Diginotar en de toekomst van het certificaatsysteem

Op 15 september organiseert het parlement een hoorzitting over de digitale inbraak bij DigiNotar. De eerste reactie van veel mensen is: de overheid had beter toezicht moeten houden op DigiNotar. Wij schreven een brief aan het parlement waarin we dat juist niet bepleiten: het huidige certificaatsysteem is namelijk inherent onveilig, en meer toezicht helpt daar niets aan.

Benieuwd naar dat certificaatsysteem en waarvoor het wordt gebruikt? Lees hier meer.

Wat is namelijk het probleem? We stellen ons vertrouwen in browserfabrikanten, zoals Internet Explorer en Firefox, die lijsten bijhouden van certificaatverstrekkers die volgens hen te vertrouwen zijn. En er staan ongeveer 650 vertrouwde certificaatverstrekkers op die browserlijst. Die mogen allemaal certificaten verstrekken voor alle websites in de hele wereld. Terwijl het goed kan dat daar ook certificaatverstrekkers tussen zitten die valse certificaten uitgeven – zoals het incident bij DigiNotar onderstreept.

Daarom schrijven wij in onze brief (PDF): meer toezicht op Nederlandse certificaatverstrekkers gaat dát probleem niet oplossen. Het hele certificaatsysteem moet op de schop, en dat is een internationaal proces dat al in gang is gezet maar nog een tijd duurt.

Wat kan de Nederlandse overheid ondertussen dan wel doen? Volgens ons is de Nederlandse overheid als geen ander in staat om uit te leggen wat de risico’s van een falend certificaatsysteem zijn. Dat heeft immers verstrekkende gevolgen voor de communicatie tussen burger en overheid, en voor de interne communicatie bij de overheid. De Nederlandse overheid kan op internationaal niveau bepleiten dat het certificaatsysteem zo snel mogelijk wordt herzien. Bovendien kan zij onafhankelijk wetenschappelijk onderzoek naar de herziening van het certificaatsysteem financieren.

Wat vinden jullie dat de Nederlandse overheid nog meer zou moeten doen? Laat het weten in de comments. Je kan de hoorzitting op donderdag 15 september live volgen, tussen 18.00 en 21.00 uur in de Troelstrazaal van de Tweede Kamer.


Ot van Daalen is directeur bij Bits of Freedom. Als jurist is hij gespecialiseerd in het informatierecht, in dat gebied was hij ook werkzaam in zijn vorige functie als advocaat. Die baan heeft hij opgezegd om de digitale burgerrechtenbeweging Bits of Freedom opnieuw op te richten.

Dit artikel verscheen vandaag ook op het blog van Bits of Freedom.

Andere artikelen die ze over Diginotar hebben geschreven:
https://www.bof.nl/2011/09/07/diginotar-breach-leads-to-grave-security-concerns/
https://www.bof.nl/2011/09/06/beveiliging-diginotar-ver-onder-de-maat/
https://www.bof.nl/2011/09/03/minister-donner-overheidssites-niet-meer-veilig/
https://www.bof.nl/2011/08/30/digid-en-alle-andere-overheidssites-niet-meer-veilig/