienerd op 30 augustus 2011 17:28]

Swaptor
30 augustus 2011 13:59

Voor iedereen die handmatig nu al de DigiNotar-CA wil distrusten: https://support.mozilla.c...eleting-diginotar-ca-cert

Hiermee worden alle door DigiNotar uitgegeven certificaten niet meer vertrouwd, en doet daarmee iets vergelijkbaars als de uit te brengen update waar het artikel over rept. Met dien verstande dat digid.nl het nog wél doet.

[Reactie gewijzigd door Swaptor op 30 augustus 2011 14:02]

benver2006
30 augustus 2011 14:07

In de FF 6.0 Certificate Viewer voor www.digid.nl zie ik:

www.digid.nl certificate hierarchy
- Staat der Nederlanden Root CA
- Staat der Nederlanden Overheid CA
- DigiNotar PKIoverheid CA Overheid en Bedrijven
www.digid.nl

In de FF Certificate Manager zie ik:
- DigiNotar:
DigiNotar Root CA

en een stuk verderop:
- Staat der Nederlanden
...
Staat der Nederlanden Root CA

Corrigeer me als ik het mis heb, maar het verwijderen van "DigiNotar Root CA" uit de lijst van vertrouwde CA's zal GEEN gevolgen hebben voor digid.nl, omdat digid.nl onder het "Staat der Nederlanden Root CA" 'valt' en niet onder het binnenkort verwijderde "DigiNotar Root CA".

Als FF het gaat implementeren door elke in de code opgenomen CA die begint met de letterreeks "DigiNotar" niet meer te vertrouwen, dan vind ik dat op zijn zachts gezegd een vreemde manier om dit probleem aan te pakken.

IMHO de echte oplossing is verwijderen van de "DigiNotar Root CA" entry, en niet een of andere fuzzy if ca.startsWith("DigiNotar") ...

edit: italic tekst toegevoegd

edit2: berichten samengevoegd

edit3: het licht is bij mij gaan branden ;-) DigiNotar heeft alle certificaten uitgegeven die vallen onder "DigiNotar Root CA" en "DigiNotar PKIoverheid CA Overheid en Bedrijven" en alles wat daaronder valt is niet te vertrouwen, inclusief digid.nl.

Leeftijd komt met gebreken zullen we maar denken ;-)

[Reactie gewijzigd door benver2006 op 30 augustus 2011 14:16]

Vinnienerd
@benver2006 • 30 augustus 2011 17:29

Je spreekt jezelf nu tegen. PKIoverheid is nog wel safe, de root CA niet

Jasper Janssen
@benver2006 • 30 augustus 2011 21:43

De DigiNotar PKIblah cert werd idd op exact dezelfde manier beheerd, iig voor zo ver nu bekend is, en is dus net zo hard mogelijk gecompromitteerd als hun eigen spullen.

frickY
30 augustus 2011 18:08

Als Mozilla blijft vasthouden aan het schrappen van alle DigiNotar-certificaten, kunnen Firefox-gebruikers dus niet meer vertrouwen op een veilige inlog op DigiD

Dit is uiteraard de omgekeerde waarheid.

Niemand kan momenteel vertrouwen op een veilige inlog op DigiD. Je weet niet meer of je met de authentieke servers te maken hebt, of een man-in-the-middle met een nep certificaat.
Firefox waarschuwt je hier juist over doordat de CA niet meer trusted is. Dat is juist de hele bedoeling van die CA-certificaten; bepalen wat wel en niet betrouwbaar is. En DigiNotar is dat duidelijk niet.

Dat neemt niet weg dat de verbinding over HTTPS nog steeds versleuteld is. Je weet alleen niet meer met wie je praat; de officiële website, of een kwaadwillende.

[Reactie gewijzigd door frickY op 30 augustus 2011 18:08]

Anoniem: 368013
@frickY • 30 augustus 2011 20:43

Inderdaad, de tekst in dit nieuws suggereert wat anders

cappie
30 augustus 2011 11:53

Haha.. leuk om te zien hoe zo'n waardeloze SSL root een hele lawine van gedonderd kan veroorzaken.. tijd voor een nieuw systeem lijkt me

xilent_xage
@cappie • 30 augustus 2011 11:57

Het systeem werkt juist wel: Een SSL-autoriteit heeft ten onrechte een certificaat uitgegeven (of dat via een hack of misleiding of whatever is geweest doet er in dezen even niet toe), en deze SSL-autoriteit wordt daarvoor gestraft en buitengesloten.

Ik neem aan dat als alle plannen doorgaat de overheid heel snel moet switchen naar een andere autoriteit, dan zijn de problemen ook opgelost en gaat DigiNotar ter ziele.

Anoniem: 112442
@xilent_xage • 30 augustus 2011 12:15

Het werkt wel inderdaad. Maar aan de andere kant is het niet dynamisch genoeg. Je kunt niet een uniek certificaat ongeldig verklaren.

Het probleem is IMO ook dat er veel te veel "erkende" root CA's komen.
Je hebt betrouwbare partijen zoals Verisign e.d. maar ook "onbetrouwbare" partijen zoals Comodo en DigiNotar.

nieuws: Opnieuw Comodo-reseller gehackt
nieuws: Comodo geeft frauduleuze ssl-certificaten uit na hack

Het is IMO jammer is dat er geen centraal CA orgaan is. Momenteel beslissen Mozilla, Microsoft, Opera etc. zelf welke CA's ze vertrouwen.

Waarom richt date EU niet zelf een Root CA op alle overheidszaken, dan heb je dit probleem niet. Je hebt een centrale security organisatie die de certificaten uitgeeft en een wederverkopers.

