Teakers.net weet te melden dat er ook tussenliggende certificaten niet meer worden vertrouwd.
Wellicht dat Logius iets beter moet gaan kijken, dit heeft tot gevolg dat DigiD ook met problemen komt te zitten

http://tweakers.net/nieuws/76461/firefox-vertrouwt-certificaat-digid-niet-meer.html

Leuk dat er een andere procedure is voor de overheid. Maar ik betwijfel sterk of er hier een procedure gevolgd is. Er zijn grofweg twee mogelijkheden:
- het google.com cert is buiten de procedure om uitgegeven
- diginotar is gehackt en iemand heeft zelf een cert aangemaakt.

In beide gevallen is de conclusie dat alles van die club onbetrouwbaar is. Inclusief de certificaten van de overheid.

"Ondanks de SSL-blunder van DigiNotar, zijn PKIoverheid-certificaten nog steeds te vertrouwen, aldus de Nederlandse overheid."

DigiNotar is door verschillende partijen, waaronder Iraniers en Turken, gehacked, maar we moeten ervanuit gaan dat de certificaten nog altijd veilig zijn ?

"Volgens overheidsorganisatie Logius, onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, zijn er geen aanwijzingen dat er onjuiste PKIoverheid-certificaten onder het Staat der Nederlanden stamcertificaat zijn uitgegeven."

Mogelijk, maar hoe zit het met diefstal van juiste certificaten ?

"Dit verloopt namelijk via een compleet gescheiden proces, dat losstaat van de uitgifte van de normale certificaten van DigiNotar."

Houdt een compleet gescheiden proces ook een compleet gescheiden infrastructuur in ? Zoja, is deze infrastructuur voor de overheid "veiliger" dan de andere infrastructuur ? Of heeft deze soortgelijke beveiliging, en is deze ook aan het internet gekoppeld ?

"PKIoverheid kent een zeer strenge identiteitscontrole van de aanvrager van een SSL certificaat."

Lekker boeiend wanneer de systemen gehacked zijn, en mensen certificaten kunnen stelen of kunnen aanmaken. Een hacker volgt niet het reguliere proces.

"Daarnaast is het uitgeven van zogenaamde wildcardcertificaten (*.domein.com) binnen PKIoverheid verboden"

Zou een hacker zich daar iets van aantrekken ?

"Die blijven gewoon vertrouwd, aldus Logius."

Onzin, zoals reeds duidelijk is geworden (DigiD).

Logius heeft het nog niet helemaal begrepen. Hun aanvraag procedures kunnen strict zijn, maar dat is compleet irrelevant als iemand inbreekt en wellicht zelfs het stamcertificaat van diginotar zelf in handen heeft.

Diginotar kan de tent opdoeken wegens belachelijk hard falen in hun primaire taak (jaren oude defacements laten staan, wekt nogal de indruk dat ze al jaren NIETS doen aan beveiliging), en PKIoverheid op zoek naar een nieuwe TTP. Niet dat dat de kern van dit probleem oplost trouwens, maargoed.

Dit is vergelijkbaar met de inbraak bij een reseller van Comodo in het voorjaar. Eigenlijk zijn op dat moment alle CA's waar zij reseller voor zijn, verdacht. Tot exact bekend is wat de aanvallers hebben gedaan, zijn die ook niet te vertrouwen. Niet dat de CA's zelf gecompromiteerd zijn. Nee. Maar er is gewoon niet bekend van welke andere CA's er ook *.google.com certificaten zijn aangemaakt. Totdat bekend is dat dit niet het geval is, zijn die ook niet bruikbaar.

In dat opzicht zijn Mozilla, Microsoft, Google e.d. goed bezig om die andere CA's tijdelijk te blokkeren.

Peter

In reactie op een paar van bovenstaande calls...

"DigiNotar is door verschillende partijen, waaronder Iraniers en Turken, gehacked, maar we moeten ervanuit gaan dat de certificaten nog altijd veilig zijn ?"

