DEN HAAG – De beslissing om geleidelijk over te stappen op andere overheidscertificaten betekent dat de webbrowser de bereikbaarheid van de overheid bepaalt. 

In de vroege uren van zaterdagochtend maakt Minister Donner van Binnenlandse Zaken bekend over te willen stappen op een andere oplossing voor de beveiliging van websites.

Omdat voor deze overstap gemiddeld enkele dagen duren en het honderden overheidssites betreft, zal de overstap tijd kosten. Hoe lang dit gebeurt is niet duidelijk.

Probleem daarbij is volgens Donner dat nog niet duidelijk is welke overheidswebsites allemaal getroffen worden. Dat wordt de komende dagen allemaal in kaart gebracht. Daarna kan de procedure worden gestart om bij een andere leverancier een nieuw certificaat te krijgen. 

Onbereikbaarheid

Gedurende die overstap is het onzeker of de websites van de overheid nog goed bereikbaar zullen zijn. Wie veilig zaken wil doen met de overheid doet dat door middel van een beveiligingscertificaat. Dat draagt zorg voor een versleutelde communicatie en biedt de webbrowser de mogelijkheid te controleren of een authentieke website wordt vertrouwt.

Afhankelijk van de gebruikte softwareversie van de webbrowser en de fabrikant ervan, zal een waarmerk van het Nederlandse Diginotar wel of niet vertrouwd worden. Dit betekent dat in sommige gevallen gebruikers gebruik kunnen maken van bijvoorbeeld DigiD of andere overheidssites, terwijl in andere gevallen een waarschuwing volgt. Het advies van Donner is waarschuwingen niet te negeren, maar te kiezen geen gegevens uit te wisselen. 

In beslag nemen

De minister erkende tijdens de persconferentie dat niet de overheid, maar de browserleveranciers het noodzakelijk maakten om in te grijpen. Om de overstap mogelijk te maken, blijkt de administratie van Diginotar noodzakelijk en moet de continuïteit worden gewaarborgd.

Daarom heeft de Staat de regie bij het bedrijf volledig overgenomen en voert het beheer over de certificaten van het bedrijf. “Het bedrijf heeft daarbij goed meegewerkt”, stelt de bewindvoerder.

Langlopende kraak

Diginotar werd in juli van dit jaar gekraakt door Iraanse hackers. Die brachten zelf nepcertificaten in omloop, die door het bedrijf als correct zijn aangemerkt. Hierdoor viel het gebruikers niet op dat de Iraanse overheid tussen de webbrowser van Iraniërs en bijvoorbeeld Gmail kon meeluisteren. De volledige tap werd door gebruiker en webbrowser niet opgemerkt. Hierdoor lopen bijvoorbeeld dissidenten gevaar door het Iraanse regime te worden opgepakt.

Na het ontdekken van de hack heeft de onderneming de zaak stilgehouden en een gedeelte van de nepcertificaten ongeldig verklaard. Het bedrijf deed geen aangifte van de inbraak. Zo kon het gebeuren dat ook na het ontdekken van de hack Diginotar ook nog onechte certificaten uitgaf.

Twitter

De zaak kwam aan het rollen toen een Iraniër op de problemen wees via Twitter. Inmiddels is duidelijk dat de echtheid van honderden certificaten te betwijfelen vallen. Daarbij gaat het in ieder geval om Google.com, Yahoo, Mozilla de makers van Firefox en Skype.

Het bedrijf zelf stelde dat de hack weinig gevolgen voor de betrouwbaarheid van certificaten betekent en adviseerde gebruikers waarschuwingen te negeren. Minister Donner verwijst dat advies naar de prullenmand.