DigiD en alle andere overheidssites niet meer veilig?
- 30 augustus 2011
De komende dagen zullen in een klap een hele hoop websites onveilig worden verklaard. Ondertussen zijn in Iran de levens van dissidenten in gevaar gebracht. Waardoor? Door een Nederlands bedrijf.
Als jij Google bezoekt, ga je er vanuit dat de informatie echt van Google komt. Maar hoe weet je dat nou zeker? Iemand die toegang heeft tot de verbinding tussen jou en Google kan je een andere website tonen, of de Google website doorgeven en precies bijhouden wat jij op die website doet.
Daarom is het ook mogelijk beveiligde verbindingen op te zetten met een website. Als je een beveiligde site bezoekt, zoals Gmail, dan kan je dat in de browser zien. Er staat ‘https’ in plaats van ‘http’ in de adresbalk, en de linkerkant van de balk heeft soms een andere kleur (blauw in dit geval):
Als je een beveiligde verbinding opzet, dan ga je ervan uit dat de website inderdaad komt van Google. Ook wordt de verbinding tussen jou en Google versleuteld, zodat niemand de berichten kan lezen. En met een beveiligde verbinding wordt voorkomen dat iemand de gegevens onderweg kan wijzigen.
Google kan zo een beveiligde verbinding opzetten met een zgn. ‘certificaat’ – een soort zegel, dat alleen mag worden uitgegeven door bepaalde instanties. Om te voorkomen dat willekeurige partijen het certificaat van Google in handen krijgen, is afgesproken dat zo’n uitgever moet controleren of de aanvrager (Google Inc.) van een certificaat ook écht de eigenaar van de domeinnaam (google.com) is. Pas als een uitgever daar 100% zeker van is, kan hij een officieel certificaat voor die domeinnaam uitgeven.
Het Nederlandse bedrijf DigiNotar is zo een uitgever. En wat blijkt: in Iran is een vals certificaat voor google.com gebruikt. Dat certificaat is door DigiNotar uitgegeven. En dat certificaat is mogelijk gebruikt door de Iraanse overheid om Gmail-gebruikers te bespioneren.
De vraag is: hoe kon dit gebeuren? Er zijn twee opties: DigiNotar heeft niet gecontroleerd of de aanvrager van het google.com domein ook Google was. Of er is ingebroken in de systemen van DigiNotar, en de inbrekers konden naar wens nieuwe certificaten maken en uitgeven aan zichzelf.
Dat is een groot probleem. Niet alleen voor Iraanse Gmail gebruikers, maar ook voor jou. Want DigiNotar beheert ook de certificaten voor overheidssites, zoals DigiD. Kunnen we die nu ook niet meer vertrouwen? Zijn onze gegevens met DigiD onderschept? Het is belangrijk dat precies wordt uitgezocht wat hier is gebeurd.
Internet Explorer en Firefox en Chrome werken ondertussen direct aan nieuwe versies van hun browsers, zodat certificaten van DigiNotar niet meer worden vertrouwd. Wat betekent dat? Dat je een foutmelding krijgt als je websites met een DigiNotar certificaat bezoekt (en, afhankelijk van hoe streng de browser is, kan dat bijvoorbeeld ook de website van DigiD zijn):
Dit fiasco laat zien dat we beter moeten gaan nadenken over de beveiliging van websites op internet. We vertrouwen honderden certificaat-uitgevers op internet om te zorgen dat ons verkeer beveiligd is. Maar de vraag is of ze dat vertrouwen wel waard zijn. Want inmiddels lijkt de website van DigiNotar gehackt: