SSL door de Staat der Nederlanden

NB: deze blog post is redelijk oud

We hebben sinds dit artikel een nieuwe website gekregen. Wellicht ziet dit artikel er daarom niet zo uit zoals je zou verwachten.

Als je denkt dat deze pagina erg nuttig is, en hij er niet mooi uit ziet of niet goed functioneert, neem dan contact met ons op.

De Amerikaans/Nederlandse SSL autoriteit DigiNotar [is gehackt]((http://www.google.nl/search?q=DigiNotar). Dit bleek uit de ontdekking van een vals Gmail certificaat in Iran. Gebruikers van Gmail in Iran kregen een ander certificaat voorgeschoteld waardoor de Iraanse overheid al het verkeer van en naar Gmail kon afluisteren.

Iedereen kent ze ondertussen wel. Het Slotje of De groene balk. Alle banken hebben ons erop gewezen altijd goed te controleren of er wel een "Slotje" op de site zit tijdens het internet bankieren, anders is er iets niet pluis. Maar waarom is het dan wel te vertrouwen als er wel een "slotje" op de site zit?

Als er een slot op de site zit, betekent dat 'slechts' dat de communicatie van uw webbrowser tot en met de website gecodeerd is (een soort van geheimtaal). Echter, iedereen kan een certificaat voor een willekeurige site (self-signed-certificate) aanmaken: je weet dan wel dat je in geheimtaal communiceert maar nog niet met wie. Een webbrowser geeft dan standaard ook een (fout)melding hiervan.Om die reden laten aanbieders van een beveiligde sites hun certificaat ondertekenen door een betrouwbare partij. Door dit te doen, ondertekent een SSL autoriteit (meestal een commercieel bedrijf) het certificaat en gaat de webbrowser er vanuit dat deze autoriteit goed gecontroleerd heeft dat het certificaat inderdaad voor een website is waarvan de aanbieder beheerder/eigenaar/gerechtigde is.

Intern in uw webbrowser zit een lijst van bedrijven en instellingen die we "vertrouwen". Al deze organisaties kunnen certificaten ondertekenen. Als een website voorzien is van een certificaat dat ondertekent is door een bedrijf van deze lijst, vertrouwt de browser de verbinding en komt er zonder waarschuwing een slotje of groen balkje tevoorschijn, zonder foutmelding. Nu DigiNotar gehackt is zijn er onbedoeld namaak-certificaten in omloop gekomen die wel door de browser vertrouwt worden terwijl dat niet zou moeten. Onder andere certificaten van Google/Gmail, Mozilla, Yahoo en TOR zijn het slachtoffer. Het lijkt erop dat de Iraanse overheid verantwoordelijk is voor deze hack en naar alle waarschijnlijkheid zal deze ze gebruiken om e-mail en browsergedrag van haar burgers te controleren. Een zeer kwalijke kwestie.

DigiNotar is een van de partijen die voor de Nederlandse overheid SSL certificaten uitgeeft. De overheid van Iran wordt niet standaard door mijn browser vertrouwd, gelukkig maar, maar er zit wel een certificaat van de "Staat der Nederlanden" in je browser. Waarom eigenlijk? In de totale lijst van organisaties die in je browser zit, tref ik maar een paar overheden aan: Nederland, Japan en Taiwan. Kortom, deze landen kunnen in theorie certificaten aanmaken voor elke willekeurige site. Het is een feit dat er, in Nederland, afgeluisterd wordt op het reguliere onbeveiligde internet en telefoonverkeer. Nu zijn wij (nog) niet zo bang dat de Nederlandse overheid ons wilt bespioneren via valse certificaten, maar het voelt ergens toch vreemd dat we zo'n vertrouwen zo makkelijk weggeven via een browser aan de Nederlandse overheid. En hoe zit dat met de overheid van Taiwan?

In maart was overigens de commerciële SSL organisatie "Comodo" slachtoffer van een hack. Ook deze hack leek zijn oorsprong in Iran te hebben en ook toen waren Google en Yahoo slachtoffer. Indirect via onze browser vertrouwen we een groot aantal bedrijven en instanties. Tevens vertrouwen we de browsermakers weer op de controle van deze bedrijven. Uit deze twee hacks blijkt maar weer dat het SSL systeem gevoelig is voor fraude. SSL is een mooie techniek, maar deze afhankelijkheid van andere bedrijven is zeker een zwak punt.

Maar, zonder SSL is het afluisteren al helemaal kinderlijk eenvoudig. Zonder SSL was veilig webwinkelen niet mogelijk geweest, laat staan internetbankieren. En zolang browser-makers adequaat reageren op problemen, dan blijft het systeem vele malen beter dan niets. Wij blijven een SSL certificaat dan ook aanraden voor iedere webshop of welke site dan ook die met persoons- of  andere gevoelige gegevens werkt. En ondertussen breken we ons hoofd over alternatieven voor de toekomst.

UPDATE: Ondertussen is bekend geworden dat er maar liefst 247 certificaten vervalst zijn. Diginotar heeft nog immer geen lijst geproduceerd met alle certificaten, maar Google heeft er nu in ieder geval 247 gevonden en de browser Chrome aangepast zodat je een waarschuwing ontvangt als je naar een van deze websites gaat. Voor FireFox geldt dat je zelf handmatig wijzigingen moet doorvoeren. Alleen Safari blijft voorlopig nog achter en is nog niet ge-update.