DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten worden gebruikt ter authenticatie van websites en versleuteling van (web)verkeer. Een toepassing van certificaten is bijvoorbeeld het waarborgen van de authenticiteit van websites. Bij websites die beveiligd zijn via certificaten heeft de gebruiker van de website de garantie dat daadwerkelijk gebruik gemaakt wordt van de gekozen website. Een andere toepassing van certificaten is het beveiligen van communicatie van machine naar machine (M2M). Deze vorm van communicatie vindt uitsluitend plaats tussen machines onderling. Het gaat hier bijvoorbeeld om versleutelde gegevensuitwisseling tussen servers, voor interne bedrijfsprocessen en tussen (overheids)organisaties onderling. Aanpassingen aan browsers en operating systemen Als gevolg van de recente inbraak bij DigiNotar hebben de overheid en de leveranciers van besturingssystemen en browsers het vertrouwen in alle door DigiNotar uitgegeven certificaten opgezegd. De leveranciers hebben updates van operating systemen en browsers uitgebracht waarmee de door DigiNotar uitgegeven certificaten niet langer als veilig worden beschouwd. Het gaat hier om alle door DigiNotar uitgegeven certificaten; zowel de webcertificaten als de server certificaten voor M2M communicatie. Microsoft heeft op 6 september een security update uitgebracht waarin de geldigheid van de DigiNotar certificaten voor Windows en Internet Explorer is ingetrokken. Deze patch wordt vanaf 13 september automatisch geïnstalleerd bij alle Windows systemen die geconfigureerd zijn om automatische updates te installeren. Voor andere operating systemen zoals Linux bestaat geen eenduidig mechanisme. Daarnaast is de toepassing van identieke pakketten op verschillende Linux-versies uiteenlopend. Het certificatenbeheer is hierdoor veelal applicatiespecifiek. Website certificaten In de dienstverlening naar burger wordt veelal gebruik gemaakt van websites welke zijn beveiligd met een certificaat. Na installatie van de Microsoft patch is het voor gebruikers niet langer mogelijk om deze websites te bezoeken indien voor de beveiliging gebruik gemaakt is van een DigiNotar certificaat. Internet Explorer 8 en 9 blokkeren na het installeren van de Windows patch de toegang tot deze websites volledig en geven onderstaande melding.
Figuur 1 - Melding certificaat probleem in Internet Explorer 8 en 9
1
Mogelijk zullen oudere versies van Internet Explorer de volgende melding geven.
In IE8 en IE9 wordt deze optie niet geboden!
Figuur 2 - Melding certificaat probleem in andere versies Internet Explorer (andere browsers hebben een vergelijkbare melding)
Bezoekers van met DigiNotar beveiligde websites krijgen in Internet Explorer 8 en 9, in tegenstelling tot andere browsers, niet de mogelijkheid om de website ondanks het beveiligingsprobleem alsnog te bezoeken. De onderdelen van websites welke zijn beveiligd met DigiNotar certificaten zijn na de Windows update bij gebruik van deze versies van Internet Explorer voor het aanvraagproces (sessie) dus niet meer bereikbaar. Bij gebruik van andere browsers, zoals Google Chrome, Mozilla Firefox of Safari, wordt slechts een waarschuwing gegeven dat het betreffende onderdeel gebruik maakt van een ongeldig certificaat. De gebruiker kan vervolgens er voor kiezen om de website toch te bezoeken. Impact voor burgers, bedrijven, instellingen en de gemeente Indien burgers, bedrijven of instellingen de Windows update hebben geïnstalleerd en gebruik maken van Internet Explorer 8 of 9 dan zullen zij geen websites meer kunnen bezoeken die DigiNotar certificaten gebruiken. Mocht uw gemeente bij onderdelen van de website nog gebruik maken van deze DigiNotar certificaten dan is het met het certificaat beveiligde deel van uw website, en daarmee de online dienstverlening, na de Windows update voor deze gebruikers niet meer bereikbaar. Het enige wat u als gemeente kunt doen om de online dienstverlening voor deze gebruikers weer bereikbaar te maken is het vervangen van het DigiNotar certificaat op de website. Indien burgers, bedrijven of instellingen gebruik maken van andere browsers dan Internet Explorer 8 of 9 dan zullen zij mogelijk een waarschuwing krijgen dat de onderdelen van de website die gebruik maken van Diginotar certificaten onveilig zijn. Mocht uw gemeente bij onderdelen van de website nog gebruik maken van deze DigiNotar certificaten dan krijgen burgers, bedrijven en instellingen op het met het certificaat beveiligde deel van uw website de melding dat uw website onveilig is . Het enige wat u als gemeente kunt doen om de online dienstverlening voor deze gebruikers weer veilig bereikbaar te maken is het vervangen van het DigiNotar certificaat op de website.
2
Indien binnen de gemeente de Windows update wordt geïnstalleerd dan zijn de onderdelen van websites van ketenparters welke nog gebruik maken van DigiNotar certificaten afhankelijk van de gebruikte browser niet meer bereikbaar of niet zonder beveiligingsfoutmelding bereikbaar. Mocht dit problemen geven in de bedrijfsvoering dan heeft u als gemeente twee opties om het probleem op te lossen: o Gedeeltelijk terugdraaien van de beveiligingsupdate; Als de Windows update is toegepast en er verstoringen ontstaan dan kan dit worden teruggedraaid door de DigiNotar sub-CA's uit de "Untrusted certificates" lijst te verwijderen. Daarna worden de DigiNotar certificaten door het systeem weer vertrouwd.1 Maar u creëert een beveiligingsrisico. o
Geheel terugdraaien van de beveiligingsupdate; Na het de-installeren van de Microsoft patch zal Internet Explorer de DigiNotar certificaten weer vertrouwen waardoor websites die gebruik maken van deze certificaten weer werken. Het risico van het de-installeren van de beveiligingsupdate is dat ook de niet-DigiNotar gerelateerde zaken uit de beveiligingsupdate gede-installeerd worden.
Mocht u in uw organisatie gebruik maken van mobiele diensten op bijvoorbeeld smartphones, PDA’s en tablets houdt u er dan rekening mee dat de browsers op deze apparaten veelal nog niet zijn gepatched. De browsers of applicaties (denk bijvoorbeeld aan beveiligde mail) op deze apparaten blijven dus de DigiNotar certificaten vertrouwen tot het moment dat er voor deze apparaten een patch is uitgebracht.
Opmerkingen 1. Ofschoon de bovenstaande work-arounds er voor zorgen dat DigiNotar certificaten binnen de gemeente blijven werken is de enige structurele oplossing uiteraard het vervangen van de DigiNotar certificaten door certificaten van een vertrouwde organisatie. Het toepassen van de work-arounds is alleen een optie als uw gemeente niet op tijd kan beschikken over vervangende certificaten en als er andere beveiligingen zijn. Bijvoorbeeld: de workaround ligt achter een firewall. 2. Het is mogelijk dat de indruk ontstaat dat de Windows beveiligingspatch de reden is dat bepaalde websites niet meer werken. Dit is uiteraard niet het geval. De oorzaak is de inbraak bij DigiNotar en de aanmaak van valse DigiNotar certificaten. De patch van Microsoft is de juiste manier om dit beveiligingsrisico te dichten.
1
Bron: govcert: http://www.govcert.nl/binaries/live/govcert/hst%3Acontent/dienstverlening/kennis-en-publicaties/dossierdiginotar/microsoft-update-blokkeert-diginotar-certificaten/microsoft-update-blokkeert-diginotarcertificaten/govcert%3AdocumentResource/govcert%3Aresource
3
Machine naar machine communicatie (Windows) Binnen de verschillende interne bedrijfsvoeringsprocessen wordt op diverse plaatsen gebruik gemaakt van beveiligde verbindingen tussen informatiesystemen en servers. Ten aanzien van deze machine naar machine communicatie kan, na installatie van de Microsoft patch hetzelfde gedrag als met web certificaten kunnen optreden, indien voor de beveiliging van de verbindingen gebruik gemaakt wordt van DigiNotar certificaten. Tot op heden zijn er in de diverse testen die de leveranciers (Atos/Dimpact, Centric, Logica/GovUnited en PinkRoccade Local Government) hebben uitgevoerd na installatie van de Windows patch geen problemen geconstateerd bij machine naar machine verbindingen. Ten aanzien van het functioneren van de verschillende ketens is dit goed nieuws. De impact van de Windows patch op de verschillende ketens, en daarmee de bedrijfsvoering van de gemeente, zal dus naar verwachting beperkt zijn. Er kunnen wel vraagtekens worden gesteld ten aanzien van de veiligheid van de verbindingen aangezien deze in sommige gevallen zijn opgebouwd met ongeldige certificaten. Het advies om op zo kort mogelijke termijn alle DigiNotar certificaten te vervangen blijft dan ook onverkort van kracht! Machine naar machine communicatie (Linux- en aanverwante systemen)2 Drie veelvuldig gebruikte oplossingen voor SSL-implementatie in Linux- en aanverwante systemen zijn: OpenSSL, GnuTLS en Mozilla NSS. Zowel OpenSSL als GnuTLS maken geen gebruik van standaard lijsten van vertrouwde certificaten. Sommige Linux-distributies voegen echter wel een lijst met vertrouwde certificaten toe aan de OpenSSL-packages die zij distribueren. Voor Linux platformen is de kans dat er zich, naar aanleiding van automatische updates, problemen voordoen op het gebied van M2M moeilijker in kaart te brengen dan bij Microsoft. Op basis van de gebruikte oplossingen lijkt de kans op soortgelijke problemen qua omvang en impact als bij Microsoft onwaarschijnlijk.
2
Bron: govcert: http://www.govcert.nl/dienstverlening/Kennis+en+publicaties/dossier-diginotar/diginotar-certificaten-en-machine-tomachine-m2m-communicatie.html
4
Advies; Geen automatische update, maar gecontroleerd migreren VNG blijft gemeenten het advies geven om alle DigiNotar-certificaten zo snel mogelijk te vervangen en om de automatische update functie uit te schakelen. Dit geldt voor de automatische update van de Microsoft patch, maar net zo goed voor updates van andere leveranciers van besturingssystemen. Zodoende kan door gemeenten altijd een gecontroleerde migratie plaatsvinden, waarbij eerst in de eigen omgeving wordt getest. Wanneer de automatische update uitstaat kan een gecontroleerde migratie plaatsvinden. Onderstaande worden de stappen beschreven voor een gecontroleerde migratie van de DigiNotar certificaten in combinatie met de Microsoft update: 1. Lees de informatie op de website van Microsoft omtrent de patch van 13 september (http://support.microsoft.com/kb/2607712) 2. Lees de bovenstaande instructie over de uitkomsten van het testen 3. Volg de berichtgeving van uw softwareleverancier(s) 4. Voer testen (o.a. installatie Microsoft patch) uit in uw eigen omgeving en ga gecontroleerd over. Hiervoor kunnen drie maatregelen worden gehanteerd. De maatregel met het minste risico wordt eerst beschreven, die met het meeste risico als laatste. 1. Voer testen uit in uw eigen testomgeving, waarin ook ketentesten kunnen worden uitgevoerd 2. Voer de testen uit in uw eigen acceptatie omgeving 3. Voer de testen uit in uw eigen productie omgeving; bij eventuele problemen kunt u: a. De beveiligingsupdate van Microsoft gedeeltelijk terugdraaien (zie hierboven) b. De beveiligingsupdate in zijn geheel terugdraaien (zie hierboven)
Belangrijkste uitgangspunt bij het testen is continue monitoring van de effecten, door applicaties en door uw medewerkers of andere deskundigen!
5