Over certificaten en veiligheid
De afgelopen dagen staan de kranten vol over de problemen met beveiligingscertificaten bij Diginotar. Door een digitale inbraak bij dit bedrijf, zouden vele overheidssites onveilig zijn. voor de gewone consument is het moeilijk te begrijpen wat er nu precies aan de hand is en wat dit voor de eigen gegevens betekent.
Dit artikel gaat in op wat certificaten zijn en welke problemen er kunnen ontstaan bij inbraken zoals recent bij Diginotar.
Wat is een beveiligingscertificaat?
Een certificaat op internet is als een soort van legitimatiebewijs voor een website. Niet iedere website maakt gebruik van zo'n legitimatiebewijs, dergelijke certificaten zijn vooral belangrijk wanneer via de website gevoelige gegevens worden uitgewisseld. De afgelopen jaren waren de banken het grote voorbeeld. Via campagnes als '3 keer kloppen' werd de consument erop gewezen goed te controleren of bij het bezoek van de website van de bank wel een slotje in beeld kwam. Precies dit slotje is een visuele vertaling dat er een certificaat aan de website is gekoppeld.
Het certificaat is dus het legitimatiebewijs. Door dit legitimatiebewijs kun jij controleren of de website wel echt de website is die jij denkt te bezoeken. Maar hoe controleer jij dit dan? Hiervoor is een technisch mechanisme ingericht.
De certificaten worden uitgegeven door certificaatautoriteiten (CA's). Er zijn wereldwijd honderden CA's die certificaten uitgeven. Jouw browser voert automatisch voor jou de controle uit.
Jij surft dus naar de website van jouw bank. Jouw bank heeft een certificaat gekocht bij een CA. Dit certificaat is gekoppeld aan de website. Op het moment dat jij de website bezoekt, haalt jouw browser het certificaat op, gaat, achter de schermen, langs bij de CA en controleert daar of het certificaat echt is of vals en of het certificaat wel toebehoort aan de website waar jij naartoe bent gesurft. Jouw browser weet welke CA's betrouwbaar zijn. Ook daar wordt op gecontroleerd. Is alles in orde, dan krijg jij een slotje te zien naast de URL en kun je ongestoord verder surfen. Is er iets niet in orde? Dan krijg je een melding in beeld over een onveilig certificaat.
Wat is er nu gebeurd bij Diginotar?
Diginotar is een CA. De Nederlandse Overheid, maar ook grote andere bedrijven, maken gebruik van de diensten van Diginotar. In de zomer van 2011 is ingebroken bij Diginotar. Bij deze inbraak zijn certificaten op illegale manier uitgegeven, vergelijkbaar met het vervalsen van een legitimatiebewijs. Hierdoor wordt het voor de bezoeker onmogelijk om nog te beoordelen of een site legitiem of niet is.
Zijn mijn gegevens in verkeerde handen terecht gekomen?
Deze hack maakt het mogelijk om mensen door te leiden naar onbetrouwbare websites. Dat wil niet meteen zeggen dat dit ook daadwerkelijk gebeurt. Het stelen van de certificaten alleen, is niet voldoende om gegevens op onrechtmatige wijze te verkrijgen. Het probleem is, dat jij niet meer in staat bent te beoordelen of een website is die hij beweert te zijn. Wanneer je niet meer kunt beoordelen of je op een onbetrouwbare website bent, is het ook niet meer mogelijk om te beoordelen dat je op een betrouwbare website bent. De websites van de overheid zelf zijn dus niet getroffen, maar een ander kan zich nu eenvoudiger voordoen als een website van de overheid, dan voorheen het geval was. Daarom ook wordt geadviseerd tot nader bericht geen gebruik te maken van deze websites.
En nu?
De getroffen bedrijven die gebruik maakten van certificaten van Diginotar zijn op dit moment druk in de weer om de certificaten die niet meer te vertrouwen zijn te vervangen door betrouwbare certificaten. Dit moet zorgvuldig gebeuren. De nieuwe CA's willen zeker weten dat de partij die een certificaat aanvraagt is wie hij zegt te zijn. Deze uitgebreide controle is essentieel voor de betrouwbaarheid van het systeem. Deze administratie en het technisch koppelen van de nieuwe certificaten kost een aantal dagen. Als gewone consument kunnen wij niet anders, dan hierop wachten.
Zoals eerder al uitgelegd, controleert jouw webbrowser voor jou of een certificaat betrouwbaar is of niet. Deze controle kan alleen goed worden uitgevoerd, als jouw webbrowser helemaal up to date is. De CA Diginotar is vanaf deze week niet meer betrouwbaar, dat moet jouw webbrowser weten. Alleen als jouw webbrowser is geupdate, krijg jij bij het bezoek van een website met een Diginotar certificaat de melding dat er een probleem is. Zorg er daarom voor dat je updates van je browser altijd verwerkt.
Maar de problemen met Windows update dan?
Dinsdag 6 september kon je in het nieuws lezen dat de Nederlandse overheid afspraken heeft gemaakt met Microsoft over Windows Update. Microsoft voert altijd op dinsdag updates door. In de update van 6 september zou Diginotar als onbetrouwbaar worden aangemerkt, waardoor je als bezoeker voortaan bij het surfen naar een site met een Diginotar certificaat een foutmelding zou krijgen. Omdat nog niet alle certificaten van de Nederlandse overheid zijn vervangen door andere certificaten is deze automatische update voor Nederland uitgesteld. Handmatig kan de update uiteraard wel worden doorgevoerd.