[Reactie gewijzigd door Anoniem: 112442 op 30 augustus 2011 12:20]

Croga
@Anoniem: 112442 • 30 augustus 2011 12:25

- Het is juist een hele goede zaak dat er geen unieke certificaten ongeldig verklaard kunnen worden. Certificaten berusten volledig op vertrouwen. Als een CA een ongeldig certificaat uitgeeft dan heeft hij blijkbaar zijn zaakjes niet op orde en kun je dus die CA niet vertrouwen!

- Het is een hele goede zaak dat er geen centraal CA orgaan is. Dat zou een monopolie betekenen met direct daar aan verbonden verhoging van registratiekosten en dergelijken.

Het werkt volledig volgens het Amerikaanse systeem: Iedereen mag doen wat ie wil maar doe je dat fout dan ga je ook dusdanig hard onderuit dat je je boeltje kunt pakken. Simpel en doeltreffend. DigiNotar is door deze domme actie simpelweg zijn bestaansrecht kwijt en zal dus inderdaad op korte termijn opgeheven moeten worden.

kwakzalver
@Croga • 30 augustus 2011 14:14

Ik neem aan dat als alle plannen doorgaat de overheid heel snel moet switchen naar een andere autoriteit, dan zijn de problemen ook opgelost en gaat DigiNotar ter ziele.

Daar zit hem nu net het probleem. Heel veel bedrijven en consumenten hebben een gratis (of duurbetaalde) sleutel van Diginotar om te kunnen communiceren met de overheid.

De overheid zit nu door Diginotar in de knel.

Applicaties geprogrammeerd om met de belastingdienst te communiceren zullen waarschijnlijk de impact niet merken.

Web based applicaties hebben hier wel direct impact op. Zie jij alle consumenten en bedrijven nieuwe DigID's aanvragen?

Nieuwe autoriteit: Weer een kosten verslindende operatie.

Mensen informeren: Ook een kostenverslindende operatie, en zoals hierboven gezegd gewenning. Alhoewel gewenning relatief is omdat het steeds vaker voorkomt dat mensen gewoon doorklikken....

Al met al zal er nu gekozen moeten worden tussen 2 belabberde en geldvretende oplossingen....

Als 2de punt: Dit lijkt mij een eenzijdige 'Amerikaanse' aktie. DigiNotar wordt bijna onmiddelijk als ongeldig verklaart. Comodo is nog steeds trusted. Er wordt hier schijnbaar met 2 verschillende standaarden gemeten. Of juist met 1. De amerikaanse....

[Reactie gewijzigd door kwakzalver op 30 augustus 2011 15:02]

Belgar
@kwakzalver • 30 augustus 2011 16:02

Er is helemaal geen probleem met DIGID's e.d. Het betreft hier de authenticatie van de WEBSITE. Gewoon nieuwe sleutel eronder, webserver herstarten, gaan met de banaan. Website wordt weer erkend.

OK het is iets moeilijker, maar dit kan dus snel gedaan worden zonder echte impact of mensen te informeren

Seal64
@kwakzalver • 30 augustus 2011 17:46

Waarom moet ik een nieuwe DigID aanvragen? Mijn DigID heeft geen barst te maken met een SSL certificaat van de website - dat is iets tussen de site en Diginotar, daar heb ik verder weinig mee te maken, tenzij ik toevallig een keer op een DigID website in moet loggen. Je krijgt dan van Firefox, Chrome en IE een waarschuwing voor je neus dat ze niet kunnen verifiëren dat degene die de website draait, is wie hij zegt dat hij is. Jouw DigID staat daar los van.

RielN
@Croga • 30 augustus 2011 13:37

Een centraal orgaan op Europees niveau met als doelstelling veiligheid, duidelijkheid en voorkomen van dit soort issues, en niet geld verdienen, lijkt mij niet schadelijk.

Een CA is sowieso erg belangrijk en zou eigenlijk al geen private instelling hoeven zijn, omdat dan financiële belangen een rol spelen.

ronaldvr
@RielN • 30 augustus 2011 13:46

Ja Leuk! laten we het vooral aan overheden overlaten. Bijvoorbeeld de Iraanse overheid (waar dit hele geval om begonnen is) of de Chinese!

BasieP
@ronaldvr • 30 augustus 2011 15:01

Een systeem als dit is net als de meeste beveiligingssystemen gebaseerd op vertrouwen.

Er zijn mensen die hun overheid blind vertrouwen dit doen ze met bijvoorbeeld persoonsgegevens (digid, belastingdienst, duo etc.) als criminele gegevens (vingerafdrukken politiehistorie etc.)

Dit hebben we voor 1940 ook gedaan, en we hadden een prachtige administratie. We hebben deze toen zo netjes gemaakt dat de duitsers er erg handig gebruik van hebben kunnen maken, en nederland zodoende een van de hoogste percentages jodenexport had van alle europeese landen.

Vertrouwen is iets wat je moet verdienen, en hier zitten aardig wat aspecten aan.

Je vertrouwen stellen in private organisaties is ook niet veel waard. In dit geval is het certificaat ontdekt, maar voor hetzelfde geld had dit nog een maand of wat geduurd.
Als nu ook maar 1 persoon binnen Verisign een smak geld kan verdienen door even een certificaat uit te geven zal dit misschien gebeuren.

Zeg dan maar 'zwaai zwaai' met je vertrouwen. De ketting is zo sterk als de zwakste schakel, en mensen zijn nou eenmaal geen sterke schakel.

Samenvatting:
Het systeem is gebaseerd op menselijk handelen (het uitgeven van certificaten) mensen zijn chantabel, en zodoende de zwakste schakel.

Er is in mijn ogen geen verschil tussen overheid of privaat. In beide werken mensen.

