KPN trok na DigiNotar-gate zo'n duizend eigen certificaten in. Ook blijkt dat het bedrijf PKI-overheidscertificaten uitgeeft die niet aan de regels voldoen. KPN reageert niet.
Dat blijkt uit een analyse van de informatie van certificaten die door KPN/Getronics zijn uitgegeven. Daarbij zijn ook zogeheten intrekkingslijsten met daarop ongeldig verklaarde certificaten bekeken.
Massale intrekkingen
Onder normale omstandigheden worden certificaten heel af en toe ingetrokken. Voordat Diginotar problemen had, kwam zo'n revocation door de bank genomen bij KPN zeven keer per maand voor. Wil een certificaat worden ingetrokken, dan moet er sprake zijn van een uitzonderlijke situatie. Daarbij zijn er vier mogelijkheden. Ofwel de houder is zijn vertrouwelijk gedeelte van het certificaat kwijt, ofwel er zijn procedurele fouten gemaakt, de gebruiker is gehackt of de uitgevende instantie is gehackt.
Vanaf 28 september 2011 gaat het ineens hard met het intrekken van certificaten van KPN/Getronics. Die maand worden er op de valreep nog 120 certificaten ingetrokken. In oktober zijn dat er maar liefst 743, in november nog eens 111 en tot 7 december zijn er nog eens 24 certificaten ingetrokken. Er is dus sprake van een spectaculaire stijging van het aantal 'revocations'.
Het begin van die groei (28 september) is niet helemaal toevallig. Op diezelfde dag wordt het leeuwendeel van de certificaten van Diginotar ingetrokken. Maar waarom de certificaten van KPN/Getronics zijn ingetrokken blijft vooralsnog onduidelijk.
Onterecht uitgegeven certificaten
Daar bovenop speelt er nog een ander probleem. Dit jaar haalt Logius, verantwoordelijk voor de uitgifte van certificaten van de Nederlandse overheid, oude certificaten uit de markt en vervangt ze voor een nieuwer type. De oude mogen slechts lopen tot eind dit jaar. Al vanaf begin dit jaar is begonnen met het uitsluitend uitgeven van vernieuwde exemplaren. In een factsheet schrijft het Ministerie van Binnenlandse Zaken: "Logius heeft ervoor gezorgd dat leveranciers van de PKI Overheid-certificaten vanaf januari 2011 alleen nog verbeterde certificaten uitgeven."
Maar uit onderzoek blijkt het tegendeel. Er zijn tientallen certificaten uitgegeven zonder dat ze aan de nieuwe eisen voldoen, en die zijn bovendien langer geldig dan 31 december 2011. Deze certificaten zijn onder andere in gebruik bij de website Officiƫle Bekendmakingen, mijn.overheid.nl, de webservices van de Belastingdienst, het Digitaal loket van de Gemeente Rotterdam, de webmail en VPN van de gemeente Amsterdam en het Digitaal loket van de gemeente Den Haag.
Een pijnlijk voorbeeld is het certificaat van de Gemeente Amsterdam voor beschermde VPN-verbindingen. De uitgifte ervan vond in november plaats, ruimschoots na het Diginotar-debacle, maar toch is er iets mis mee. Het certificaat zou op 31 december 2011 moeten verlopen, maar verloopt in plaats daarvan op 1 januari 2014.
Ministerie van BZK
Volgens Simona Petescu, persvoorlichter van KPN, is de vraag rond het grote aantal ingetrokken certificaten al eerder gesteld en is de zaak prima te verklaren. Maar ze geeft die uitleg niet als Webwereld hierover opnieuw contact zoekt.
Ondanks het feit dat er een aantal uur tussen het stellen van de vraag en publicatie zit, moet het Ministerie van Binnenlandse Zaken nog verder zaken uitzoeken.
In het recente verleden heeft Webwereld via een Wob-verzoek geprobeerd toegang te krijgen tot eventuele noodscenario's voor PKI Overheid. Alleen voor het geval er een beveiligingsincident met DigiD is, bestaat er een noodscenario.
Bron: Webwereld
Geen opmerkingen:
Een reactie posten