image

Wat heeft DigiNotar ons geleerd?

maandag 20 februari 2012, 09:33 door Redactie, 9 reacties

De Beverwijkse SSL-uitgever DigiNotar mag dan failliet zijn, wat heeft het debacle ons nu precies geleerd? Vorig jaar werd bekend dat een aanvaller bij DigiNotar had ingebroken om valse SSL-certificaten te genereren. Daarmee was het mogelijk om Iraanse internetgebruikers af te luisteren. Als gevolg greep de Nederlandse overheid bij het bedrijf in en werd DigiNotar uit alle browsers verbannen.

"De DigiNotar-affaire heeft ons weer eens met de neus op de feiten gedrukt. De veiligheid van het Internet is geen abstracte aangelegenheid
en inbreuken kunnen grote consequenties hebben", zegt professor Nico van Eijk. Van Eijk is verbonden aan het Instituut voor Informatierecht (IViR) aan de Universiteit van Amsterdam. Volgens hem moet er een verder studie naar de problemen met digitale certificaten plaatsvinden. "Overgaan tot de orde van de dag is geen optie meer."

Wetgeving
Van Eijk vindt dat er meer vanuit de risico’s en alle betrokken partijen moeten worden gedacht. "Kortom, het juridisch kader, dat zich nog vooral concentreert op enkele klassieke partijen in de waardeketen tussen aanbieders van informatie en de afnemers, dient beter deze waardeketen als geheel te reflecteren, dus met inachtneming van activiteiten zoals de verlening van certificaten en de rol van browsers."

Ook moet duidelijker worden wanneer de overheid bij een onderneming kan ingrijpen. Bij verschillende stappen in de DigiNotar-affaire ontbraken namelijk de juridische grondslagen. "Het overnemen van operationele processen en onderhandelen met marktpartijen in het kader van publiekrechtelijke belangen dient een wettelijke inkadering te hebben."

Verder stelt de professor dat er ten aanzien van de genomen maatregelen een meer transparante belangenafweging gewenst is en duidelijk moet zijn hoe overgangsmaatregelen zich tot de risico’s verhouden.

Reacties (9)
20-02-2012, 10:34 door WhizzMan
Ik hoor hier oost-europa deskundige Dr. Remco Clavan.
20-02-2012, 10:49 door Anoniem
Ik wil hiermee toch wel protesteren tegen het zgn begrip SSL uitgever.
Secure Socket Layers worden niet uitgegeven

Diginotar gaf CERTIFICATEN uit, met als doel dat men zich hiermee met een zekere 'betrouwbaarheid' kan identificeren.
Dat ze met "$"teken in de ogen vervolgens vergaten waar ze mee bezig waren......

Als men zo kort door de bocht dingen gaat verkrachten, weet op een gegeven alle zgn 'experts' niet meer waar ze het over hebben, laten we dat nou in ieder geval voorkomen.
20-02-2012, 11:17 door Anoniem
Staan die servers van Diginotar nog steeds aan eigenlijk?
20-02-2012, 13:50 door Anoniem
Nee, de aanvaller heeft ze netjes uitgezet.
20-02-2012, 17:53 door Anoniem
Natuurlijk staat dat nog aan, er zijn vast PDF's die gesigned zijn met een certificaat van Diginorat waarvoor nog OCSP checks gedaan worden: http://validation.diginotar.nl/
20-02-2012, 19:38 door Anoniem
Dr. Clavan haha. Even serieus, als iemand dit zegt "Kortom, het juridisch kader...", "onderhandelen met marktpartijen" en "wettelijke inkadering" is hij helemaal bij de tijd. Als de overheid zo weinig kan waarom is ze dan zo verdomde duur?

De overheid staat feitelijk op afstand van bijna alles dat een beetje technisch is (geen geld voor over). Hoe slecht zou de Stormvloedkering zijn geworden als dat vroeger ook zo was geweest? (denk aan : de goedkoopste aanbieder) Een stormpje en 6 pilaren zouden scheef gaan staan, de weg erover amper bruikbaar en een dood echtpaar met caravan die door de vangrail gingen.. Voor ik het vergeet, de Hedwichepolder staat, tot groot geluk van de Belgen, al onder water.
20-02-2012, 23:39 door LightFrame
Wat we hebben geleerd is dat bedrijven het liever stil houden als ze ontdekken dat ze gehacked zijn.
21-02-2012, 16:58 door Anoniem
Ik denk dat er goede feedback met de gremia moet zijn zodat het bestuurlijk verankerd en geborgd kan worden.
16-03-2012, 16:17 door Anoniem
Rapport PKI onderzoek is gepubliceerd.
http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2012/03/16/rapport-pki-onderzoek.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.