image

Logius laat 3900 PKIoverheid-certificaten vervangen

vrijdag 29 maart 2019, 17:24 door Redactie, 14 reacties

De ict-afdeling van het ministerie van Binnenlandse Zaken, Logius, laat 3900 PKIoverheid-certificaten intrekken omdat ze niet meer aan de vastgestelde eisen voldoen. Het vervangingstraject zal naar verwachting 8 maanden in beslag nemen, zo heeft de overheidsdienst vandaag bekendgemaakt.

Overheidsdiensten gebruiken PKIoverheid-certificaten voor verschillende zaken, zoals versleutelde verbindingen voor websites, authenticatie op afstand, elektronische handtekeningen en versleuteling van elektronische berichten. Deze certificaten worden binnen het "Public Key Infrastructure" (PKIoverheid) stelsel op drie niveaus uitgegeven: een rootcertificaat, tussenliggende certificaten en eindgebruikerscertificaten. Eindgebruikerscertificaten zijn onderverdeeld in servercertificaten en persoonsgebonden certificaten.

Logius is verantwoordelijk voor de uitgifte van het rootcertificaat en de tussenliggende certificaten. Eindgebruikerscertificaten worden door publieke en private certificaatverstrekkers uitgegeven. Onlangs werd bekend dat certificaatautoriteiten een fout hebben gemaakt bij het genereren van certificaten. De standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. De certificaatautoriteiten hebben echter certificaten uitgegeven die effectief over een 63-bit serienummer beschikten. Dit kwam door een standaardinstelling van de gebruikte uitgiftesoftware EJBCA.

Na ontdekking van het probleem kondigde Logius aan dat mogelijk 14 tussenliggende certificaten en maximaal 22.000 daaronder vallende servercertificaten vervangen moesten worden. Vandaag meldt de overheidsdienst dat het om 11 tussenliggende en ongeveer 3900 onderliggende certificaten gaat. Er is gekozen om alleen de certificaten te vervangen die voor webverkeer worden gebruikt. Certificaten die niet voor webverkeer gebruikt worden, inclusief persoonsgebonden certificaten, laat Logius niet vervangen. Het gaat dan bijvoorbeeld om certificaten voor interne omgevingen of certificaten die gebruikt worden voor machine tot machine communicatie.

Reacties (14)
30-03-2019, 09:05 door Bitwiper - Bijgewerkt: 30-03-2019, 09:05
Niet vanwege een beveiligingsissue maar als gevolg van muggenzifterij. Geldverspilling, introduceert onnodige risico's (onder meer door weghalen van resources voor belangrijke zaken) en slecht voor het (al slechte) imago van de certificatenbranche.
30-03-2019, 09:49 door Anoniem
Door Bitwiper: Niet vanwege een beveiligingsissue maar als gevolg van muggenzifterij. Geldverspilling, introduceert onnodige risico's (onder meer door weghalen van resources voor belangrijke zaken) en slecht voor het (al slechte) imago van de certificatenbranche.
of omdat het niet de standaard voldoet?
30-03-2019, 10:19 door Anoniem
Door Anoniem: of omdat het niet de standaard voldoet?

Wat zou je denken als er een bericht kwam dat alle witte lijnen op de wegen vervangen worden omdat gebleken is
dat ze .000000000000000005 mm te smal zijn?

Dat is waar het hier over gaat.
30-03-2019, 11:01 door Bitwiper
Door Anoniem:
Door Bitwiper: Niet vanwege een beveiligingsissue maar als gevolg van muggenzifterij. Geldverspilling, introduceert onnodige risico's (onder meer door weghalen van resources voor belangrijke zaken) en slecht voor het (al slechte) imago van de certificatenbranche.
of omdat het niet de standaard voldoet?
Inderdaad, maar niet zodanig dat er een beveiligingsrisico bestaat. Muggenzifterij dus.
30-03-2019, 14:23 door Anoniem
Door Bitwiper:
Door Anoniem:
Door Bitwiper: Niet vanwege een beveiligingsissue maar als gevolg van muggenzifterij. Geldverspilling, introduceert onnodige risico's (onder meer door weghalen van resources voor belangrijke zaken) en slecht voor het (al slechte) imago van de certificatenbranche.
of omdat het niet de standaard voldoet?
Inderdaad, maar niet zodanig dat er een beveiligingsrisico bestaat. Muggenzifterij dus.

