Digitaal certificaat: het krakend slot op de browser

Valse digitale certificaten brengen de Nederlandse overheid in het nauw. Wat begon als een Iraanse rel – een Gmail-gebruiker daar klaagde over een niet-werkend certificaat – heeft uiteindelijk effect op alle Nederlanders die willen inloggen op overheidsdiensten.Zeven vragen over het krakend slot op de browser. In een notedop: DigiNotar, een bedrijf uit Beverwijk dat beveiligde

Valse digitale certificaten brengen de Nederlandse overheid in het nauw. Wat begon als een Iraanse rel - een Gmail-gebruiker daar klaagde over een niet-werkend certificaat - heeft uiteindelijk effect op alle Nederlanders die willen inloggen op overheidsdiensten.Zeven vragen over het krakend slot op de browser.

In een notedop: DigiNotar, een bedrijf uit Beverwijk dat beveiligde certificaten voor websites uitgeeft, blijkt zelf niet te vertrouwen. Het verzuimde een elektronische inbraak te melden en bagatelliseerde de problemen die eerder door de browsers van Google en Mozilla geconstateerd waren. In de nacht van vrijdag op zaterdag besloot minister Donner om Nederlandse overheidssites die ook gebruik maken van de diensten van DigiNotar, op korte termijn te voorzien van nieuwe certificaten. Daardoor zijn bijvoorbeeld als DigiD en Belastingdienst enkele dagen niet goed bruikbaar: de overheid heeft geen reservecertificaat klaarliggen en kan tot die tijd niet instaan voor de digitale veiligheid van mensen die inloggen.

1. Wat is een digitaal certificaat?

Beveiligde webdiensten als Gmail, maar ook de genoemde overheidsdiensten, gebruiken digitale certificaten om de authenticiteit van bezoeker en website te garanderen en de verbinding vertrouwelijk te houden. Zodra beide partijen kunnen bewijzen wie ze zijn kan er een beveiligde verbinding opgezet worden via SSL, secure sockets layer. Deze verbinding is versleuteld met (als het goed is) deugdelijke encryptie zodat anderen niet kunnen meeluisteren. Een beveiligde verbinding is te herkennen aan het https-teken, linksboven in de adresbalk. Dat is letterlijk het slot op de browser. Als het werkt, tenminste.

2. Waar komen (frauduleuze) certificaten vandaan?

In dit geval wisten hackers bij een inbraak in juli toegang te krijgen tot de cryptografische software die certificaten produceert bij DigiNotar in Beverwijk. Zo produceerden ze op afstand nepcertificaten voor ruim 200 domeinnamen, waaronder google.com. Soms - niet in dit geval - worden bewust frauduleuze certificaten verkocht: er zit veel kaf onder het koren bij de circa 650 instanties die certificaten uitgeven. Diginotar is een kleine speler, maar is wel eigendom van een groot Amerikaans bedrijf, Vasco. Ook grote beveiligingsbedrijven zijn echter niet veilig: eerder dit jaar werd bijvoorbeeld RSA op spectaculaire wijze gehacked.

Michel van Eeten, cybercrime-expert en hoogleraar Organisatie en management: “Certificaatautoriteiten hebben vaak niet meer te verliezen dan hun reputatie. Er is een economische impuls om zoveel mogelijk certificaten verkopen maar er is niet altijd voldoende vooronderzoek of de klant wel echt is wie ie zegt te zijn.” De makke van het systeem van certificaatuitgiftes is dat elke ‘autoriteit’ voor elk webdomein een certificaat kan afgeven. Het systeem is zo sterk als de zwakste schakel en er gaan pleidooien op om de reikwijdte van de certifcaten te beperken. Zodat niet iedereen zich voor google.com kan uitgeven.

3) Wat is het risico van zo’n vervalsing?

