Bestaande Digikoppeling ebMS verbindingen lopen op dit moment geen acuut beveiligingsrisico. Dit omdat bij de initiële configuratie gebruik gemaakt is van de juiste certificaten. Deze kunnen niet in een later stadium ongemerkt door een onveilig certificaat vervangen worden. Wel is op korte termijn mogelijk actie benodigd om een goede werking naar de toekomst te garanderen. Daarom raden wij aan om de aanbevelingen in dit nieuws item zo spoedig mogelijk op te volgen.

Zoals u waarschijnlijk al weet, heeft minister Donner afgelopen zaterdag het vertrouwen opgezegd in Diginotar PKIOverheid certificaten. Gevolg hiervan is dat op korte termijn al deze certificaten vervangen moeten gaan worden. PKIOverheid certificaten kunnen onder andere gebruikt worden binnen de Enable-U Digikoppeling; het zal voor deze verbindingen dus mogelijk ook gevolgen hebben. Wij schrijven u omdat u gebruik maakt, of op korte termijn gaat maken, van de Enable-U Digikoppeling software en met name de VLTrader/Lexicom software voor Digikoppeling ebMS. We verwachten dat de Diginotar certificaten die voor Digikoppeling worden gebruikt niet als eerste vervangen zullen worden; waarschijnlijk zijn eerst de publiekscontactpunten (websites) met DigiD en eHerkenning aan de beurt. Wij willen u informeren over de benodigde stappen om ook in de toekomst optimaal gebruik te kunnen blijven maken van Digikoppeling.Aan het eind van deze email lichten we toe wat het verschil in risico is tussen websites en Digikoppeling ebMS verkeer.

Algemene impact voor organisaties die gebruik maken van Diginotar certificaten

Elke organisatie moet haar Diginotar certificaten vervangen door nieuwe certificaten van een andere Certificate Service Provider (CSP) (zie het overzicht van Logius). Hier gaat een heel traject aan vooraf  (zie de procedure op de site van Logius). Een kort overzicht:

• U moet een nieuwe PKI Overheid certificatenleverancier selecteren en u daarbij aanmelden, legitimeren en via de notaris laten inschrijven.
• Inventariseer welke certificaten vervangen moeten worden en vraag voor elk Diginotar certificaat een nieuw certificaat aan bij de gekozen CSP.
• Vervolgens moet elk nieuw certificaat in elke relevante toepassing in gebruik worden genomen. Raadpleeg de betreffende leveranciers voor de juiste procedure.

Actuele situatie met betrekking tot Digikoppeling

De Diginotar PKI Overheid certificaten zijn technisch nog niet ingetrokken. De Digikoppeling ebMS verbinding kan momenteel nog gebruikt blijven worden. Er zijn nu vraagtekens te plaatsen bij de veiligheid van de Dignotar certificaten, maar voor het ebMS protocol met gegarandeerde aflevering en encryptie van berichten speelt dit geen rol. Dit blijft veilig, omdat bij de initiële configuratie gebruik gemaakt is van de juiste certificaten. Deze kunnen niet in een later stadium ongemerkt door een onveilig certificaat vervangen worden.  Het alternatief, een volledig onbeveiligde e-mail verbinding of geen enkele verbinding, is vele malen onwenselijker.

Benodigde stappen met betrekking tot Digikoppeling

Iedere Digikoppeling ebMS verbinding waarbij één van beide partijen een Diginotar certificaat gebruikt zal opnieuw geconfigureerd moeten worden. Dit betekent dat er een nieuwe CPA (contract) aangemaakt en ingelezen moet worden.

Wij weten dat het Omgevingsloket Online geen gebruik maakt van Diginotar certificaten. Alleen als uw  organisatie zelf Diginotar certificaten gebruikt, zult u dus de OLO verbinding opnieuw moeten configureren. De Diginotar certficaten zullen immers vervangen moeten worden. In de Enable-U Digikoppeling adapter zit een volwaardige certificaten store, waarmee wij kunnen helpen om nieuwe certificaten bij een andere PKI Overheid certificatenleverancier aan te vragen.  Nadat deze nieuwe certificaten binnen zijn, kunt u op basis van de nieuwe certificaten nieuwe CPA’s aanmaken. Deze CPA kan dan ingelezen worden en de Digikoppeling verbinding is vervolgens weer actief.

