'Veiligheid overheidswebsites niet in het geding'

Certificaten
Een sleutelrol spelen de beveiligingscertificaten die door webbrowsers worden gecontroleerd. Een certificaat is een soort elektronisch ‘zegel’ dat garandeert dat een beveiligde verbinding met een bezochte site X daadwerkelijk een verbinding met X is en niet met partij Y die zich met minder goede bedoelingen voordoet als X. Certificaten worden uitgegeven door een beperkt aantal vertrouwde organisaties, waaronder het Nederlandse DigiNotar (dat in Amerikaanse handen is). Deze week bleek dat Iraanse hackers de hand hebben weten te leggen op Google-certificaten van DigiNotar, waarmee zij GMail-accounts (de webmail van Google) hebben kunnen inzien.

DigiD
Makers van internetbrowsers, zoals Microsoft (Internet Explorer) en Mozilla (Firefox) reageerden door in hun nieuwste versies de certificaten van Diginotar te blokkeren. Dat leek tot een probleem te leiden, omdat DigiNotar ook certificaten uitgeeft waarmee sites van de Nederlandse overheid worden beveiligd. Aanvankelijke tests van onder andere Webwereld en Tweakers bevestigden dat die ook werden geblokkeerd, waardoor gebruikers van bijvoorbeeld DigiD niet konden inloggen en een beveiligingswaarschuwing kregen.

Blokkade
Als de regelmatig aangepaste browserversies eenmaal als reguliere updates verspreid worden zou dat tot onbereikbare overheidsdiensten hebben geleid. Dat lijkt nu mee te vallen. Uit discussies tussen ontwikkelaars rond het aanpassen van Firefox blijkt dat in de laatste aanpassingen de certificaten die voor de Nederlandse overheid worden uitgegeven (‘DigiNotar PKIoverheid CA Overheid en Bedrijven’) niet als ‘onbetrouwbaar’ zullen worden gezien, waardoor diensten als DigiD niet in de problemen zullen komen.

Veillig
Logius, beheerder van de technische voorzieningen voor de elektronische overheid, benadrukt in een bericht “geen enkele indicatie” te hebben dat er onjuiste PKIoverheid-certificaten onder het ‘Staat der Nederlanden stamcertificaat’ zijn uitgegeven aan onbevoegden (zoals met het Google-certificaat wel is gebeurd). “Dit verloopt namelijk via een compleet gescheiden proces, dat losstaat van de uitgifte van de normale certificaten van DigiNotar.” Logius benadrukt dat die certificaten daarom gewoon door browsers als ‘vertrouwd’ blijven worden aangemerkt.

Onderzoek
DigiNotar houdt zich (bij monde van moederbedrijf Vasco) enigszins op de vlakte over hoe dit heeft kunnen gebeuren. In juli blijken Iraanse hackers bij een digitale inbraak tientallen frauduleuze certificaten te hebben aangemaakt, die vervolgens door DigiNotar ongeldig zijn gemaakt. Daarbij is er één over het hoofd gezien - het gewraakte Google-certificaat - en het bedrijf onderzoekt nu (met behulp van het beveiligingsbedrijf Fox IT) hoe dat heeft kunnen gebeuren. Tegenover Webwereld zegt het bedrijf niet te kunnen garanderen dat er naast dat Google-certificaat niet andere valse certificaten in omloop zijn gekomen.