De afgelopen week stonden de media bol van berichten over het Nederlandse internet- beveiligingsbedrijf DigiNotar, dat zijn eigen veiligheid duidelijk niet op orde heeft. Kort samengevat: vorige maand slaagden Iraanse hackers erin de systemen van het bedrijf binnen te dringen en gegevens te stelen voor het maken van valse certificaten voor Gmail, waarmee ze vervolgens toegang kregen tot de inloggegevens van Iraanse Gmail-gebruikers. Kort daarna bleken bij nog veel meer organisaties zulke vervalste certificaten te zijn ontdekt, waaronder de CIA, MI6, Facebook, Microsoft, Skype, Twitter en WordPress.
DigiD
In Nederland zijn het onder meer de lokale en landelijke overheden die certificaten van DigiNotar gebruiken. Wil je bij de gemeente waar je woont online een nieuwe paspoort of rijbewijs aanvragen? Voor een gecodeerde verbinding moet je inloggen met een DigiD, waarvoor DigiNotar met certificaten de beveiliging verzorgt. Terecht raadde minister Donner daarom aan om even niet in te loggen met je DigiD.
De iPhone 14 Pro nu tot €10 korting per maand!
Heb je al internet van KPN thuis? Profiteer dan van extra voordelen
Tussen haakjes: als je aan internetbankieren doet, hoef je niet bang te zijn dat er Iraanse hackers of wie dan ook aan je geld kunnen komen. De Nederlandse banken maken namelijk geen gebruik van de diensten van DigiNotar. De toegang tot je geld is dus veilig.
Wat hebben die problemen met Mac-gebruikers te maken?
Toen bekend werd dat er heel veel valse certificaten van DigiNotar in omloop waren, hebben veel providers en browserfabrikanten DigiNotar op hun zwarte lijst gezet. Mac-gebruikers die daar niet op wilden wachten, konden ook zelf het vertrouwen in DigiNotar-certificaten opzeggen. Dat is overigens heel eenvoudig:
- Ga in ‘Programma’s’ naar de map ‘Hulpprogramma’s’. Activeer de app ‘Sleutelhangertoegang’ en zoek hierin naar ‘DigiNotar’.
- Selecteer het gevonden certificaat van DigiNotar en open met een klik op de ‘i’-knop het infovenster. Je ziet nu dat je met een geldig certificaat van doen hebt, maar dat weet je nu niet meer zeker.
- Onder ‘Vertrouw’ kun je er nu voor kiezen het gebruik van dit certificaat niet te vertrouwen. Open daartoe het uitklapmenu van de eerste optie en kies ‘Vertrouw nooit’.
Vanaf dat moment zou je bij het bezoek aan beveiligde websites van de overheid, zoals de Belastingdienst, een melding moeten krijgen die je waarschuwt dat je met een onveilig certificaat te maken hebt en dat de website in kwestie dus niet betrouwbaar is. Helaas blijkt dat niet zo vanzelfsprekend.
Bug in Mac OS!
Bij PCWorld hebben ze dankzij die valse certificaten van DigiNotar ontdekt dat Mac OS X een bug bevat waardoor die waarschuwing wordt genegeerd. Als je dan inlogt op een site met een vals certificaat, merk je daar niets van. Net als altijd krijg je dan een groene adresbalk, een hangslot en een URL die begint met het voorvoegsel https://.
De certificaten die DigiNotar vertrekt zijn namelijk Extend Validation (EV)-certificaten en dat soort certificaten worden door Mac OS gewoon geaccepteerd, ook als ze ergens op een zwarte lijst staan of door een gebruiker als ‘Vertrouw nooit’ zijn aangemerkt. Apple heeft voor deze bug nog geen oplossing aangegeven, maar minister Donner heeft DigiNotar het certificatenbeheer ontnomen en dit overgebracht naar het Ministerie van Binnenlandse Zaken. Verwacht wordt dat je binnen enkele dagen weer veilig gebruik kunt maken van je DigiD, zo meldde minister Donner eergisteren.
Praat mee!