AVee
@Anoniem: 112442 • 30 augustus 2011 12:32

Je kunt prima een enkel certificaat ongeldig verklaren. De CA kan het certificaat intrekken, en een browser kan ook prima op een specifiek certificaat controleren. Bij de foute Comodo certificaten is dat ook gebeurt, de hashes daarvan worden expliciet geweigerd in Firefox en Chrome.

In dit geval had dat ook kunnen gebeuren, maar niemand weet hoe dat certificaat aangemaakt is. Als het Iran gelukt is om ten onrechte een certificaat voor Google.com te krijgen is het bepaald niet onwaarschijnlijk dat ze meer certificaten aangemaakt hebben. Maar vanuit Diginotar komt geen enkele informatie op het moment, dus niemand die weet of er nog meer foute certificaten in omloop zijn en of het nog steeds mogelijk is om nieuwe certificaten aan te maken. Alleen dit ene certificaat blokkeren als ze in Iran zo een nieuwe aan kunnen maken gaat natuurlijk niets oplossen. Bij gebrek aan communicatie vanuit Diginotar blijkt er weinig anders over dan aannemen dat certificaten die door hen ondertekend zijn niet vertrouwd kunnen worden.

Enne, en EU root CA lijkt leuk, maar gaat niets oplossen. We hebben in Nederland een eigen 'Staat der Nederlanden CA', waarvoor de certificaten uitgegeven worden door, jawel, Diginotar. Het Digid certificaat is er daar een van. Wat maar weer bewijst dat dit soort dingen aan de overheid overlaten bepaald niet garandeert dat het allemaal goed gaat.

SunnieNL

@AVee • 30 augustus 2011 14:03

Dat laatste is dus het probleem wat nu is. De nederlandse staat vertrouwd Diginotar die dus naast overheids certificaten ook certificaten uitgeeft voor andere publieke partijen.

Een EU root of een daadwerkelijk losstaand Staat der Nederlanden CA zou dit wel oplossen. Dan moet je er wel voor zorgen dat die echter 100% los staat. De Staat der Nederlanden CA is te verweven met Diginotar, waardoor Mozilla en andere partijen dit niet los kan zien en dus alles gaat blokkeren, incl. alle overheids certificaten.

Had de Staat der Nederlanden CA een losse overheidsondersteunende dienst geweest, dan had DigID gewoon nog gewerkt zoals het zou moeten. Die dienst geeft dan alleen certficaten aan vertrouwde overheidsinstanties.

Xanaroth
@Anoniem: 112442 • 30 augustus 2011 12:26

Ze kunnen wel een uniek certificaat ongeldig verklaren.
Echter is dit net zoals liegen; er is bewezen dat DigiNotar certificaten niet te vertrouwen zijn, dus word het aangemerkt als onbetrouwbaar. Dat werpt dus een smet op de andere certificaten.

Zoals je ook op de foutmelding kan zien, word er niet gezegd dat het certificaat fout IS, maar fout KAN zijn - vanwege de reputatie die het bedrijf nu heeft.
Het kan best zijn dat een certificaat klopt, het kan alleen niet meer worden gegarandeerd omdat het bedrijf betrapt is op uitgeven van valse certificaten.

En met overheidsdiensten en veiligheid is het nou juist van belang dat iets vertrouwd is en gegarandeerd kan worden. 50/50 is niet goed genoeg.

Rob Coops

Beveiliging
Overheid

@Anoniem: 112442 • 30 augustus 2011 12:37

Waarom richt date EU niet zelf een Root CA op alle overheidszaken, dan heb je dit probleem niet. Je hebt een centrale security organisatie die de certificaten uitgeeft en een wederverkopers.

Dan heb je het probleem ook, je moet dan de EU vertrouwen om mensen niet af te luisteren. Iets dat je met geen enkele overheid kan doen. Op het moment dat een overheid dit soort dingen gaat besturen dan komt er pas gedonder van. Kijk naar het .XXX domein en hoe dat wel/niet/wel/niet/niet/wel/tocht weer niet tot stand is gekomen (Amerika) of de manier waarop .com domeinen keer op keer worden afgenomen (Amerika) en meer van dat soort zaken. Het vertrouwen van een overheid is simpel weg niet de oplossing.

Ik ben het met je eens dat er teveel CA's zijn die allemaal hun eigen Root certificaten uit mogen geven en dat de browser bouwers te veel van deze bedrijven vertrouwen.
Ik zou veel liever zien dat er maar een beperkt aantal bedrijven zijn die dit soort dingen uitgeven en dat ze zo als nu met DigiNotar gebeurt zo snel mogelijk gestraft worden door de browser bouwers door de Root CA niet meer te vertrouwen.
Te weinig CA's is ook een probleem omdat de overheid van het land waar het bedrijf vandaan komt dan te veel macht heeft over het reilen en zijlen binnen het bedrijf.

Een echte oplossing is er niet maar het lijkt me een hele erg goed idee om een CA alleen een certificaat uit te laten geven na dat het van de eigenaar van het domein toestemming heeft gekregen om dit te doen. Dat houd dus in dat als ik als eigenaar van mijndomein.nl verisign vraag om een SSL certificaat voor mijn domein ui te geven dat zij eerst zullen moeten vragen om toestemming te geven voor het uitgeven van het certificaat. Op die manier kan ik als iemand anders een certificaat voor mijn domein aan vraagt altijd ingrijpen voor het te laat is. Natuurlijk zijn ook hier weer manieren voor te verzinnen om er om heen te werken maar het maakt het wel net weer eens stapje moeilijker om dit een certificaat uit te geven voor een domein dat dit niet wil.

Eppo ©
@Rob Coops • 30 augustus 2011 13:17

Dan heb je het probleem ook, je moet dan de EU vertrouwen om mensen niet af te luisteren. Iets dat je met geen enkele overheid kan doen.

