Donner: enkele overheidssites niet meer te vertrouwen

De website van DigiD, een van de overheidssites die gebruik maakt van een certificaat van Diginotar. De certificaten van Diginotar kunnen volgens minister Donner niet meer vertrouwd worden en de minister laat ze vervangen.

Minister Donner heeft zojuist op een ongebruikelijke, nachtelijke persconferentie aangekondigd maatregelen te nemen om de betrouwbaarheid van overheidssites te herstellen. Die is op dit moment volgens Donner niet te garanderen, na een hack vermoedelijk uitIran.

Op het ministerie van Binnenlandse Zaken is de hele avond crisisoverleg gevoerd over de kwestie, die draait om de veiligheid van certificaten waarmee gegevens van de overheid, waaronder DigiD en de Belastingdienst, worden beveiligd.

Diginotar, het bedrijf dat die certificaten uitgeeft, werd onlangs vanuit Iran gehackt, waarna in de afgelopen week door browsers het vertrouwen in de ‘eigen merk’ certificaten van dat bedrijf is ingetrokken. Volgens Donner zal dit binnen enkele uren ook voor de certificaten gebeuren waar de Nederlandse overheid gebruik van maakt. Google en Mozilla kondigden al aan daar rekening mee te houden. Het gaat volgens Donner om enkele honderden sites, zowel van de overheid als van het bedrijfsleven.

De minister zegt nu zo snel mogelijk over te gaan op certificaten van andere aanbieders, in samenwerking met veiligheidsexperts en met medewerking van Diginotar. Donner zegt op deze manier gefaseerd over te gaan op nieuwe, zogenaamde PKI-certificaten.

De overheidssites die gebruik maken van de certificaten van Diginotar, als DigiD en sites van de Belastingdienst, blijven wel in de lucht, zei Donner, maar er kan een melding verschijnen dat de site mogelijk niet te vertrouwen is. In dat geval raadt Donner aan de site niet te gebruiken.

Op de website van DigiD is gisteren uitleg geplaatst:

“De reden waarom internetbrowsers het certificaat niet meer vertrouwen, is omdat de leverancier van het certificaat, DigiNotar, in opspraak is geraakt. Het type certificaten dat DigiD gebruikt, is niet getroffen. Echter, een aantal browsers heeft alle certificaten van DigiNotar als onbetrouwbaar aangemerkt, inclusief het type certificaten dat DigiD gebruikt.”

Ook het Nederlandse bedrijfsleven wordt getroffen door het veiligheidsprobleem. Donner zegt de maatregelen af te stemmen met VNO-NCW, de grootste werkgeversorganisatie van het land.

Vorige week bleek dat de Iraanse overheid het verkeer vanuit eigen land naar Gmail aftapte met een certificaat goedgekeurd door Diginotar. Dat bedrijf heeft de hack anderhalve maand verzwegen, waarmee mogelijk Iraanse dissidenten in gevaar zijn gebracht, zo schrijft Webwereld.nl.

Lees hier de verklaring van Vasco, eigenaar van Diginotar, over de aanpak van de Nederlandse regering.

Lees hier een factsheet van de Nederlandse overheid over de beveiligingsproblemen.

    • Peter van der Ploeg