Browsers zeggen definitief vertrouwen in Diginotar op

Sites die gebruik maken van versleuteling door middel van een Diginotar-certificaat zullen na een volgende update een waarschuwing krijgen bij gebruik in Firefox. Andere browsermakers als Google volgen.

De grote browsermakers zeggen, zoals verwacht na de nachtelijke persconferentie van minister Donner, het vertrouwen op in alle beveiligingscertificaten van Diginotar. Alle sites die gebruik maken van die certificaten zullen een waarschuwing meekrijgen bij het bezoeken ervan.

Mozilla, het bedrijf achter de populaire webbrowser Firefox, doet definitief alle Diginotar-certificaten in de ban. Er komt zo snel mogelijk een update voor Firefox om de sites die ervan gebruik maken aan te merken als onveilig.

Het Beverwijkse bedrijf Diginotar bracht Mozilla zes weken lang niet op de hoogte van het feit dat de versleutelingscertificaten, waar Mozilla ook zelf gebruik van maakt, waren gehackt. Mozilla moest het horen van Google, en kreeg hierna van Diginotar geen informatie over het probleem. In een blog schrijft hoofd-engineer bij Mozilla Jonathan Nightingale daarom geen vertrouwen te hebben in de aanpak van de problemen bij Diginotar.

“Wij hebben er in de kwestie bij Diginotar geen vertrouwen in dat het probleem aangepakt is. Bovendien zijn wij hiervan niet op de hoogte gebracht en daarom diep bezorgd over onze mogelijkheden om gebruikers voor toekomstige inbreuken op de veiligheid te beschermen.” - Jonathan Nightingale, Mozilla

Ook Google, uitgever van browser Chrome, zou de code voor een update in Chrome al klaar hebben staan, zo schrijft Webwereld, waarna ook in die browser sites met Diginotar-certificaten als onveilig worden beschouwd. De verwachting is dat Internet Explorer, van Microsoft, zal volgen.

Een beveiligingswaarschuwing in Google's Chrome browser zal er ongeveer uitzien als dit wat oudere voorbeeld van een veiligheidsprobleem in de website van Kia. Een beveiligingswaarschuwing in Google's Chrome browser zal er ongeveer uitzien als dit wat oudere voorbeeld van een veiligheidsprobleem in de website van Kia.

Voor Diginotar betekent dit hoogstwaarschijnlijk de doodsteek. Nu de overheid en browsermakers het vertrouwen hebben opgezegd zijn de certificaten van het bedrijf uit Beverwijk praktisch waardeloos. Vannacht deed Vasco, de Amerikaanse eigenaar van Diginotar, nog wel een verklaring de deur uit waarin staat dat het bedrijf met de overheid gaat samenwerken om de problemen op te lossen, maar het ministerie van Binnenlandse Zaken neemt het operationele managment van het bedrijf per direct over.

Certificaten werden misbruikt door Iraanse overheid

Vorige week werd duidelijk dat een door Diginotar uitgegeven certificaat frauduleus bleek te zijn. De vervalste certificaten werden, zo meldde NU.nl, misbruikt door de Iraanse overheid om Gmail-verkeer vanuit Iran af te tappen. Het bedrijf bleek gehackt, maar hoe en door wie is nog niet duidelijk. Daarmee is ook onduidelijk welke certificaten van Diginotar op dit moment nog te vertrouwen zijn.

Vanwege de hack zegt de overheid het vertrouwen op in de zogenaamde PKI-overheidscertificaten (certificaten voor het versleutelen van gegevens op overheidswebsites) van Diginotar, die onder meer worden gebruikt om gegevens op sites als DigiD en die van de belastingdienst te versleutelen. De ‘normale’ certificaten werden afgelopen week al door verschillende browsers (waaronder Firefox van Mozilla en Chrome van Google) in de ban gedaan.

Internet Explorer, de browser van Microsoft, is nog niet overgegaan tot het blocken van Diginotar-certificaten. De verwachting is wel dat dit snel gebeurt. Dan zal een waarschuwing als bovenstaande verschijnen.Internet Explorer, de browser van Microsoft, is nog niet overgegaan tot het blocken van Diginotar-certificaten. De verwachting is wel dat dit snel gebeurt. Dan zal een waarschuwing als bovenstaande verschijnen.

Volgens Bits of Freedom, een organisatie die zich inzet voor privacy op internet, is het vanaf juli al niet zeker dat enkele overheidssites voor gebruikers betrouwbaar waren, zo schrijft de organisatie:

“Dit heeft verstrekkende gevolgen. Het betekent dat Nederlanders in ieder geval sinds juli – toen is ingebroken bij Diginotar – hebben gecommuniceerd met overheidssites waarvan niet zeker is of die wel betrouwbaar waren. Het is dus theoretisch mogelijk geweest dat iemand die toegang heeft tot jouw internetverkeer, bijvoorbeeld in een internetcafé, zich voordoet als de website van de Belastingdienst en jouw belastingaangifte aftapt.” - Bits of Freedom

IT-journalist Brenno de Winter noemt de situatie op de website van de NOS ‘bizar’:

“Dit is tegenwoordig kritieke infrastructuur. Het is ongelooflijk dat er geen noodplannen hebben klaargelegen. Maar het is een heel verstandige stap van de minister om het vertrouwen op te zeggen, al moet het een heel zure appel zijn geweest.” - Brenno de Winter bij de NOS

Wat betekent dit?

Volgens het ministerie van Binnenlandse Zaken is op dit moment niet voor de volle honderd procent te garanderen dat gebruikers van sites die versleuteld worden met Diginotar-certificaten geen risico lopen. Met valse certificaten kan een bezoeker naar een andere site worden herleid en kunnen bijvoorbeeld inloggegevens worden gestolen. Dit is vaak niet te zien aan een website zelf.

Bij een waarschuwing of het ontbreken van een slotje bij het adres van een beveiligde site adviseert het ministerie de site niet te gebruiken.

Doordat browsers de certificaten in de ban hebben gedaan komt nu bij sites die er gebruik van maken zo’n waarschuwing. De sites zullen, zo zei Donner gisternacht, wel blijven werken omdat het tijdelijk uit de lucht halen van sites als DigiD te grote gevolgen zou hebben. Op het moment werkt het ministerie aan het gefaseerd vervangen van Diginotar-certificaten door versleuteling van andere bedrijven.

Opvallend is dat op de website van Diginotar staat te lezen (onder de tweede vraag) dat een veiligheidswaarschuwing bij PKI-overheidscertificaten van Diginotar door gebruikers zelf ingeschat moet worden en genegeerd kan worden, door het certificaat toe te voegen aan te vertrouwen certificaten. Dit in tegenstelling tot het advies van het ministerie van Binnenlandse Zaken.

Lees hier een vraag-en-antwoord over de kwestie van het ministerie.

    • Peter van der Ploeg