Zaterdag 3 september is in een bijeenkomst bij het ministerie van Binnenlandse Zaken bekend gemaakt dat de minister van Binnenlandse Zaken het vertrouwen in certificatie-dienstverlener Diginotar heeft opgezegd en het bewind over het bedrijf heeft overgenomen. Aanleiding hiervoor is onderzoek door Fox-IT naar een hack die in juli is gedaan bij Diginotar. Daaruit is gebleken dat behalve certificaten voor private websites, mogelijk ook certificaten voor overheidswebsites zijn gecompromitteerd. Zie voor nieuws, feiten en achtergronden de informatie onder het kopje 'nieuws en publicaties' op www.govcert.nl.
De certificaten voor websites van de rijksoverheid en daaraan gelieerde diensten dienen de komende week/weken te worden vervangen door certificaten van andere leveranciers.
Bedrijven die van Diginotar certificaten gebruik maken wordt door Govcert.nl aangeraden snel over te stappen op andere certificatie-dienstverleners.
Let hierbij op de opmerkingen van Govcert.nl in de factsheet, o.a. over aanpassingen bij Windows systemen. Nadere informatie is ook te vinden bij Logius.
Andere certificatie-dienstverleners zijn (zonder voorkeur):
- KPN/Getronics: tel. 0320-217300, e-mail pki@getronics.com
- ESG: tel. 0495 566355, e-mail info@csp4.eu
- Quo Vadis: tel. 030-2324320, e-mail info.nl@quovadisglobal.com
Grote drukte verwacht bij migratie nieuwe certificaten
Deze migratie zal de komende dagen grote drukte opleveren bij die certificatie-dienstverleners aangezien te verwachten valt dat veel publieke en private partijen alternatieven zullen willen/moeten verkrijgen voor hun Diginotar-certificaten. Indien noodzakelijk zal door de overheid worden geprioriteerd welke diensten eerder voor nieuwe certificaten in aanmerking komen, dit geldt voor zowel vitale processen van de overheid als voor het bedrijfsleven.
Voor machine to machine-communicatie (waarbij een computer zonder tussenkomst van mensen met andere computers contact heeft) zal de volledige transitie naar nieuwe certificaten langer gaan duren, eerder maanden dan weken. Dit vergt ook nauwe afstemming tussen de beheerders van de communicerende machines, zowel government to government als business to government. Dit is ook de reden dat de Diginotar certificaten niet zijn ingetrokken/revoked. Er kan daarom via deze certificaten nog steeds worden gecommuniceerd met de overheid.
Op korte termijn (dit weekend) zal een richtlijn worden opgesteld over hoe om te gaan met fatale termijnen (bijvoorbeeld deadlines voor inleveren van stukken voor rechtszaken, bij Belastingdienst en andere toezichthouders die bij overschrijden daarvan nadelige consequenties hebben). Het zou immers onredelijk zijn een gebruiker te straffen voor het niet veilig digitaal kunnen communiceren met de overheid vanwege deze Diginotar-kwestie.
Google, Mozilla en andere browsermakers hebben ook het vertrouwen in Diginotar-certificaten opgezegd en passen momenteel hun software aan. Het updaten daarvan is aan te raden. Na updaten kunnen klanten/gebruikers een melding krijgen dat veiligheid van de site niet kan worden gegarandeerd.
Actuele informatie is te vinden op: www.rijksoverheid.nl/onderwerpen/digitale-overheid.