Maakt dat dan uit? Als de overheid een Root CA opzet voor enkel overheidszaken, dan ga je toch al communiceren met de overheid en dan hoeft diezeflde overheid je toch niet af te luisteren? Ze krijgen immers de informatie al van je...

Seal64
@Eppo © • 30 augustus 2011 17:49

Ik kan me vergissen, maar volgens mij is het hele punt van het opzetten van een Root CA nou juist dat het een onafhankelijke partij is. Jij wilt de overheid laten certificeren dat je echt met een site van de overheid te maken hebt - beetje pointless, volgens mij. Het is juist het idee dat dat door een derde partij wordt gedaan, en liefst nog een vierde en een vijfde ook.

Eppo ©
@Seal64 • 30 augustus 2011 18:25

Het certificeren is bedoeld om te controleren of je met de juiste site verbinding maakt en niet met een site verbinding maakt die zegt dat hij de juiste is. Het certificeren an sich geeft alleen maar aan dat je met de juiste site te maken hebt, nog niet of de partij die hem host/heeft gemaakt (in dit geval de overheid) te vertrouwen is...

Om die reden zie ik ook geen probleem in als de overheid hun sites zelf certificeert doormiddel van zelf een vertrouwde Root CA te worden. Zolang ik dan maar zeker weet dat ik als ik met DigiD ergens inlog ik met de overheid heb te maken en niet dat ik wordt omgeleid doormiddel van een virus/trojan/man-in-the-middle-attack...

PiepPiep
@Anoniem: 112442 • 30 augustus 2011 12:28

Als je in firefox naar options -> advanced -> view certificates gaat kan je ze per stuk distrusten of verwijderen.
Dus je kan prima zelf kiezen wie of wat je zelf wilt vertrouwen.

humbug
@xilent_xage • 30 augustus 2011 12:43

Het systeem werkt juist wel: Een SSL-autoriteit heeft ten onrechte een certificaat uitgegeven (of dat via een hack of misleiding of whatever is geweest doet er in dezen even niet toe), en deze SSL-autoriteit wordt daarvoor gestraft en buitengesloten.

Ik neem aan dat als alle plannen doorgaat de overheid heel snel moet switchen naar een andere autoriteit, dan zijn de problemen ook opgelost en gaat DigiNotar ter ziele.

Je gaat aan het feit voorbij dat dit bij andere partijen nooit gebeurd is. (En ja,ook verisign maakt dit soort fouten ) en dat digid in feite niet door DigiNotar is uitgegeven of beheerd wordt. "Toevallig" is de naam die de nederlandse staat gebruikt vrijwel hetzelfde maar Mozilla zou dit onderscheidt moeten maken. Dit soort vergaande ingrepen vereisen een vergaande vorm van nauwkeurigheid en de gevolgen van de actie overzien.

En helaas viert deze keer weer eens het opportunisme hoogtij. Dat deze actie het vertrouwen in veilige https verbindingen geen goed doet kan mozilla blijkbaar weinig intereseren. Het is dus hoog tijd voor een ander systeem. Een systeem waar browser ontwikkelaars niet de beslissers zijn over wie we moeten vertrouwen. Mozilla kan die verantwoordelijkheid overduidelijk niet aan.

[Reactie gewijzigd door humbug op 30 augustus 2011 12:47]

MSalters

Politiek en recht

@humbug • 30 augustus 2011 12:52

Je praat onzin. Mozilla blokkeert het Digid certificaat, omdat het ondertekend is met het DigiNotar certificaat. De naam heeft er 0,0 mee te maken.

Nee, de actie die het vertrouwen in https: ondermijnt is de ondertekening van een *.google.com certificaat door DigiNotar. Mozilla herstelt het vertrouwen in https: juist door incompetente partijen te schorsen (het is geen perma-ban)

sub0kelvin
@MSalters • 30 augustus 2011 13:44

Het DigiD.nl certificaat is niet ondertekend door "DigiNotar Root CA", maar door "DigiNotar PKIoverheid CA Overheid en Bedrijven". Door het intrekken van de eerste blijven in principe de tweede en diens kinderen overeind.

Echter stelt FF nu voor om alles waar het woordje "DigiNotar" in voorkomt te blokken, zelfs als deze niet ondertekend is door het eerstgenoemde certificaat. Dat heeft dus alles met de naam te maken, en is zelfs een perma-ban. Als DigiNotar in dat geval opnieuw wil beginnen zal een nieuwe naam moeten worden gebruikt.

ppl

Browsers
Beveiliging
Overheid

@sub0kelvin • 30 augustus 2011 15:12

Nee zo doet Mozilla dat niet. De naam heeft er zoals gezegd echt niets mee te maken. Het gaat hierbij om de reputatie van de CA (=Diginotar) zelf. Zij blijven zich in stilzwijgen hullen en daarmee halen ze het bloed onder de nagels van o.a. webbrowser makers en security mensen vandaan. Het gevolg is dat zij nu roepen dat Diginotar als CA totaal niet meer te vertrouwen is omdat de o zo belangrijke openheid van zaken niet bij Diginotar aanwezig is. Dat heeft tot gevolg dat ALLE Diginotar root certificates worden geblokkeerd. Dat betekent heel concreet dat hun eigen Diginotar root CA de sjaak is (en je dus een mooie melding krijgt als je https://www.diginotar.nl bezoekt) maar ook het root certificaat die ze gebruiken voor de Nederlandse overheid ("DigiNotar PKIoverheid CA Overheid en Bedrijven"; o.a. gebruikt door DigiD). Het is natuurlijk van de zotte om bij het volledig kwijtraken van vertrouwen in een CA maar 1 root certificate van de CA te weren en de rest overeind te laten staan.

