Het fiasco DigiNotar is een "goede les"

Geen virusscanners in gebruik, verouderde software en simpele wachtwoorden ook voor de vergrendeling van de centrale systemen. De hackers die bij DigiNotar binnendrongen hoefden niet echt hun best te doen. DigiNotar had de deuren wagenwijd openstaan. Die conclusie kunnen we trekken na het bekend worden van de eerste resultaten van het forensisch onderzoek naar de hack bij de certificatieautoriteit. De gevolgen lieten zich vooral in Iran gelden, maar ook Nederlandse organisaties kampen met de gevolgen.

Wat is er aan de hand?
Er is elektronisch ingebroken bij het bedrijf DigiNotar. Daar zijn frauduleuze (rogue) certificaten bij in omloop gekomen. Dit geldt voor websites die gebruik maken van DigiNotar, zoals o.a. DigiD. Wanneer certificaten niet betrouwbaar zijn dan is niet 100% uit te sluiten dat gebruikers een risico lopen om herleid te worden naar een malafide versie van een website.

DigiNotar geeft certificaten uit namens DigiNotar en de PKIOverheid. PKI betekent Private Key Infrastructure en is de technologie/infrastructuur om certificaten te kunnen uitgeven.

Wat is een certificaat?
Een certificaat is een computerbestand dat fungeert als een digitaal paspoort voor de eigenaar van dat bestand. Certificaten worden gebruikt voor het versleutelen van gegevens op het internet, daarnaast wordt een certificaat gebruikt om een SSL Webserver te identificeren.

Een certificaat werkt op basis van een vertrouwensrelatie, het certificaat is digitaal getekend door de uitgevende instantie, uw browser vertrouwt de uitgevende instantie, dus vertrouwt uw browser ook het server certificaat.

Wat betekent dit voor mij?
Een belangrijke toepassing voor certificaten is het identificeren van webservers. Als u naar mail.google.com gaat om uw mail te lezen, controleert uw browser de echtheid van het certificaat van deze webserver. Hierbij wordt getest op:

• Komt de gekozen URL inderdaad overeen met de naam van de server?
• Vertrouw ik de uitgever van het certificaat?
• Is het certificaat nog geldig?
• Is het certificaat niet terug getrokken?

Door de inbraak bij DigiNotar en de uitgifte van rogue certificaten kunt u naar een frauduleuze website omgeleid worden zonder dat u hiervan een foutmelding krijgt.

De overheid heeft het vertrouwen in DigiNotar opgezegd, browser leveranciers (Chrome, Safari, IE, Firefox) hebben aangegeven dat ze DigiNotar en/of de PKI overheid niet langer standaard vertrouwen in hun browser. De Nederlandse overheid heeft aangekondigd alle overheidsservers te voorzien van een nieuw certificaat. DiGiD is inmiddels al vervangen, andere zullen snel volgen.

U kunt een foutmelding krijgen als u naar een SSL Webserver navigeert, terwijl u normaal gesproken deze site zonder problemen kunt benaderen. Zolang deze website van DigiNotar en/of PKIoverheid gebruik maakt kunt u hier niets aan doen. Ons advies is om niet verder te gaan, uw gegevens die u naar deze website stuurt kunnen eenvoudig gecompromitteerd worden.

Als u certificaten gebruikt van DigiNotar of de PKIoverheid voor het versleutelen van data, kan men relatief eenvoudig een z.g. man in the middle attack uitvoeren, uw data is niet langer vertrouwd.

Ons advies
Update uw browser en/of operating system, in deze update wordt DigiNotar en de PKIOverheid van de trusted CA lijst verwijderd. Heeft u een Diginotar of een PKIoverheid certificaat op een server staan vervang deze dan zo snel mogelijk door een certificaat van een andere Certificate Authority CA.

Klik hier voor de laatste informatie.

En ten slotte: bij twijfel niet doorgaan. Liever een dag te laat met uw transactie dan al uw belangrijke gegevens op straat. Bij twijfel kunt u bij Internet Explorer op het slotje klikken (zie figuur) en zo uitlezen welke site u bezoek en door wie het certificaat uitgegeven is. In de onderstaande figuur is dit de website van de Rabobank en dit certificaat is uitgegeven door VeriSign.

 

Voor meer informatie over dit nieuwsitem of SSL-certificaten kunt u een mail sturen naar verkoop@ggb.nl of neem direct contact op met onze verkoopafdeling via 040 291 31 31.