Is dat wel zo?

Stel een directeur van een financiële instelling heeft een fors maandsalaris waar hij meer dan riant van kan leven.
Maar door een fout van de administratie zou hij gedurende enkele jaren opeens nog maar een half salaris ontvangen.
Nu heeft de directeur momenteel ook met een half salaris nog steeds ruimschoots meer dan zat om goed van te leven.
Maar de administratie ontdekt de fout, en belt de directeur dat er een fout is gemaakt, en dat het meteen gecorrigeerd wordt.

Wat gaat de directeur antwoorden. Zou het volgende antwoord dan de meest gangbare optie zijn?

"Muggenzifterij! Je verdoet momenteel mijn en jouw tijd (=geld).
Want ook al krijg ik voorlopig maandelijks een half salaris, voor nu is dit nog altijd ruimschoots meer dan zat!
En mocht het zo zijn dat ik er niet genoeg aan zou hebben,
dan zou ik ook niet genoeg hebben gehad aan een heel salaris. Dus geen punt.
Wacht daarom gewoon een jaar of wat met corrigeren, totdat het weer tijd is voor mijn volgende salarisronde."
.
30-03-2019, 20:32 door Anoniem
Door Bitwiper: Niet vanwege een beveiligingsissue maar als gevolg van muggenzifterij. Geldverspilling, introduceert onnodige risico's (onder meer door weghalen van resources voor belangrijke zaken) en slecht voor het (al slechte) imago van de certificatenbranche.

Moet je nou in elk topic hierover blijven drammen met je technische oogkleppen op ?

In een hardhat area zet je die hardhat op. Ook als je nog een kilometer in de open lucht staat voordat je bij de plant bent.
Je mag meteen wieberen als je dat niet doet - en niet discuzeuren dat er pas een veiligheidsrisico is in de buurt van werklocaties.

Op een lege rechte vierbaanssnelweg moet je je nog steeds aan maximum snelheid houden.
Bij een stoplicht op een leeg kruispunt in de middle of nowhere moet je ook stoppen bij rood.
Natuurlijk kom je er soms mee weg - maar niet wanneer je betrapt wordt en dan ook nog een voorbeeldfiguur of prominent bent.

In het poltieke speelveld van het CAB forum is achteraf je reet afvegen met BRs omdat vervangen vanwege een bitje te weinig je slecht uitkomt geen optie.
Pech gehad voor jou en andere supernerds - er zijn meer dan alleen technische redenen die keuzes bepalen.
30-03-2019, 21:02 door Bitwiper
Door Anoniem: Stel een directeur van een financiële instelling heeft een fors maandsalaris waar hij meer dan riant van kan leven. Maar door een fout van de administratie zou hij gedurende enkele jaren opeens nog maar een half salaris ontvangen.
Iets met tangen en varkens?
31-03-2019, 15:28 door Anoniem
Door Bitwiper:
Door Anoniem: Stel een directeur van een financiële instelling heeft een fors maandsalaris waar hij meer dan riant van kan leven. Maar door een fout van de administratie zou hij gedurende enkele jaren opeens nog maar een half salaris ontvangen.
Iets met tangen en varkens?
Werkelijk?
Als ik trouwens officieel voor een certificaat met 64 bit serienummer entropie had betaald dan wil ik het ook hebben
ipv maar de helft oid van de security op dit ene punt te krijgen.
(als een spiksplinternieuwe auto een overduidelijk krasje in de lak heeft, neem ik daar geen genoegen mee)
31-03-2019, 21:28 door Bitwiper - Bijgewerkt: 31-03-2019, 21:34
Door Anoniem: Moet je nou in elk topic hierover blijven drammen met je technische oogkleppen op ?
Niet in elk topic, maar wel met als onderwerp certificaten met 63 i.p.v. 64 bit random serienummer. Prima als je het niet met mij eens bent, zielig dat je mij beticht van drammen en technische oogkleppen - zonder goede argumenten te noemen die mijn ongelijk zouden bewijzen. Want in tegenstelling tot mensen zoals jij, sta ik daar best voor open.

Door Anoniem: In een hardhat area zet je die hardhat op. Ook als je nog een kilometer in de open lucht staat voordat je bij de plant bent.
Je mag meteen wieberen als je dat niet doet - en niet discuzeuren dat er pas een veiligheidsrisico is in de buurt van werklocaties.

