Ot van Daalen

DigiD en overheidssites onveilig?

Digitale burgerrechten organisatie Bits of Freedom luidt de noodklok over de veiligheid van websites. Volgens Ot van Daalen zullen de komende dagen in een klap een hele hoop websites onveilig worden verklaard.

Vals certificaat
De oorzaak die van Daalen hiervoor noemt is een door het Nederlandse bedrijf Diginotar uitgebracht certificaat. In Iran is een vals certificaat voor google.com gebruikt. Dat certificaat is door Diginotar uitgegeven. En dat certificaat is mogelijk gebruikt door de Iraanse overheid om Gmail-gebruikers te bespioneren.”

Beveiligde verbindingen
“Als je een beveiligde verbinding opzet, dan ga je ervan uit dat de website inderdaad komt van Google,” schrijft van Daalen. “Ook wordt de verbinding tussen jou en Google versleuteld, zodat niemand de berichten kan lezen. En met een beveiligde verbinding wordt voorkomen dat iemand de gegevens onderweg kan wijzigen.”

Certificaat
“Google kan zo een beveiligde verbinding opzetten met een zgn. ‘certificaat’ – een soort zegel, dat alleen mag worden uitgegeven door bepaalde instanties,” legt van Daalen uit. “Om te voorkomen dat willekeurige partijen het certificaat van Google in handen krijgen, is afgesproken dat zo’n uitgever moet controleren of de aanvrager (Google Inc.) van een certificaat ook écht de eigenaar van de domeinnaam (google.com) is. Pas als een uitgever daar 100% zeker van is, kan hij een officieel certificaat voor die domeinnaam uitgeven.”

Ingebroken?
Volgens van Daalen is nu de vraag hoe dit kon gebeuren. “Er zijn twee opties: Diginotar heeft niet gecontroleerd of de aanvrager van het google.com domein ook Google was. Of er is ingebroken in de systemen van Diginotar, en de inbrekers konden naar wens nieuwe certificaten maken en uitgeven aan zichzelf.”

Nog vertrouwen?
“Dat is een groot probleem,” geeft van Daalen aan. “Niet alleen voor Iraanse Gmail gebruikers, maar ook voor andere internetgebruikers. Want Diginotar beheert ook de certificaten voor overheidssites, zoals Digid. Kunnen we die nu ook niet meer vertrouwen? Zijn onze gegevens met Digid onderschept? Het is belangrijk dat precies wordt uitgezocht wat hier is gebeurd.”

Internet Explorer, Firefox en Chrome hebben inmiddels nieuwe versies van hun browsers waarin de certificaten van Diginotar niet meer worden vertrouwd. Volgens van Daalen laat dit fiasco zien dat we beter moeten gaan nadenken over de beveiliging van websites op internet. “We vertrouwen honderden certificaat-uitgevers op internet om te zorgen dat ons verkeer beveiligd is. Maar de vraag is of ze dat vertrouwen wel waard zijn. Want inmiddels lijkt de website van Diginotar gehackt.”

Foto: Maarten Tromp

Dit artikel is 267 keer bekeken