Beveiliging Nederlandse websites mogelijk lek door probleem SSL certificaten

Webwereld bericht dat de producenten van de belangrijkste browsers het root-certificaat van Diginotar niet langer vertrouwen. Dat betekent dat de beveiliging van veel Nederlandse websites mogelijk niet langer geborgd is.

Versleuteling van websites met certificaten

Houders van websites waarop gevoelige persoonsgegevens worden verwerkt kiezen er vaak voor de verbinding te versleutelen. In de adresbalk van de browser komt dan https:// in plaats van http:// te staan.

Die versleuteling vindt plaats op basis van een uniek certificaat dat is gekoppeld aan die specifieke domeinnaam. Een dergelijk certificaat wordt uitgegeven door een certificaatverlener. De technische details hieromtrent laat ik achterwege. Waar het nu even om gaat is dat er aldus een keten ontstaat van internetgebruiker-websitehouder-certificaatverlener. Hierbij staat de certificaatverlener er richting de internetgebruiker min of meer voor in dat het door hem uitgegeven certificaat inderdaad bij de betreffende domeinnaam hoort.

Vertrouwensketen van groot belang bij certificaten

Het zou niet mogelijk moeten zijn dat certificaten worden uitgegeven die doen voorkomen alsof ze bij een bepaalde domeinnaam horen, terwijl dat feitelijk niet het geval is. In dat geval kan namelijk bij bijvoorbeeld een hack dat foutieve certificaat worden ingezet en zo de hack voor de internetgebruiker maskeren. Het is dus van groot belang dat de certificaatverlener goede waarborgen bij de uitgifte van certificaten hanteert.

Voor de internetgebruiker lijkt bij een dergelijke hack alles normaal en lijkt de gehackte verbinding nog steeds versleuteld, terwijl het dataverkeer feitelijk opeens naar hele andere computers van kwaadaardige lieden wordt geleid. Oftewel: de gebruiker ziet google.com in zijn adresbalk, de browser meldt dat het beveiligingscertificaat ook bij google.com hoort, maar het verkeer gaat feitelijk naar een computer van een hacker.

Vertrouwensketen doorbroken; browsers vertrouwen certificaat niet meer

Uit de berichtgeving begrijp ik dat dit nu juist precies is wat er met certificaten van Diginotar is gebeurd. Er is kennelijk een certificaat uitgegeven door Diginotar, of door iemand die zich met succes heeft kunnen uitgeven voor Diginotar (hetgeen een lek bij Diginotar impliceert). Dit valse certificaat is vervolgens misbruikt in het afluisteren van Google Gmail.

Dit valse certificaat had nooit uitgegeven mogen worden of gegenereerd mogen kunnen worden. In reactie hierop hebben de producten van populaire browsers besloten de certificaten van Diginotar niet langer te vertrouwen.

Praktische gevolgen

Het vermoedelijke praktische gevolg hiervan is dat bezoekers die websites bezoeken die beveiligd zijn met een certificaat van Diginotar, binnenkort een waarschuwing zullen ontvangen van hun browser dat er problemen zijn met de beveiliging van de website. Browsers zullen hun gebruikers vermoedelijk ontraden verder te gaan met het bezoeken van de website.

De exploitant van de website kan op dat moment geen kant op. Het stimuleren van de internetbezoeker om de website toch via de beveiligde verbinding te bezoeken is geen alternatief, aangezien de websitehouder dan immers verkeerd gedrag (het negeren van waarschuwingen) aanleert aan de internetter. Die waarschuwing is er niet voor niets. Het andere "alternatief" is de bezoeker de website te laten bezoeken via een onversleutelde verbinding. In dat geval is het dataverkeer door de buitenwereld af te luisteren. Dat betekent een forse aanslag op het vertrouwen in de betreffende websites. Een echt alternatief is dit dus niet te noemen. Het enige reele alternatief is een (nieuw) certificaat aan te vragen bij een partij die nog wel door alle veelgebruikte browser als betrouwbaar wordt aangemerkt.

Juridische opmerkingen

Op grond van artikel 13 Wet bescherming persoonsgegevens dienen persoonsgegevens op passende wijze te worden beveiligd. Deze wet is op (nagenoeg) alle websites van toepassing, al was het maar omdat het vermelden van een naam op een website volgens het Hof van Justitie al een verwerking van persoonsgegevens is en veel websites toch in ieder geval een of meer namen zullen vermelden. Bovendien wordt bij het bezoek aan een website het IP-adres van de bezoeker (noodzakelijkerwijs) verwerkt en wordt een IP-adres (in ieder geval) [intlink id="1264" type="post"]door de toezichthouders[/intlink] als persoonsgegevens beschouwd.

Uit het rapport "Beveiliging van Persoonsgegevens" van het College Bescherming Persoonsgegevens (CBP) blijkt het college het hanteren van encryptie in het algemeen een "sterk aanbevolen maatregel" noemt. Voor gegevens met een verhoogd risico vereist het CBP dat bij "datacommunicatie via publieke netwerken, zoals internet, de persoonsgegevens (...) [worden] versleuteld alvorens deze te verzenden". Onder gegevens met een verhoogd risico worden verstaan [intlink id="4535" type="page"]bijzondere persoonsgegevens[/intlink], gegevens omtrent financiele huishouding en mogelijk stigmatiserende statische gegevens over groepen uit de bevolking.

Websitehouders zijn voor wat betreft de naleving van de verplichtingen uit de WBP zelfstandig verantwoordelijk, ook als zij daarbij de diensten van derden (zoals certificaatverleners) betrekken. Nu bekend is dat certificaten van Diginotar kennelijk niet meer door browsers worden vertrouwd, is het maar de vraag of websitehouders met een dergelijk certificaat nog wel aan de verplichtingen uit de WBP voldoen. Het dataverkeer is weliswaar nog steeds versleuteld, maar kennelijk is de mate van versleuteling niet langer te vertrouwen. Immers, mogelijk moet uit het feit dat malafide certificaten zijn uitgegeven geconcludeerd worden dat de "sleutel" niet langer geheim is. Wanneer dat het geval is, is de versleuteling die er nog wel plaatsvindt met de betreffende certificaten feitelijk waardeloos en is daarmee dus niet langer sprake van een passende beveiliging. Uitgaande van de feiten zoals ik deze tot nu toe ken en begrijp en tot er meer helderheid is over details van de kraak, doen websitehouders er vermoedelijk verstandig aan andere certificaten te gaan gebruiken.