Op een lege rechte vierbaanssnelweg moet je je nog steeds aan maximum snelheid houden.
Bij een stoplicht op een leeg kruispunt in de middle of nowhere moet je ook stoppen bij rood.
Natuurlijk kom je er soms mee weg - maar niet wanneer je betrapt wordt en dan ook nog een voorbeeldfiguur of prominent bent.
Wat is de relatie met het onderwerp?

Ah, toch een argument dat wel iets met het onderwerp te maken heeft:
Door Anoniem: In het poltieke speelveld van het CAB forum is achteraf je reet afvegen met BRs omdat vervangen vanwege een bitje te weinig je slecht uitkomt geen optie.
Wie staat hier in dienst van wie?

Door Anoniem: Pech gehad voor jou en andere supernerds - er zijn meer dan alleen technische redenen die keuzes bepalen.
Zoals (andere redenen dan een stelletje niet voor rede vatbare ego's en/of mensen wiens bonus afhangt van het aantal uitgegeven certificaten)?

En waarom laat Logius alleen webservercertificaten vervangen - en daarvan uitsluitend de "publieke" (niet interne en B2B)?

Ben je niet vreselijk bang dat er een enorme rel zal ontstaan zodra de grotere media dit oppikken en de eerste de beste nitwit (zoals de anoniem hierboven die deze issue vergelijkt met een kras op een nieuwe auto) roept dat de Nederlandse overheids-ICT hartstikke lek is hierdoor?
01-04-2019, 01:43 door Anoniem
Allebei hebben hier gelijk. Bitwiper en zijn oponent in deze draad-discussie.

Men heeft iets ontdekt in een poging een stok te vinden om een hond te slaan, dat bleek een algehele onvolkomenheid te zijn, die nu rechtgetrokken wordt. Terecht, fout is fout, of het maar geringe tot geen veiligheidsimplicaties heeft of niet, doet er niet toe. De regels luiden nu eenmaal zo, dat het aangepast dient te worden. Bij certificeringen zijn abberaties niet toegestaan. Protocol is protocol. Afspraken bindend. Iemand heeft roeiboten losgemaakt en moet nu roeien.

Gelijk en ongelijk verdelen vervolgens in deze draad de kaas en eten die vervolgens op, zie mijn moeder. Wat leert men hiervan, dat elke fout kostbaar is, zeker als men er bewust naar op zoek gaat, maar men steeds van zulke exercities leert.

Dit is niet de laatste revocatie, folks. Elke gemiste is er 1 teveel. Ik leerde weer het een en ander, bedankt daarvoor.

luntrus
01-04-2019, 19:12 door Anoniem
En waarom laat Logius alleen webservercertificaten vervangen - en daarvan uitsluitend de "publieke" (niet interne en B2B)?
Volgens mij om alle ongeruste telefoontjes en ellenlange discussies met niet door kennis gehinderde kritische
en bange gebruikers (burgers) te vermijden, die met zovelen van deze servers gebruik maken.
Door die certificaten te vervangen nemen ze alle twijfel en discussie weg. Scheelt veel tijd en moeite.

En misschien ook een beetje omdat het bij deze servers een brede impact heeft als er later ten gevolge van dit akkefietje
opeens toch een belangrijk onvoorzien risico aan het licht mocht komen,
waardoor opeens met spoed en met lange downtijd (omdat het ongepland is) de server plat moet.
Vervolgens krijg je van de baas op je kop dat je het nog niet had vervangen, want achteraf weet iedereen het beter.
Dus misschien ook een stukje "let's cover my ass - policy, just to be sure" zullen we maar zeggen. ;)
01-04-2019, 21:50 door Anoniem
Kunnen ze gelijk hun oudere certificaten een upgrade geven naar EV.
02-04-2019, 13:30 door Anoniem
EV? Met welk doel? Recente browsers geven er geen extra waarde meer aan
https://www.troyhunt.com/extended-validation-certificates-are-dead/
02-04-2019, 15:25 door Anoniem
Door Bitwiper:
Door Anoniem: Moet je nou in elk topic hierover blijven drammen met je technische oogkleppen op ?
Niet in elk topic, maar wel met als onderwerp certificaten met 63 i.p.v. 64 bit random serienummer. Prima als je het niet met mij eens bent, zielig dat je mij beticht van drammen en technische oogkleppen - zonder goede argumenten te noemen die mijn ongelijk zouden bewijzen. Want in tegenstelling tot mensen zoals jij, sta ik daar best voor open.

