Veel vragen rondom Diginotar

De problemen rondom de valse certificaten van DigiNotar roepen veel vragen op. Bedrijven en community’s nemen ook zelf hun maatregelen, zoals opensource browser Firefox die een patch beschikbaar stelde.

Webwereld meldde vanochtend dat DigiNotar en moederconcern Vasco “niet garanderen” dat er geen andere valse certificaten meer in omloop zijn en dat het bedrijf lobbyt om de overheidstak uit de wind te houden. Verdere navraag door Webwereld leert dat de hack bij het Nederlandse beveiligingsbedrijf DigiNotar grootschaliger en geavanceerder is dan gedacht.

Op ISP Today roept het ook vragen op. Zoals de reacties op het artikel waarin Bits of Freedom stelt dat dit fiasco laat zien dat we beter moeten gaan nadenken over de beveiliging van websites op internet. Is DigiNotar als bedrijf nog te vertrouwen of is het betrokken certificaat de boosdoener? En is de ‘quickfix’ van de ontwikkelaars van Firefox een goed idee geweest? Wie bepaalt wat veilig is op het internet?

Arnoud Engelfriet van ICTRecht stelt dat er een fundamentele zwakte van het systeem wordt blootgelegd. “Het systeem is gestoeld op hiërarchisch vertrouwen. Het is een keten. We vertrouwen partij X omdat zijn hiërarchische voorganger dat zegt. En de hoogste partij vertrouwen we omdat we nu eenmaal ergens moeten beginnen. Voor de beveiliging zijn procedures geformaliseerd. Worden die netjes gevolgd, dan is er niets aan de hand. Mogen we nog wel zonder meer afgaan op zo’n hiërarchie van vertrouwen?”

Ferry Kemps, manager consultancy and projects bij Onsight Solutions, vindt dat de browserleveranciers correct handelen door de Diginotar RootCA niet meer als trusted op te nemen. “Hiermee wordt de eindgebruiker er alert op gemaakt dat er iets scheef kan zitten en dat hij zelf de verantwoording dient over te nemen, daar waar de browserleverancier het voorheen deed. De vraag is wat de Nederlandse overheid nu doet, de verantwoording bij de gebruikers neerleggen of hem zelf nemen door te handelen?”

Engelfriet geeft aan dat in het ergste geval het systeem als een plumpudding in elkaar kan vallen. “Gelukkig is Diginotar niet de hoogste appel in de boom, anders zou de schade niet te overzien zijn. Toch kan je de gemiddelde internetter niet opzadelen met dit vertrouwensprobleem. Dit had gewoon niet mogen gebeuren.”

Op Tweakers wordt inmiddels het standpunt van de overheid in twijfel getrokken. En Webwereld schetst zojuist ook het vertrouwensprobleem rondom Diginotar.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.