Ondersteuning van Enable-U

Bij het inlezen en configureren kunnen wij eventueel ondersteuning verlenen. Wij kunnen ook helpen met de technische stappen om de nieuwe PKI Overheid Certificaten opnieuw te bestellen en te implementeren. Vragen kunt u via de mail stellen aan support@enable-u.nl.

Ten slotte raden we iedereen aan de berichtgeving van Logius in deze goed te volgen. Dit kan via de website van Logius (www.logius.nl), maar u kan zich via het Servicecentrum Logius (servicecentrum@logius.nl) ook opgeven voor de (bijna dagelijkse) nieuwsbrief die per e-mail wordt verzonden.

Verschil in risico tussen Digikoppeling ebMS verkeer en bezoek via webbrowser aan website met Diginotar certificaat

Het risico bij het bezoeken van een website met een Diginotar certificaat is beduidend anders dan bij een Digikoppeling ebMS verbinding.

Digikoppeling ebMS verkeer

Bij ebMS verkeer wordt vooraf een contract (CPA) gevormd op basis van de certificaten van beide partijen die met elkaar communiceren. Wanneer dit contract is opgesteld en gebruikt wordt bij de communicatie, is het niet langer mogelijk om achteraf het certificaat van 1 van de partijen ongemerkt te vervangen door een ander certificaat. Met andere woorden: het is dus niet mogelijk om stiekum een van de hack afkomstig illegaal gegenereerd certificaat in de communicatie op te nemen.

Webbrowser bezoek aan website met PKI Overheid certificaat

Bij het bezoek van een site is dit risico groter, hoewel er nog steeds aan een aantal voorwaarden voldaan moet worden. Allereerst moet het verzoek naar de malafide server omgeleid worden. Hiertoe is het nodig om de DNS verzoeken (vertaling van internet namen naar numerieke adressen) van de PC waarop de webbrowser draait, te kunnen beantwoorden met malafide adressen. Dit kan op verschillende manieren:

• Hacken/besmetten van de betreffende PC. Hierdoor gaan de DNS verzoeken niet naar de geconfigureerde DNS server, maar wordt er meteen ‘intern’ een malafide antwoord gegenereerd.
• Hacken/omleiden van de internetverbinding van de betreffende PC:
  Hierbij wordt het verkeer op netwerk niveau omgeleid naar een andere DNS server. Dit gebeurt bijvoorbeeld in bedrijfsnetwerken, maar in bepaalde landen met een streng regime ook op landelijk niveau.
• Hacken van de DNS server, zodat de server malafide/niet authentieke antwoorden geeft.

Wanneer een PC een verwijzing naar het numeriek adres van de server heeft gekregen, zal de PC daarmee verbinding gaan maken. Bij die verbinding komt het certificaat in beeld. Aan de hand van dat certificaat zal de PC bepalen of de DNS verwijzing wel echt naar de juiste server is gegaan. Dit is dus het punt waar de hack van Diginotar schade aanricht: door middel van de hack zijn certificaten beschikbaar gekomen waardoor malafide servers zich ten onrechte uit kunnen geven voor de authentieke server, zonder dat de technische alarmbellen (“het slotje”) afgaan.  Wanneer de malafide server het verzoek doorleidt, gebeurt het vrijwel onzichtbaar en merk je er als gebruiker dus niet veel van.

Gelukkig houden webbrowsers bij welke certificaten ze kunnen vertrouwen. Daarom zal de komende tijd door alle browsermakers een update uitgebracht worden waarin vastgelegd is dat Diginotar niet langer vertrouwd kan worden. Maar aangezien niet alle browsers altijd direct en volledig bijgewerkt worden tot de laatste nieuwe versies, blijft het altijd van belang om bewust te zijn van de risico’s.