Het heeft dus niets met de naam te maken maar alles met de reputatie van de CA. Er had dus moeten staan "Toevallig is Diginotar ook de CA die voor de Nederlandse overheid het root certificaat in beheer heeft". Dat komt veel beter overeen met de werkelijkheid en laat ook beter zien wat het probleem is als je als CA zijnde zo'n enorme fout maakt. Alles wat onder je vleugels valt wordt er door getroffen.

Anoniem: 314471
@xilent_xage • 30 augustus 2011 12:38

+1 Als de internetgemeenschap zulke blunders tolereert kunnen we nergens meer op vertrouwen. We moeten voorbeelden stellen, andere CA's dwingen beveiliging hoog te houden.

Google en Microsoft hebben aangegeven het root-certificaat van DigiNotar te zullen intrekken, maar of dit ook gevolgen heeft voor DigiD, is onbekend.

Ik denk het niet want het root certificaat van Diginotar is niet hetzelfde als het root certificaat dat DigiD gebruikt, laastgenoemde gebruikt het root certificaat van "De staat der Nederlanden". Met een intemediair certificaat van Diginotar, de reden dat het in firefox niet meer werkt. Ook Chrome is al ge-update: https://diginotar.nl/ "Dit is waarschijnlijk niet de site die u zoekt!"

Even een ABN vertaling van de woordvoerderpraatjes.

Jochem Binst, woordvoerder van DigiNotar-eigenaar Vasco Security, claimde eerder dat de problemen bij DigiNotar geen problemen zouden hebben voor diensten van de overheid.

Meneer Binst zegt eigenlijk zijn bedrijf niet falliet te willen zien gaan en tevens niet te willen dat Vasco imago schade oploopt, het bedrijf achter de random readers en andere tokens; o.a. gebruikt door de Rabo bank. (hij heeft overigens dus wel gelijk)

Het Ministerie van Binnenlandse Zaken heeft aangegeven het 'volle vertrouwen' in DigiNotar te hebben.

Het Ministerie van Binnenlandse Zaken geeft nogmaals aan incompetent te zijn.

[Reactie gewijzigd door Anoniem: 314471 op 30 augustus 2011 12:39]

dcm360

@Anoniem: 314471 • 30 augustus 2011 14:25

Ook Chrome is al ge-update: https://diginotar.nl/ "Dit is waarschijnlijk niet de site die u zoekt!"

Dit zou ook nog kunnen komen omdat het certificaat niet geldig is voor het adres zonder www. ervoor. Zonder www krijg ik ook meldingen van een ongeldig certificaat, met niet...

deadinspace
@dcm360 • 30 augustus 2011 17:15

Dit zou ook nog kunnen komen omdat het certificaat niet geldig is voor het adres zonder www. ervoor. Zonder www krijg ik ook meldingen van een ongeldig certificaat, met niet...

Daar lijkt het wel op ja. Hoe incompetent ben je dan als CA als je de certificaten voor je eigen website al verneukt?

BasieP
@Anoniem: 314471 • 30 augustus 2011 15:06

Het Ministerie van Binnenlandse Zaken geeft nogmaals aan incompetent te zijn.

zwaar mee eens.
In een situatie als dit moet je niet proberen een bedrijf een hart onder de riem te steken. Dat is pure onzin.
Je moet je eigen haggie veilig stellen. Voor hetzelfde geld zijn ze gehackt, zo lek als een mandje, en zeg jij als overheid "we vertrouwen ze volledig"

Dat is echt een stomme actie!

[Reactie gewijzigd door BasieP op 30 augustus 2011 15:06]

xoniq
@xilent_xage • 30 augustus 2011 12:14

Echter duurt het weer een tijdje voor de overheid naar een andere autoriteit die SSL-certificaten verstrekt.
Hierdoor zullen een hoop Nederlanders raar opkijken als ze een foutmelding krijgen over een niet vertrouwd certificaat, waardoor een (groot?) aantal mensen die niet op de hoogte zijn van de oorzaak, vertrouwen verliesen in DigiD .. Wat dus weer gedonder geeft bij DigiD. Ik denk dat DigiNotar hier heel veel last mee krijgt.

FreezeXJ
@xoniq • 30 augustus 2011 12:59

Da's ook precies de bedoeling, als ik vanuit m'n zolderkamertje 'registrar' kan worden, is het systeem brak. Op deze manier stelt zo'n certificaat wat voor, en worden slechte bedrijven geweerd. Dat daar ook wat goede bedrijven de dupe van worden, omdat ze een verkeerde registrar kiezen, is jammer, maar er is weinig alternatief. Gewoon op zoek naar een betrouwbare tent, of anders dubbel betalen.

xoniq
@FreezeXJ • 30 augustus 2011 13:12

Maar daar rest de vraag, hoe weet je van te voren, welk bedrijf er betrouwbaar is.
Dat kan je nooit 100% zeker weten.
De overheid heeft niet voor niets geïnvesteerd in certificaten van dit bedrijf, de overheid vertrouwd(e) dit bedrijf, en dit bedrijf heeft een blunder begaan.
Kan bij elk bedrijf gebeuren.
Alleen is dit nogal erg groot.

swtimmer
@xoniq • 30 augustus 2011 14:14

Het is wel een blunder van gigantische proporties. Het is niet zomaar een random bedrijfs domeinnaam dat van een SSL voorzien is maar een van de grootste online bedrijven die bestaat. Dit had natuurlijk wel tot verbazing moeten leiden binnen het bedrijf als in dat het vreemd is.

karel-lodewijk
@xoniq • 30 augustus 2011 15:48

Je kan je identiteit laten verifiëren bij 2 verschillende root ca. Dan kan er 1 geschrapt worden zonder dat er een probleem optreed.