Ja, zulke certificaten zijn veilig. Die certs worden ergens in een beveiligde locatie bewaard en gebruikt. Ik geloof best dat de daadwerkelijke private key als zodanig *veilig* is. Ondanks alle hacks en dergelijke.

Neemt niet weg dat *.digid.nl met hetzelfde gemak nog een keer had kunnen worden uitgegeven, net als ze dat bij *.google.com voor mekaar kregen. Maar als *.google.com op die manier is aangevraagd, had *elk* certificaat voor *elk* willekeurig domein om die reden door Diginotar uitgegeven kunnen worden lijkt mij...

Wat betreft of Digid en BZK zich geen zorgen hoeven maken.... Ook al zou PKI overheid certificaat van Diginotar dan een andere certificate chain zijn, waaronder de uitgifte veel strenger is, is het niet de vraag of *ik* dat, geloof, noch wat BZK geloofd, maar draait het er nu om of de major browsers als IE en Firefox andere Diginotar chains nog vertrouwen...
Ik vrees van niet.

Even ter verduidelijking. Certificaten zijn publiek, iedereen mag ze zien en gebruiken. Het certificaat bevat oa de publieke sleutel. De privesleutels die gekoppeld zijn aan de certificaten, zijn niet publiek. Het certificaat kan door iedereen gebruikt worden om berichten die getekend of versleuteld zijn met de privesleutel te controleren of te decrypten. Hiermee wordt de authenticiteit van het bericht aangetoond. Of in webtermen, je het de juiste website te pakken. Een instantie die certificaten uitgeeft, krijgt nooit de privesleutel van de aanvrager te zien. Dus ook niet de privesleutels van de overheid.

PKIOverheid heeft niets met Diginotar te maken.

Zijn twee verschiilende CA's

PKI overheid en Diginotar hebben zeker wel wat met elkaar te maken.

Maar de Certificaten worden door een verschillende CA uitgegeven en ook volgens een ander uitgifteproces.
Het *.google certificaat in het artikel is dus ook door een andere CA binnen diginotar uitgegeven.

Dus ja, de Certificaten door de PKI overheid uitgegeven, zijn te vertrouwen.
Maar als de browsers Diginotar in zijn geheel als vertrouwde partij uitsluiten heb je daar weinig aan.

PKIoverheid is een eigen, door alle major browsers vertrouwde, root-CA. De naam van deze root-CA is Staat der Nederlanden Root CA. Onder deze root-CA hangen atm 6 intermediate CA's (Certificate Service Providers), waarvan DigiNotar er één is. as.digid.nl was uitgegeven door DigiNotar PKIOverheid, dus als intermediate van PKIOverheid root-CA. Andere intermediates zijn o.a. Getronics, Digidentity en het Ministerie van Defensie. Deze keten is nog steeds vertrouwd.

DigiNotar heeft ook een eigen root-CA, DigiNotar Root CA. Deze is gecompromitteerd en wordt niet meer vertrouwd door de grote browsers, in ieder geval niet in hun nieuwe releases. Alle certificaten die zijn uitgegeven onder deze root-CA worden als gevolg daarvan ook niet meer vertrouwd.

DigiD en andere overheidscertificaten worden uitgegeven onder PKIOverheid en bijgevolg worden deze nog wel vertrouwd. Alleen Firefox had in al haar enthousiasme een niet op de realiteit gebaseerde beslissing genomen om alle certificaten waarin de naam DigiNotar ergens in de chain-of-trust voorkwam (dus ook DigiNotar PKIOverheid) niet meer te vertrouwen. Dit besluit hebben ze inmiddels teruggedraaid en ze vertrouwen de chain-of-trust van PKIOverheid gewoon weer.

Er zijn een aantal CSP's die namens PKIOverheid certificaten uitgeven, waaronder Diginotar. Deze valt onder een hele andere certificate tree, maar Diginotar is zeker betrokken bij PKIOverheid.

Bron: http://www.logius.nl/producten/toegang/pkioverheid/aansluiten/toegetreden-csps/