05-09-2011

Frauduleuze beveiligingscertificaten

ECP is – zowel als voorzitter van het Platform Internetveiligheid, als programmabureau Digivaardig & Digibewust en als lid van de Cyber Security Board –  nauw betrokken bij het afstemmen en zo duidelijk mogelijk communiceren over de ontwikkelingen rond de frauduleus uitgegeven beveiligingscertificaten van Diginotar. Hieronder vindt u een korte update.

ECP wil bijdragen aan oplossingen voor de ontstane problemen. Het platform maakt zich ernstig zorgen over de negatieve impact van de ontwikkelingen op het vertrouwen van burgers en bedrijven in elektronische communicatie. Daarover gaat het platform in overleg met alle betrokken partijen om met gerichte acties komen.

 

Update

Minister Donner van Binnenlandse Zaken heeft zaterdag 3 september bekendgemaakt het vertrouwen in certificatiedienstverlener Diginotar op te zeggen. Aanleiding hiervoor zijn de resultaten van het onderzoek door Fox-IT op de systemen van Diginotar, nadat eerder bekend werd dat op deze systemen was ingebroken. Behalve certificaten voor private websites zijn mogelijk ook certificaten van overheidswebsites gecompromitteerd.

 

De certificaten voor websites van de rijksoverheid en de daaraan gelieerde diensten worden vervangen door certificaten van andere leveranciers. GOVCERT.NL raadt bedrijven die gebruikmaken van certificaten van Diginotar ook over te stappen op andere certificatiedienstverleners.

 

Andere certificatiedienstverleners zijn (zonder voorkeur):

Die migratie levert de komende dagen grote drukte op bij deze certificatiedienstverleners aangezien te verwachten valt dat ook veel private partijen alternatieven willen voor hun Diginotar-certificaten. Indien noodzakelijk prioriteert de overheid welke diensten eerder voor nieuwe certificaten in aanmerking komen. Dit geldt voor zowel vitale processen van de overheid als voor het bedrijfsleven.

 

Hoewel de Nederlandse overheid de PKI-Overheidscertificaten van Diginotar niet meer vertrouwt, trekt zij deze op dit moment niet in (er wordt niet ‘gerevoket’). Dit is om ervoor te zorgen dat systemen en processen die afhankelijk zijn van de certificaten niet onnodig worden geraakt. De volledig transitie voor deze machine-to-machine communicatie (waarbij communicatie zonder tussenkomst van mensen met andere computers plaatsvindt) naar nieuwe certificaten duurt bovendien langer vanwege nauwe afstemming tussen de beheerders van deze machines (zowel government-to-government als business-to- government). Via deze certificaten kon nog steeds gecommuniceerd worden met de overheid. 

 

Google, Mozilla en andere browsermakers hebben ook het vertrouwen in de certificaten van Diginotar opgezegd. Zij passen momenteel hun software aan. Burgers wordt aangeraden de updates van hun browser en besturingssysteem te installeren zodra deze beschikbaar zijn (automatische melding). Na deze update krijgen klanten/gebruikers een melding wanneer de veiligheid van een site niet kan worden gegarandeerd.

 

 

Via een richtlijn wordt duidelijkheid gegeven over hoe er bij de overheid om wordt gegaan met fatale termijnen: bijvoorbeeld deadlines voor inleveren van stukken voor rechtszaken, bij Belastingdienst en andere toezichthouders die bij overschrijding daarvan nadelige consequenties hebben. Het zou immers onredelijk zijn een gebruiker te straffen voor het niet veilig digitaal kunnen communiceren met de overheid vanwege deze kwestie.

 

Op de site van GOVCERT.NL (www.govcert.nl) staan alle feiten en achtergronden over de frauduleus uitgegeven beveiligingscertificaten op een rij (onder het kopje ‘nieuws en publicaties’. Nadere informatie is ook te vinden bij LogiusActuele informatie is te vinden op: http://www.rijksoverheid.nl/onderwerpen/digitale-overheid.

Inmiddels is de Kamer door minister Donner per brief geïnformeerd.

 

Contactpersonen bij ECP zijn Arie van Bellen en Marjolijn Bonthuis. Te bereiken via 070 4190 309.