Ik ben ook van mening dat dit bewijst dat het systeem werkt. DigiNotar heeft gefaald in zijn primaire en enige taak, namelijk het controleren van de identiteit van een persoon of instelling die een certificaat aanvraagd. Als dit 1 keer is gebeurt dan is er twijfel over de kwaliteit van de controle. Als DigiNotar de enige root ca is die de indetiteit van DigiD kan bevestigen, dan is er twijfel bij de identiteit van DigiD.

Een oplossing is dan ook op korte tijd te regelen zonder dat de gebruiker hier iets van moet merken. DigiD moet gewoon zijn identiteit laten verifiëren door een root ca die nog wel vertrouwd word.

Ik vind het echter wel een vreemde uitspraak van het Ministerie van Binnenlandse Zaken dat ze het 'volle vertrouwen' in DigiNotar behouden. Ten eerste is dus net aan het licht gekomen dat dit niet helemaal terecht is. En ten tweede doet het weinig ter zake, je betaald een ca om je identiteit te verifiëren omdat je gebruikers, deze vertrouwen (onrechtstreeks via de browser bouwers) en dit is niet meer het geval. Door vast te houden aan DigiNotar gaan de problemen echt niet opglost geraken.

PuzzleSolver
@xilent_xage • 30 augustus 2011 12:23

Als Microsoft het root certificaat intrekt dan kunnen een aantal windows applicaties/services die connectie maken met een site die een SSL certificaat van deze firma gebruik maakt ook wel eens stoppen met werken.

Lijkt mij dus nu zaak om de certificaten zo snel mogelijk te vervangen bij de overheid e.a. instanties voordat dit een shitload aan problemen gaat opleveren.

Dit is inderdaad hoe het zou moeten werken. Als de private key van het rootcertificaat van DigiNotar is bemachtigd kan iedereen hiermee certifacten gegenereren worden voor elke willekeurige site. Dus zolang dit niet bekend is moeten ze het wel blokkeren anders is het hele systeem ontbetrouwbaar.

bitflusher
@PuzzleSolver • 30 augustus 2011 14:45

Als de private key van het rootcertificaat van DigiNotar is bemachtigd

WOW nu maak je schokkend nieuws! Als de private key van het rootcertificaat van Diginotar gelet is is dat van een heel andere orde dan een verkeerd uitgegeven certificaat.

Jasper Janssen
@bitflusher • 30 augustus 2011 19:14

Niemand weet er gebeurd is. Een maand geleden (!) Kwam DigiNotar erachter dat er iets fout gegaan is. Als het zo simpel was als een verkeerd uitgegeven cert dan hadden ze dat al 3 weken geleden uiterlijk ingetrokken.

Dus twee mogelijkheden: Of ze wisten van het probleem met de Iraanse overheid en google en hebben dat bewust laten voortduren (moreel verwerpelijk en zeer ongewenst), *of* hun root cert is gejat.

In beide gevallen is het intrekken van de trust voor hun root certs de goede actie, omdat certs uitgegeven door Diginotar geen garantie meer zijn voor de goede verbinding.

[Reactie gewijzigd door Jasper Janssen op 30 augustus 2011 19:15]

Aphax
@xilent_xage • 30 augustus 2011 12:46

Sorry maar ik ben het absoluut niet met je stelling dat het systeem wel werkt eens: het 'systeem' heeft vrij lang *niet* gewerkt - het bewuste certificaat werd in Iran namelijk daadwerkelijk gebruikt om verkeer te onderscheppen. Dit hele probleem is aan het licht gekomen nadat gebruikers het probleem aan hebben gekaart bij Google en het certificaat was kennelijk al 2 maanden geleden uitgegeven.

[Reactie gewijzigd door Aphax op 30 augustus 2011 12:50]

xilent_xage
@cappie • 30 augustus 2011 12:18

Enige nuancering op mijn bovenstaande reactie is hier toch wel op zn plaats. Laten we er voor het gemak even vanuitgaan dat inderdaad de Iraanse geheime dienst achter de aanvraag van het betwiste certificaat zit. Dan kan ik me goed voorstellen dat diginotar het certificaat via reguliere weg en na alle gebruikelijke checks heeft uitgegeven.

Zelfs bij een EV-certificaat is de controle beperkt: Je moet ingeschreven staan bij de KvK, briefpapier tonen, vermeld staan in een telefoongids en de telefoon (vast nummer) opnemen bij de telefonische check.

Ik kan me goed voorstellen dat *elke* geheime dienst met voldoende kennis en middelen door deze procedure heen moet kunnen fietsen.

Het zou dus kunnen dat Diginotar niet zoveel te verwijten valt in dezen. En dat het intrekken van het root-certificaat wel eens hele nadelige gevolgen kan gaan hebben. Procedures moeten dan zo worden aangescherpt dan zelfs geheime diensten niet meer door de controle heen kunnen glippen. Gevolg: Nog omslachtiger procedures en onbetaalbare certificaten.

jony
@xilent_xage • 30 augustus 2011 13:11

Als het om een minder bekend domein zou gaan kan ik je redenatie nog wel volgen, maar niet nu het gaat om het google.com domain.

[Reactie gewijzigd door jony op 30 augustus 2011 13:11]

Alex3
@xilent_xage • 30 augustus 2011 19:04

Als dat zo lukt, zouden ze op dezelfde manier aan andere certificaten kunnen komen, b.v. van Digid. Terecht dus dat Diginotar niet meer vertrouwd wordt.

Jasper Janssen
@xilent_xage • 30 augustus 2011 19:21

Sorry, maar iedere verificatiestap waar mensen naar kijken en nota bene *google.com* wordt doorgelaten is *of* human error van de bovenste plank *of*, en dat is veel waarschijnlijker, een corrupte medewerker. Ik ga er voor het gemak maar van uit dat het niet een corrupt bedrijf is, al kan dat ook nog.