In al die andere threads verliep de discussie precies hetzelfde.
Jij post telkens dat er geen technisch security risico is, en daar is niemand het mee oneens.

Jij roept telkens dat er *DUS* helemaal niets gedaan hoeft te worden, omdat je blijkbaar vindt dat alleen echte technische risico's ingrijpen vereisen.
En je negeert consequent het cab-politieke aspect dat nu eenmaal speelt wanneer je CA bent.


Door Anoniem: In een hardhat area zet je die hardhat op. Ook als je nog een kilometer in de open lucht staat voordat je bij de plant bent.
Je mag meteen wieberen als je dat niet doet - en niet discuzeuren dat er pas een veiligheidsrisico is in de buurt van werklocaties.

Op een lege rechte vierbaanssnelweg moet je je nog steeds aan maximum snelheid houden.
Bij een stoplicht op een leeg kruispunt in de middle of nowhere moet je ook stoppen bij rood.
Natuurlijk kom je er soms mee weg - maar niet wanneer je betrapt wordt en dan ook nog een voorbeeldfiguur of prominent bent.
Wat is de relatie met het onderwerp?

Snap je werkelijk de analogie niet ?
Allemaal situaties waarin de regel volgt uit 'veiligheid' , op dat moment en in die situatie geen veiligheidsrisico mitigeert, en toch gehandhaafd wordt/mag worden.


Ah, toch een argument dat wel iets met het onderwerp te maken heeft:

Al een paar keer eerder gemaakt in de verwante threads, en heb je toen ook genegeerd.


Door Anoniem: In het poltieke speelveld van het CAB forum is achteraf je reet afvegen met BRs omdat vervangen vanwege een bitje te weinig je slecht uitkomt geen optie.
Wie staat hier in dienst van wie?

Wie zijn welke wie's ?
Als je wou zeggen dat het cab-forum in dit geval de BR zou moeten of kunnen aanpassen is dat een valide punt.
Daar kan voor gepleit worden. (net zoals gepleit kan worden voor hogere maximum snelheden, of het weghalen van zinloze stoplichten)
Ik heb de indruk dat het cab forum nogal stroperig is, en nogal verpolitiekt.

Maar zolang daar geen duidelijke support voor bestaat in het cab forum is het voor een individuele (en vrij kleine ) CA als PKI Overheid geen optie om solo te bepalen welke BRs men de moeite waard vindt om zich aan te houden. Noch minder als houden aan de betreffende BR in alle requirements gestaan heeft.


Door Anoniem: Pech gehad voor jou en andere supernerds - er zijn meer dan alleen technische redenen die keuzes bepalen.
Zoals (andere redenen dan een stelletje niet voor rede vatbare ego's en/of mensen wiens bonus afhangt van het aantal uitgegeven certificaten)?

? Een re-issue tellen als extra certificaat lijkt me sterk - als klant zou ik gewoon gratis vervanging eisen, want 'defect' .


En waarom laat Logius alleen webservercertificaten vervangen - en daarvan uitsluitend de "publieke" (niet interne en B2B)?

Ben je niet vreselijk bang dat er een enorme rel zal ontstaan zodra de grotere media dit oppikken en de eerste de beste nitwit (zoals de anoniem hierboven die deze issue vergelijkt met een kras op een nieuwe auto) roept dat de Nederlandse overheids-ICT hartstikke lek is hierdoor?

Logius stuurt blijkbaar op de kleinste/ minst impacting vervanging waar ze mee weg kunnen komen qua CA-reputatie/requirement. Ik heb niet recent de cab discussie threads bekeken, maar waarschijnlijk is er groeiend begrip voor het beperkt en niet super acuut vervangen van dit soort certificaten.

Persoonlijk verwacht ik geen mediastorm (die was er al niet toen het 'issue' eerst opdook met grote aantallen 'defecte' certificaten bij , OMG google en apple ).
M.i. is de enige echte prioriteit de blijvende acceptatie van PKI Overheid als CA in de browsers. De impact van een beetje NL media aandacht of desnoods kamervragen kun je inschatten en managen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.