In [url]https://isc.sans.edu/diary/More+Diginotar+news/11599[/url] schreef ik, in een reactie, dat onze overheid [b]ten onrechte[/b] denkt dat de DigiNotar problemen zijn opgelost.

In [url]http://www.rijksoverheid.nl/documenten-en-publicaties/persberichten/2011/09/16/ernstige-verstoringen-door-diginotar-inbraak-voorkomen.html[/url], met een verwijzing naar de brief die Donner en Opstelden naar de Tweede Kamer hebben gestuurd, staat namelijk: [quote][i]Door Rijksoverheid: [/i][b]Persbericht | 16-09-2011

De digitale inbraak bij DigiNotar heeft de kwetsbaarheid van betrouwbare digitale informatievoorziening duidelijk gemaakt. Door een essentieel onderdeel (het verstrekken en toetsen van de betrouwbaarheid van digitale certificaten), te corrumperen, konden in potentie ernstige verstoringen optreden. Dankzij de coöperatieve medewerking van vele organisaties in zowel het publieke als private domein, zijn ernstige verstoringen voorkomen.[/b][/quote] Mijn bron: [url]http://tweakers.net/nieuws/76834/ministers-geen-ernstige-gevolgen-intrekken-diginotar-certificaten.html[/url].

Maar de overheid is mogelijk nog helemaal niet van de problemen af!

1. Update 2616676 van afgelopen dinsdag (2011-09-13) was [i]ernstig[/i] incompleet voor XP en Windows Server 2003, en die systemen worden nog veel gebruikt door overheden. In die update (zie de sectie "Bekende problemen" in [url]http://support.microsoft.com/kb/2616676/nl[/url]) ontbreken de [i]belangrijkste[/i] te blacklisten DigiNotar root certificaten, namelijk de nummers (7) t/m (11) uitgebreid beschreven in [url]http://www.security.nl/artikel/38496/[/url].

2. Daarnaast is er sprake van 3 root certificaten die Microsoft nog [i]geheel niet[/i] geblacklist heeft, d.w.z. voor [i]geen enkel[/i] besturingssysteem! Daarvan is er 1 expired, maar de andere twee zouden wel eens wijd verbreid kunnen zijn op aan de overheid gerelateerde computers. En het probleem daarbij is, is dat die root certificaten 100% vervangers zijn van het "DigiNotar Root CA" (als eerste genoemd in [url]http://www.diginotar.nl/Klantenservice/Rootcertificaten/tabid/308/Default.aspx[/url]). Dus ook als het "DigiNotar Root CA" in jouw systeem geblacklist is, maar toevallig ook certificaat (12) en/of (13) genoemd in [url]http://www.security.nl/artikel/38496/[/url] in de Windows "Vertrouwde basiscertificeringsinstanties" certificate database zitten, krijg je [i]geen[/i] certificaat foutmelding als je met MSIE naar [url]https://auth.pass.nl/[/url] surft!

3. Diverse instanties, waaronder de VNG, hebben opgeroepen de updates van afgelopen dinsdag uit te stellen. Het is maar de vraag of en in hoeverre beheerders de DigiNotar-certificate blacklisting updates hebben geínstallerd, c.q. überhaupt durven/ooit zullen installeren!

Kortom, [i]of[/i] vervolgupdates van Microsoft tot problemen zullen leiden, weet ik niet. Maar ervan uitgaan dat alle problemen zijn opgelost lijkt me voorbarig.

Update (2011-09-18 13:00): Onder punt 1. een URL naar KB2616676 van Microsoft toegevoegd.