DigiNotar
Tja, dan heb je een paar CA’s, en geef je certificaten uit, en dan blijkt dat je website al jarenlang zo lek als een mandje is. Je weet dat er is ingebroken (fail #1) en dat er een aantal onrechtmatige certificaten zijn aangemaakt. Je kijkt een beetje welke dat zijn geweest (fail #2) en blokkeert die. Omdat je niet zeker weet of je alles hebt, doe je een steekproef, waaruit blijkt dat je ze wel zo’n beetje allemaal hebt (fail #3). En vanzelfsprekend hou je dat stil (fail #4). Totdat in het nieuws komt dat je er (tenminste) één over het hoofd hebt gezien, waardoor Iran lekker Gmail van zijn onderdanen kan afluisteren…
Browserfabrikanten doen het enige juiste: ze verwijderen de CA van DigiNotar, omdat die niet meer te vertrouwen is.
Je stapt over op “damage control” en meldt dat de meeste certificaten die je hebt uitgegeven wel in orde zijn, en dat mensen die vanaf nu een waarschuwing zien (omdat de CA niet meer vertrouwd is), die melding maar even moeten negeren (fail #5). En je gaat gratis nieuwe certificaten aanbieden op basis van de PKIoverheid CA (fail #6).
Waarom is DigiNotar Brakke Troep ™? Dat leg ik even uit aan de hand van de fails hierboven genoemd.
Fail #1: als je certificaten uitdeelt via een website, dan zorg je er tenminste voor dat een inbraak wordt herkend vóórdat er misbruik van kan worden gemaakt. Een goede IPS zou afwijkend verkeer herkend en geblokkeerd hebben.
Fail #2: je logt alles, zodat je na een eventuele inbraak exact kunt zien welke certificaten je moet intrekken.
Fail #3: als je niet zeker bent of je alles hebt, dan zoek je dat tot de laatste bit uit, niet via een of andere steekproef. (DigiNotar heeft het zelf over een “audit”, maar die was klaarblijkelijk niet compleet.)
Fail #4: men moet je kunnen vertrouwen. Dat is de basis van het hele certificaten-verhaal. Een doofpot kan dus niet, hiermee geef je aan dat je niet te vertrouwen bent.
Fail #5: aanraden om een waarschuwing over een onvertrouwde CA te negeren, is uit den boze. Certificaten zijn alleen maar te vertrouwen als de uitgever (danwel de CA) te vertrouwen is.
Fail #6: de CA voor PKIoverheid (“Staat der Nederlanden”) moet je niet voor een ander doel inzetten, en zeker niet voor het doel waar het eerder al misging. Gaat het ook bij deze CA mis, dan is zo’n beetje alles van de Staat der Nederlanden niet langer betrouwbaar!
DigiNotar heeft duidelijk laten blijken dat ze er echt helemaal niets van begrijpen. Het zou de politiek dan ook sieren als ze DigiNotar laten vallen als een baksteen. De markt (met voorop de browserfabrikanten) doet dat al…
En, vanzelfsprekend, de Brakke Troep-award: diginotar.brakketroep.nl!
Edit: Nóg een fail… Nadat op 19 juli de hack was ontdekt, zijn er op 20 juli nog nieuwe onterechte certificaten aangemaakt.
Edit 2: Helder (en iets genuanceerder) verhaal hier.
Edit 3: De overheid heeft DigiNotar laten vallen. Goed zo jongens.