Bron: Hackers NewsBron: Hackers News

Een nep-certificaat opent de mogelijkheid voor een zogeheten man-in-the-middle aanval: beide partijen denken elkaar te kunnen vertrouwen, maar een derde luistert mee of leidt het verkeer naar een andere website om creditcardgegevens en pincodes los te peuteren. Op dezelfde manier zoals dat bij phishing het geval is: je wordt in een mail verleid naar een website te gaan die niet van je bank is, maar van een cybercrimineel die een website nabouwt of ‘spooft’.

4. Waarom wil de Nederlandse overheid pas in tweede instantie af van DigiNotar?

De browsers Chrome en Mozilla zetten de DigiNotar-certificaten al eerder op de verboden lijst. Daardoor kwamen de certificaten van de PKIOverheid (Public Key Infrastructure) in het geding die mede door Diginotar worden uitgeven. Begin deze week leek het erop dat de veiligheid van die PKI-certificaten nog steeds gegarandeerd kon worden. Maar dat bleek vrijdagnacht uiteindelijk toch niet het geval: ook PKI certificaten zouden mogelijk vervalst kunnen zijn door de hackers. DigiNotar speelde geen open kaart en probeerde verontruste vragen te sussen met de mededeling dat de zaak onder controle was. Het bedrijf stelde zich weinig coöperatief op, daarom heeft de overheid inmiddels zelf de operationele zaken overgenomen. Het verzwijgen van de computerinbraak zou volgens Van Eeten voldoende aanleiding kunnen zijn voor een rechtszaak. In ieder geval is het aanleiding om opnieuw te pleiten voor een meldplicht van datalekken.

5. Is er acuut gevaar voor de digitale volksgezondheid?

Een lek is een lek en de frauduleuze certificaten zijn in dit geval zeker niet theoretisch maar al een paar keer ‘in het wild’ gesignaleerd. Toch lijkt het gevaar voor de digitale volksgezondheid gering. In een land als Iran heeft de overheid alle netwerken in handen en kan men zichzelf zo eenvoudig tussen Google en de bezoeker plaatsen. De bezoeker ziet het vertrouwde slot en denkt dat hij inlogt bij Gmail. In Nederland is de kans op zo’n inmenging van hogerhand te verwaarlozen. Maar er bestaat het risico op phishing. Zo zou je door een link in een email gelokt kunnen worden naar een nep-site van bijvoorbeeld de belastingdienst. Dat lijkt vanuit het oogpunt van een cybercrimineel weinig lucratief - die ‘phishen’ liever naar internetters die elektronisch bankieren. Banken zijn nu niet het slachtoffer, maar persoonlijke gegevens op de overheidssites kunnen echter wel in handen van onbevoegden zijn gevallen.

6. Wat kan ik er zelf aan doen?

De overheid houdt de sites in de lucht, maar adviseert te wachten met inloggen tot de certificaten vervangen zijn. Update in ieder geval de browser: die controleert de echtheid van elk certificaat. De zaak kwam immers ook aan het rollen omdat Mozilla en Chrome de Diginotar-certificaten blokkeerden. Ook andere browsers maken gebruik van de revocation list, een lijst waarop wordt bijgehouden welke sloten nog te vertrouwen zijn en welke niet.

7. Hoe lang gaat het ongemak duren?

Bij de publieke diensten duurt het enkele dagen voordat de nieuwe certificaten geïnstalleerd zijn. Het kost meer tijd (en geld) om ook de certificaten te vervangen bij de geautomatiseerde systemen bij bijvoorbeeld Belastingdienst en Douane. Daar gebruiken computers onderling ook PKI-certificaten voor hun communicatie. Bij beveiligingsexperts klinkt kritiek dat de Nederlandse overheid geen noodscenario heeft klaarliggen om snel over te kunnen schakelen naar een ander certificaat. Als de browser de verbinding niet tot stand willen of kunnen brengen, moet je je website immers snel aan kunnen passen. Voor zulke essentiële diensten als de belastingdienst of DigiD geldt dat je ook de beveiliging zelf moet beveiligen.