Overheid begrijpt certificaatprobleem niet
▼ Minister Donner ondernam in de nacht van vrijdag op zaterdag de zeer ongebruikelijke stap om na middernacht een persconferentie te houden. (Zie Overheid zegt vertrouwen in de certificaten van Diginotar op.) Het ging dan ook om een urgente kwestie: er zijn mogelijk frauduleuze certificaten op naam van overheidswebsites uitgegeven. Daarmee kan iemand zo'n overheidswebsite perfect nabouwen en mensen wachtwoorden en andere gevoelige informatie laten intypen.
Maar vreemd genoeg waarschuwt de overheid alleen om niet verder te gaan met een transactie als er een waarschuwing komt. En die komt lang niet altijd. Naar aanleiding van de problemen bij Diginotar hebben Microsoft (Internet Explorer), Mozilla (Firefox) en Google (Chrome) updates uitgebracht die de Diginotar en Staat der Nederlanden certificate authorities niet meer vertrouwen. Dat betekent dat alle certificaten die door Diginotar op eigen naam en die van de overheid uitgegeven zijn, inclusief de frauduleuze, niet meer vertrouwd worden. Mensen die die websites bezoeken krijgen dus een waarschuwing als ze, al dan niet automatisch, de update geïnstalleerd hebben.
Maar degenen die automatische updates onder Windows XP of voor Firefox uit hebben staan, een oudere browser gebruiken, of Safari van Apple gebruiken, vertrouwen de certifcaten nog steeds en zullen dus geen waarschuwing krijgen. Vreemd genoeg negeert de overheid deze groep, die dus wanneer frauduleuze certificaten ingezet zouden worden (en er moeten dan nog meer dingen aan de hand zijn, zoals het onderscheppen van domeinnamen) wachtwoorden en andere gevoelige gegevens afgetroggeld zou kunnen worden.
Wat de overheid had moeten doen was alle overheidswebsites die met het getroffen type certificaten beveiligd zijn tijdelijk afsluiten totdat nieuwe certificaten ingezet kunnen worden, en hopelijk ook Apple een update uitgebracht heeft. Ik beveel iedereen aan om de komende weken niet in te loggen op overheidswebsites, en als je het doet, dan alleen thuis of op het werk, dus niet mobiel of via een hotspot. Het feit dat je geen waarschuwing krijgt zegt helemaal niets.
Permalink - posted 2011-09-04
