DigiNotar certificaten

Vergelijkbare documenten
Handleiding. Certificaat installeren

Handleiding Certificaat installeren

Handleiding. Certificaat installeren

De webpagina kan niet worden weergegeven

Handleiding. Handleiding

Handleiding. Handleiding

Handleiding ALGEMENE HANDLEIDING VWORKSPACE. Versie: 1.2. Datum: 10 april Eigenaar:

HANDLEIDING EXTERNE TOEGANG CURAMARE

Handleiding: Telewerken op Windows

Handleiding Inloggen met SSL VPN

SYSTEEMVEREISTEN TRACK VERZUIM 4

Handleiding Telewerken met Windows. Inleiding. Systeemvereisten. Inhoudsopgave

Internetfilter HTTPS instellen

Handleiding. multimediafilter ISA. Windows Windows Phone Mac / Linux iphone / ipad Android

Handleiding Certificaat RDW

Versie: 1.0. Datum: 19 november Eigenaar:

Handleiding. vworkspace VGGM. Handleiding voor gebruikers.

Gebruikershandleiding. Multrix Cloud Portal

Eerste keer inloggen op het JEP portaal na migratie.

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.1 Datum Mei 2018 Afdeling Communicatie Inlichtingenbureau

Inleiding. Wil je hier meer over weten klik dan op de onderstaande link voor het introductie filmpje.

Handleiding - Mogelijke oplossingen voor problemen met het starten van Uw Online Werkplek

MS Internet Explorer (IE 11)

Informatica Pagina 1 van 13. Versiedatum 16/06//2014. Te herzien op

Thuiswerken. Auteur: Peter de Silva Datum laatste wijziging:

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.2 Datum Juli 2018 Afdeling Communicatie Inlichtingenbureau

Installatiehandleiding Silverlight

Ibis systeemvereisten

ADOBE FLASH PLAYER 10.3 Beheerprogramma voor lokale instellingen

CREËER UW EIGEN ONLINE WERKPLEK MET WORKSPACE 365

Hoe stel ik mijn favorieten en wachtwoorden veilig met LastPass en Xmarks?

Gelre thuiswerk Portal

Mijn HVW-dossier. Veel voorkomende vragen en problemen

Pagina 1 van 6. Instellen van de browser instellingen Internet Explorer 7 Engels

Installatiehandleiding KIK-Lokaal

Instructie Instellen Citrix (thuis)werkplek Detron-Online

Externe toegang met ESET Secure Authentication. Daxis Versie 2.0

Aan Hoofd ICT Securityofficer. Datum 20 oktober 2011 Betreft Vrijgeven DVS na DigiNotar incident. Geacht heer, mevrouw

Via methodewebsite www w.emma.eisma.nl of de ELO van de school

INHOUDSOPGAVE Installatie Citrix receiver... 3 Instellen Microsoft Internet Explorer... 5 Inloggen op Citrix en Vero... 10

Handleiding Leveranciersportaal

Handleiding Demo account inloggen op NDC-IT Cloud Infrastructuur

TECHNISCHE HANDLEIDING IB PORTAAL. Versie 2.3 Datum Januari 2019 Afdeling Communicatie Inlichtingenbureau

Voordat er optimaal gebruik gemaakt kan worden gemaakt van Magister 5 via het web, kan deze FAQ mogelijk van pas komen.

FAQ t.b.v. Magister & Silverlight

Documentatie. Remote Access Voorziening Etam (RAVE)

Handleiding Virtru. VIRTRU installeren KLIK HIER

DJANAH, EEN TOTAL CONVERSATION VIDEO TELEFOON IN DE WEB BROWSER TECHNISCHE EISEN VOOR TOLK OP AFSTAND OP LOCATIE, NETWERK EN COMPUTERS

HANDLEIDING Proxyinstellingen Windows OS Macintosh OS Linux OS

SYSTEEMEISEN VOOR FACET FEBR. 2013

Workaround Opstarten ClickOnce

Insecurities within automatic update systems

Systeemvereisten Track Verzuim

Net2WebServer. Installatie handleiding

Handleiding Inloggen met SSL VPN

The Nanny Personeel. Lokaal inloggen

SmartRevit SmartAssemblies Etcetera

ZorgDomein Handleiding Optimaliseren Browser Internet Explorer

Handleiding installatie en gebruik VPN

Technische instructie Toegang tot Dienstenportaal via Webapplicatie (Internet Explorer) t.b.v. Repad

Mozilla Firefox instellen als standaard webbrowser in Windows 10

Hoe uw browser configureren voor Belfius Direct Net?

Installatie en configuratie documentatie

Perceptive Process. Technische Specificaties. Versie: 3.4.x

Handleiding MOC Windows

Windows XP Migratie opties. Bart van Dijk

Qlik Sense Desktop. Qlik Sense 1.1 Copyright QlikTech International AB. Alle rechten voorbehouden.

Handleiding Online Boekhouden

uziconnect Installatiehandleiding

Introductie Werken met Office 365

MEDIAPLUS (STUDENTEN) Aan de slag met Mediaplus Mei Hogeschool VIVES Dienst Onderwijs Onderwijsmedia

Gebruiksaanwijzing Remote Backup

Deze handleiding legt uit hoe u de volgende instellingen kunt wijzigen:

Net2WebServer. Installatie handleiding

Technische eisen & Testomgeving bij klant

Online urenportal. Gebruikershandleiding voor medewerker

Perceptive Process Design & Enterprise Ondersteunde platformen

RIZIV INAMI. eid Gebruikersgids voor PC

Handleiding VITA aanpassing naar azmm.be Windows VITA. veilige internettoegang voor artsen v3.0. Link website VITA :

Installatiehandleiding Windows XP / Vista / Windows 7

Handleiding Certificaat RDW

Beginnen met businessdesk

Mozard als een service (SaaS)

DOCENTENHANDLEIDING JET-NET WEBCAST

Deel 1 Stap 1: Klik op de downloadlink om uw persoonlijke versie van de software te downloaden.

iprova Suite Systeemeisen iprova 5 Hosting

Handleiding VANAD Comvio SBC Windows

ACTUEEL: Uw speciale aandacht vragen wij voor hoofdstuk Wijzigen inlogmethodes. Datum: maandag 12 oktober 2015 Versie 1.

Handleiding TCE products XL. Click-to-dial. Juli 2016

Handleiding installatie VITA Windows VITA. veilige internettoegang voor artsen v 3.0. Link website VITA :

AdmInbox. Installatie Scan Plug-in

cbox UW BESTANDEN GAAN MOBIEL! WEBINTERFACE GEBRUIKERSHANDLEIDING

Transcriptie:

DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten worden gebruikt ter authenticatie van websites en versleuteling van (web)verkeer. Een toepassing van certificaten is bijvoorbeeld het waarborgen van de authenticiteit van websites. Bij websites die beveiligd zijn via certificaten heeft de gebruiker van de website de garantie dat daadwerkelijk gebruik gemaakt wordt van de gekozen website. Een andere toepassing van certificaten is het beveiligen van communicatie van machine naar machine (M2M). Deze vorm van communicatie vindt uitsluitend plaats tussen machines onderling. Het gaat hier bijvoorbeeld om versleutelde gegevensuitwisseling tussen servers, voor interne bedrijfsprocessen en tussen (overheids)organisaties onderling. Aanpassingen aan browsers en operating systemen Als gevolg van de recente inbraak bij DigiNotar hebben de overheid en de leveranciers van besturingssystemen en browsers het vertrouwen in alle door DigiNotar uitgegeven certificaten opgezegd. De leveranciers hebben updates van operating systemen en browsers uitgebracht waarmee de door DigiNotar uitgegeven certificaten niet langer als veilig worden beschouwd. Het gaat hier om alle door DigiNotar uitgegeven certificaten; zowel de webcertificaten als de server certificaten voor M2M communicatie. Microsoft heeft op 6 september een security update uitgebracht waarin de geldigheid van de DigiNotar certificaten voor Windows en Internet Explorer is ingetrokken. Deze patch wordt vanaf 13 september automatisch geïnstalleerd bij alle Windows systemen die geconfigureerd zijn om automatische updates te installeren. Voor andere operating systemen zoals Linux bestaat geen eenduidig mechanisme. Daarnaast is de toepassing van identieke pakketten op verschillende Linux-versies uiteenlopend. Het certificatenbeheer is hierdoor veelal applicatiespecifiek. Website certificaten In de dienstverlening naar burger wordt veelal gebruik gemaakt van websites welke zijn beveiligd met een certificaat. Na installatie van de Microsoft patch is het voor gebruikers niet langer mogelijk om deze websites te bezoeken indien voor de beveiliging gebruik gemaakt is van een DigiNotar certificaat. Internet Explorer 8 en 9 blokkeren na het installeren van de Windows patch de toegang tot deze websites volledig en geven onderstaande melding. Figuur 1 - Melding certificaat probleem in Internet Explorer 8 en 9 1

Mogelijk zullen oudere versies van Internet Explorer de volgende melding geven. In IE8 en IE9 wordt deze optie niet geboden! Figuur 2 - Melding certificaat probleem in andere versies Internet Explorer (andere browsers hebben een vergelijkbare melding) Bezoekers van met DigiNotar beveiligde websites krijgen in Internet Explorer 8 en 9, in tegenstelling tot andere browsers, niet de mogelijkheid om de website ondanks het beveiligingsprobleem alsnog te bezoeken. De onderdelen van websites welke zijn beveiligd met DigiNotar certificaten zijn na de Windows update bij gebruik van deze versies van Internet Explorer voor het aanvraagproces (sessie) dus niet meer bereikbaar. Bij gebruik van andere browsers, zoals Google Chrome, Mozilla Firefox of Safari, wordt slechts een waarschuwing gegeven dat het betreffende onderdeel gebruik maakt van een ongeldig certificaat. De gebruiker kan vervolgens er voor kiezen om de website toch te bezoeken. Impact voor burgers, bedrijven, instellingen en de gemeente Indien burgers, bedrijven of instellingen de Windows update hebben geïnstalleerd en gebruik maken van Internet Explorer 8 of 9 dan zullen zij geen websites meer kunnen bezoeken die DigiNotar certificaten gebruiken. Mocht uw gemeente bij onderdelen van de website nog gebruik maken van deze DigiNotar certificaten dan is het met het certificaat beveiligde deel van uw website, en daarmee de online dienstverlening, na de Windows update voor deze gebruikers niet meer bereikbaar. Het enige wat u als gemeente kunt doen om de online dienstverlening voor deze gebruikers weer bereikbaar te maken is het vervangen van het DigiNotar certificaat op de website. Indien burgers, bedrijven of instellingen gebruik maken van andere browsers dan Internet Explorer 8 of 9 dan zullen zij mogelijk een waarschuwing krijgen dat de onderdelen van de website die gebruik maken van Diginotar certificaten onveilig zijn. Mocht uw gemeente bij onderdelen van de website nog gebruik maken van deze DigiNotar certificaten dan krijgen burgers, bedrijven en instellingen op het met het certificaat beveiligde deel van uw website de melding dat uw website onveilig is. Het enige wat u als gemeente kunt doen om de online dienstverlening voor deze gebruikers weer veilig bereikbaar te maken is het vervangen van het DigiNotar certificaat op de website. 2

Indien binnen de gemeente de Windows update wordt geïnstalleerd dan zijn de onderdelen van websites van ketenparters welke nog gebruik maken van DigiNotar certificaten afhankelijk van de gebruikte browser niet meer bereikbaar of niet zonder beveiligingsfoutmelding bereikbaar. Mocht dit problemen geven in de bedrijfsvoering dan heeft u als gemeente twee opties om het probleem op te lossen: o Gedeeltelijk terugdraaien van de beveiligingsupdate; Als de Windows update is toegepast en er verstoringen ontstaan dan kan dit worden teruggedraaid door de DigiNotar sub-ca's uit de "Untrusted certificates" lijst te verwijderen. Daarna worden de DigiNotar certificaten door het systeem weer vertrouwd.1 Maar u creëert een beveiligingsrisico. o Geheel terugdraaien van de beveiligingsupdate; Na het de-installeren van de Microsoft patch zal Internet Explorer de DigiNotar certificaten weer vertrouwen waardoor websites die gebruik maken van deze certificaten weer werken. Het risico van het de-installeren van de beveiligingsupdate is dat ook de niet-diginotar gerelateerde zaken uit de beveiligingsupdate gede-installeerd worden. Mocht u in uw organisatie gebruik maken van mobiele diensten op bijvoorbeeld smartphones, PDA s en tablets houdt u er dan rekening mee dat de browsers op deze apparaten veelal nog niet zijn gepatched. De browsers of applicaties (denk bijvoorbeeld aan beveiligde mail) op deze apparaten blijven dus de DigiNotar certificaten vertrouwen tot het moment dat er voor deze apparaten een patch is uitgebracht. Opmerkingen 1. Ofschoon de bovenstaande work-arounds er voor zorgen dat DigiNotar certificaten binnen de gemeente blijven werken is de enige structurele oplossing uiteraard het vervangen van de DigiNotar certificaten door certificaten van een vertrouwde organisatie. Het toepassen van de work-arounds is alleen een optie als uw gemeente niet op tijd kan beschikken over vervangende certificaten en als er andere beveiligingen zijn. Bijvoorbeeld: de workaround ligt achter een firewall. 2. Het is mogelijk dat de indruk ontstaat dat de Windows beveiligingspatch de reden is dat bepaalde websites niet meer werken. Dit is uiteraard niet het geval. De oorzaak is de inbraak bij DigiNotar en de aanmaak van valse DigiNotar certificaten. De patch van Microsoft is de juiste manier om dit beveiligingsrisico te dichten. 1 Bron: govcert: http://www.govcert.nl/binaries/live/govcert/hst%3acontent/dienstverlening/kennis-en-publicaties/dossierdiginotar/microsoft-update-blokkeert-diginotar-certificaten/microsoft-update-blokkeert-diginotarcertificaten/govcert%3adocumentresource/govcert%3aresource 3

Machine naar machine communicatie (Windows) Binnen de verschillende interne bedrijfsvoeringsprocessen wordt op diverse plaatsen gebruik gemaakt van beveiligde verbindingen tussen informatiesystemen en servers. Ten aanzien van deze machine naar machine communicatie kan, na installatie van de Microsoft patch hetzelfde gedrag als met web certificaten kunnen optreden, indien voor de beveiliging van de verbindingen gebruik gemaakt wordt van DigiNotar certificaten. Tot op heden zijn er in de diverse testen die de leveranciers (Atos/Dimpact, Centric, Logica/GovUnited en PinkRoccade Local Government) hebben uitgevoerd na installatie van de Windows patch geen problemen geconstateerd bij machine naar machine verbindingen. Ten aanzien van het functioneren van de verschillende ketens is dit goed nieuws. De impact van de Windows patch op de verschillende ketens, en daarmee de bedrijfsvoering van de gemeente, zal dus naar verwachting beperkt zijn. Er kunnen wel vraagtekens worden gesteld ten aanzien van de veiligheid van de verbindingen aangezien deze in sommige gevallen zijn opgebouwd met ongeldige certificaten. Het advies om op zo kort mogelijke termijn alle DigiNotar certificaten te vervangen blijft dan ook onverkort van kracht! Machine naar machine communicatie (Linux- en aanverwante systemen) 2 Drie veelvuldig gebruikte oplossingen voor SSL-implementatie in Linux- en aanverwante systemen zijn: OpenSSL, GnuTLS en Mozilla NSS. Zowel OpenSSL als GnuTLS maken geen gebruik van standaard lijsten van vertrouwde certificaten. Sommige Linux-distributies voegen echter wel een lijst met vertrouwde certificaten toe aan de OpenSSL-packages die zij distribueren. Voor Linux platformen is de kans dat er zich, naar aanleiding van automatische updates, problemen voordoen op het gebied van M2M moeilijker in kaart te brengen dan bij Microsoft. Op basis van de gebruikte oplossingen lijkt de kans op soortgelijke problemen qua omvang en impact als bij Microsoft onwaarschijnlijk. 2 Bron: govcert: http://www.govcert.nl/dienstverlening/kennis+en+publicaties/dossier-diginotar/diginotar-certificaten-en-machine-tomachine-m2m-communicatie.html 4

Advies; Geen automatische update, maar gecontroleerd migreren VNG blijft gemeenten het advies geven om alle DigiNotar-certificaten zo snel mogelijk te vervangen en om de automatische update functie uit te schakelen. Dit geldt voor de automatische update van de Microsoft patch, maar net zo goed voor updates van andere leveranciers van besturingssystemen. Zodoende kan door gemeenten altijd een gecontroleerde migratie plaatsvinden, waarbij eerst in de eigen omgeving wordt getest. Wanneer de automatische update uitstaat kan een gecontroleerde migratie plaatsvinden. Onderstaande worden de stappen beschreven voor een gecontroleerde migratie van de DigiNotar certificaten in combinatie met de Microsoft update: 1. Lees de informatie op de website van Microsoft omtrent de patch van 13 september (http://support.microsoft.com/kb/2607712) 2. Lees de bovenstaande instructie over de uitkomsten van het testen 3. Volg de berichtgeving van uw softwareleverancier(s) 4. Voer testen (o.a. installatie Microsoft patch) uit in uw eigen omgeving en ga gecontroleerd over. Hiervoor kunnen drie maatregelen worden gehanteerd. De maatregel met het minste risico wordt eerst beschreven, die met het meeste risico als laatste. 1. Voer testen uit in uw eigen testomgeving, waarin ook ketentesten kunnen worden uitgevoerd 2. Voer de testen uit in uw eigen acceptatie omgeving 3. Voer de testen uit in uw eigen productie omgeving; bij eventuele problemen kunt u: a. De beveiligingsupdate van Microsoft gedeeltelijk terugdraaien (zie hierboven) b. De beveiligingsupdate in zijn geheel terugdraaien (zie hierboven) Belangrijkste uitgangspunt bij het testen is continue monitoring van de effecten, door applicaties en door uw medewerkers of andere deskundigen! 5

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback