The Future of Authenticating Websites (FAWN) – 2
Following the discussion at the Radboud University on the future of authenticating websites, I lead a similar discussion at TNO. This again lead to many remarks and suggestions, many of which were also raised in Nijmegen. But a few new observations were made as well.
Kwetsbaarheid certificaten is niet alleen Nederlands probleem.
Afgelopen week werd bekend dat twee maanden geleden een digitale inbraak heeft plaatsgevonden bij Diginotar, een Nederlandse Certification Authority (CA). De berichtgeving rondom dit incident wekt de suggestie dat de veiligheid van vooral Nederlandse websites in het geding is geweest. Dit is onterecht.
Het Diginotar incident: het certificeringsmodel van het Internet moet op de schop.
Deze week stond de (on)veiligheid van het Internet weer ter discussie.
Een Gmail gebruiker in Iran ontdekte dat er iets mis was met het veiligheidscertificaat van die dienst. Die was namelijk vals. Het bleek dat al twee maanden geleden, op 19 juli, een digitale inbraak heeft plaatsgevonden bij Diginotar, een Nederlandse certification authority (CA). Daarbij zijn verschillende valse certificaten uit naam van Diginotar aangemaakt, waaronder het in Iran gebruikte, valse, certificaat voor Gmail.
Als noodmaatregel zijn er onmiddelijk nieuwe versies van alle belangrijke browsers (Firefox, Chrome, Explorer) uitgebracht, die een groot deel van alle door Diginotar uitgegeven certificaten ongeldig maken. Maar als gevolg hiervan worden vooral Nederlandse gebruikers gedupeerd. Diginotar heeft namelijk veel certificaten voor Nederlandse websites uitgegeven, zoals bijvoorbeeld DigiD. Mensen die na de update van hun browser via DigiD willen inloggen op een website van de overheid, krijgen een melding dat de verbinding mogelijk onveilig is!
Wat is er precies aan de hand? Hoe erg is dat? Waar ligt het aan? En wat kunnen we er aan doen?
leave a comment