Corrupte medewerker die certificaten heeft lopen uitgeven == geen enkel certificaat waarbij die medewerker mogelijk betrokken kan zijn is te vertrouwen. DigiNotar heeft zelf nog geen enkele maatregel genomen (Het intrekken en vervangen van ieder certificaat dat door deze medewerker is uitgegeven is wel het minste). En dus zijn *al* hun certificaten niet te vertrouwen. Ook niet die van de overheid.

A Noniem
@cappie • 30 augustus 2011 12:14

Geen enkel systeem werkt goed als mensen fouten blijven maken, dit was duidelijk een menselijke fout bij Diginotar en dat zal je niet oplossen met een ander systeem.

ShadowBumble
@cappie • 30 augustus 2011 11:55

Leuk om te zien dat zowel de belasting dienst als het DUO dit niet zag aankomen of al bezig zijn met een aanvraag voor certificaten bij een andere partij.

Zsub

@ShadowBumble • 30 augustus 2011 12:02

Prima. Zou het eerste voorbeeld zijn van iets dat misschien wel niet volstrekte ambtelijke incompetentie is.

E_E_F
@Zsub • 30 augustus 2011 12:49

Zo'n certificaat is de heilige graal voor de "Man in the middle"...

Stel je voor wat je allemaal kunt doen als je een geldig certificaat kunt misbruiken om een fishing site op te zetten.

Is certificaten stelen de volgende hype onder hackers? Hoe goed zijn die eigenlijk beveiligd tegen diefstal, die certificaten? Ongetwijfeld dat er hier en daar nog wel een kopietje rondzwerft op een onbeveiligde server.

[Reactie gewijzigd door E_E_F op 30 augustus 2011 12:55]

-=bas=-
@E_E_F • 30 augustus 2011 14:00

Juist daarom dienen alle certificaten van DigiNotar ingetrokken te worden.
Wie weet wat ze nog meer hebben lopen verkl*ten.
Eigenlijk zou de hele vergunning van DigiNotar ingetrokken moeten worden want dit is natuurlijk een doodzonde.

Jasper Janssen
@-=bas=- • 30 augustus 2011 19:11

Als je de trust van hun rootcertificaat intrekt, dat *is* hun vergunning intrekken. Voor zo ver er iets is dat vergelijkbaar met een vergunning is, dan is het dat je root certificate in de browsers staat. Jij kan morgen louche-certificaten.com opstarten, maar je root cert komt de browsers niet in en daarom zijn dingen die jij signt niet vertrouwd. Daarom is mensen zo ver krijgen alternatieve root certs te installeren ook zo'n beetje de heilige graal voor phishers.

Anoniem: 201824
@Zsub • 30 augustus 2011 13:05

Regelmatig worden overheden bijgestaan en geadviseerd door... jawel! Professionals!
Ik zeg niet dat dit door profs niet gezien of niet geroepen is, maar wel dat je je opmerking mag nuanceren. Je weet immers niet wie daar in persoon of als club verantwoordelijk voor was. (Ik werk overigens niet bij of voor een overheidsinstelling, nooit gedaan ook.)

Maar wie zag dit WEL aankomen? (Eerlijk?)

djc
@Anoniem: 201824 • 30 augustus 2011 13:31

Genoeg mensen. Om een voorbeeld te noemen, het security team van Firefox:

https://twitter.com/#!/jruderman/status/108305943418245121

Of de makers van convergence.io, een oplossing die het huidige CA-systeem onnodig maakt:

https://twitter.com/#!/moxie__/status/108249605262680064

CH4OS
@djc • 30 augustus 2011 16:13

Genoeg mensen. Om een voorbeeld te noemen, het security team van Firefox:

https://twitter.com/#!/jruderman/status/108305943418245121

Of de makers van convergence.io, een oplossing die het huidige CA-systeem onnodig maakt:

https://twitter.com/#!/moxie__/status/108249605262680064

Heb je zelf wel die tweets gelezen? Blijkbaar niet, want er wordt niet gesproken over wat hier het onderwerp is. De tweede tweet komt in de buurt, maar geeft verder ook weinig details. Dus had iemand het kunnen weten, aan de hand van die tweets? Nee, denk het niet. En daarbij: blind vertrouwen op Tweets...

Immers, aan het einde van de tweede tweet die je aanhaalt, staat nota bene

users are not vulnerable.

[Reactie gewijzigd door CH4OS op 30 augustus 2011 16:14]

djc
@CH4OS • 30 augustus 2011 16:45

Ik weet niet wat jij denkt dat het onderwerp is, ik had het over het zien aankomen van problemen met SSL CAs (maar dat is misschien niet helemaal on-topic voor deze subthread).

En wauw, je kan wel goed selectief quoten. De tweede tweet geeft aan dat *gebruikers van convergence.io* niet kwetsbaar zijn... alle andere gebruikers dus wel.

CH4OS
@djc • 30 augustus 2011 17:59

En wauw, je kan wel goed selectief quoten. De tweede tweet geeft aan dat *gebruikers van convergence.io* niet kwetsbaar zijn... alle andere gebruikers dus wel.

Dan gooit Power Twitter (Firefox addon) het een en ander door de war (of had de twitteraar beter moeten aanduiden wie hij bedoelde, zonder een http link.

), mijn excuses. Maar dan nog vind ik het erg discutabel dat je Twitteraars vertrouwd met dit soort dingen.

De tweets die jij aanhaalde, vertellen niets over deze authority omtrent SSL-certificaten. Hoe moeten mensen dan zien aankomen dat het déze host betreft? Dat was mijn punt meer.

[Reactie gewijzigd door CH4OS op 30 augustus 2011 18:02]

Schway
@ShadowBumble • 30 augustus 2011 13:17

BD en DUO maken gebruik van digid zoals een webshop gebuikmaakt van paypal of iDeal. Digid moet een nieuw certificaat aanvragen DUO and BD niet.
En je weet hoe de bureaucratie is

Kevinp
@ShadowBumble • 30 augustus 2011 14:12

Hoe kan je dit zien aankomen. Dit bedrijf is bij deze falliet. Immers zijn ze niet meer te vertrouwen.

Overigens is het intrekken van alles natuurlijk wel wat overdreven. Immers als je dit altijd doet zodra er één dubieus is uitgegeven. Of misschien wel terecht is uitgegeven, maar dubieus in de verkeerde handen is gevallen. Dan zijn al deze bedrijven binnenkort failliet.

i-chat

Internet

@Kevinp • 30 augustus 2011 16:12

ja en? - dat is ook direct DE reden dat je ~500 of meer per cert betaalt...

als het iets simpels was wat iedereen kan en mag, dan had je ook wel sect voor 1,95 euro gehad bij de AH.

burne
@i-chat • 30 augustus 2011 20:34

2000 euro, voor een overheid die zo'n cert koopt. En verplicht bij een van twee leveranciers. Diginotar en Getronics.

Mr_gadget
@ShadowBumble • 30 augustus 2011 18:39

Hoe kan je nog vertrouwen in digiNotar als ze ongeldige certificaten uitgeven, dit zou de overheid gewoon moeten afstraffen door naar een andere toko te gaan...

_JGC_
@ShadowBumble • 31 augustus 2011 12:36

Nee, op verzoek van onze overheid is er een uitzondering geprogrammeerd in de DigiNotar check:

http://hg.mozilla.org/mozilla-central/rev/fcca99426576#l1.44

Ik word alleen niet blij van de laatste reactie in het bugreport:
https://bugzilla.mozilla.org/show_bug.cgi?id=682927#c90

Volgens die reactie is DigiNotar op dit moment bezig om SSL certificaten van klanten opnieuw te signen met hun PKI Overheid certificaat. Dat certificaat zou alleen voor overheidsdoeleinden gebruikt mogen worden, op deze manier wordt onze overheid verbonden met zaken waar ze helemaal niks mee hebben te maken.

XanderDrake

30 augustus 2011 11:56

Bizar dat dit soort dingen letterlijk zitten ingebakken in de browser. Één geval van misbruik kan dus leiden tot dit soort ongein. Is er niet iets voor te zeggen dat dit losse bestanden/licenties moeten zijn die snel kunnen worden verwijderd of aangepast?

xilent_xage
@XanderDrake • 30 augustus 2011 12:06

Het ten onrechte afgegeven certificaat kan natuurlijk direct worden ingetrokken, neem aan dat dat allang is gebeurd. Maar omdat er van certificaten zoveel afhangt is dat niet voldoende: Het feit dat er ten onrechte een geldig certificaat is afgegeven geeft aan dat de uitgever van het certificaat, DigiNotar, OF zijn beveiliging niet op orde heeft OF heeft zitten slapen bij het controleren van de aanvraag van het certificaat. Daardoor zijn ALLE certificaten die DigiNotar heeft uitgegeven nu 'verdacht' verklaard door Mozilla.

Natuurlijk is dat vervelend voor andere partijen (zoals digID) die wel geheel legitiem zijn en nu ook met een ongeldig certificaat zitten opgescheept, maar dat is de prijs die je betaalt om het systeem veilog te houden. Bedenk dat certificaten niet alleen gebruikt worden bij het 'groene balkje' in je webbrowser, maar ook bij de beveiliging van applicaties, code, emails etc. Hier zijn soms miljoenen mee gemoeid.

Neverwinterx
@xilent_xage • 30 augustus 2011 12:47

Ik denk eerder dat hij bedoelt dat het vreemd is dat er een update voor geheel Firefox moet komen speciaal voor dit. Lijkt me dat die certificaten via een apart update systeem snel beheerd moeten kunnen worden.

FreezeXJ
@Neverwinterx • 30 augustus 2011 13:05

Zo vaak gebeurt het niet dat een hele registrar eruitgeschopt wordt. Natuurlijk kan het allemaal via een mini-update, maar er wordt toch al eens per maand/week/dag* een nieuwe versie uitgebracht, dus dan kan dit mooi mee.

*doorhalen wat niet meer van toepassing is

Jasper Janssen
@Neverwinterx • 30 augustus 2011 19:27

Root certs veranderen over het algemeen een keer in de paar jaar. Een apart updatemechanisme is volledig overbodig.

arjankoole

Beveiliging
Overheid

@XanderDrake • 30 augustus 2011 15:27

Is er niet iets voor te zeggen dat dit losse bestanden/licenties moeten zijn die snel kunnen worden verwijderd of aangepast?

Er is volgens mij een mechanisme binnen SSL/TLS wat expliciet voorziet in het intrekken van gecompromiteerde certificaten, alleen wordt dit systeem door niemand geimplementeerd. Hopelijk schud dit wat mensen wakker.

Jasper Janssen
@arjankoole • 30 augustus 2011 19:29

Jawel, dat mechanisme wordt prima geïmplementeerd. Het is alleen juist niet van toepassing op *root* certificaten. Roots (er zijn er een stuk of 6, 7, laatste keer dat ik in m'n browser keek) zijn juist de basis van alle vertrouwen.

Daarom is dit ook juist een Really Big Deal.

burne
@Jasper Janssen • 30 augustus 2011 20:43

176 stuks, in mijn browser, om precies te zijn.

1 2 3 4 5 Volgende

Op dit item kan niet meer gereageerd worden.

Firefox vertrouwt certificaat DigiD niet meer

Lees meer

IT-banen

Reacties (225)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden