Prinsjesdag voor internetvrijheid?

Regering pleit internationaal voor herziening certificaatsysteem

Bits of Freedom zoekt gepassioneerde en ambitieuze jurist [vacature]
DOSSIER: Versleuteling

Het certificaatsysteem is inherent onveilig, zo bleek weer uit het Diginotar-debacle. Internetters moeten honderden certificaatverstrekkers vertrouwen, maar dat vertrouwen is niet altijd terecht. We riepen de overheid daarom op om te stimuleren dat het certificaatsysteem zo snel mogelijk wordt herzien. En onze oproep had succes: de regering kondigt aan dat ze op internationaal niveau zal pleiten voor een herziening van het certificaatsysteem.

In onze brief van 13 september 2011 aan het parlement gingen wij in op de achterliggende problemen van het Diginotar-debacle. We drukten de regering op het hart dat meer toezicht niet zou helpen, want toezicht blijft beperkt tot Nederland, terwijl de betrouwbaarheid van het certificaatsysteem afhankelijk is van honderden bedrijven in andere landen. In plaats daarvan moet de overheid de herziening van het certificaatsysteem op internationaal niveau stimuleren, door de urgentie te benadrukken en door wetenschappelijk onderzoek te financieren.

En dat heeft gewerkt. De regering schrijft in een brief aan de kamer over Diginotar (PDF) dat het de ervaringen van de DigiNotar problematiek actief zal uitdragen in het internationale CERT-netwerk waar Govcert.nl deel van uitmaakt en de Europese ministerraad en te bewerkstellingen dat structurele verbeteringen op systeemniveau plaatsvinden. We hopen natuurlijk dat ze dat gaat “bewerkstelligen” door middel van wetenschappelijk onderzoek – en het parlement zou dit nog eens kunnen benadrukken.

In de brief kondigt de regering een “meldplicht voor ICT incidenten voor organisaties die cruciale maatschappelijke functies vervullen” aan – dus naast een meldplicht lekken, ook een soort meldplicht ‘hacken’ voor kritieke infrastructuur. Dat is een positieve ontwikkeling, die een belangrijke bijdrage kan leveren aan de veiligheid van internetters. Juist doordat Diginotar de inbraak weken geheim hield, zijn immers honderdduizenden internetters in Iran afgeluisterd. Wat vinden jullie dat in zo’n meldplicht voor inbraken op kritieke infrastructuur zou moeten staan? En wat zou er niet onder moeten vallen?

  1. Karin Spaink

    Er wordt al langer nagedacht over het certificatenprobleem, de overheid kan zich beter aansluiten bij die initiatieven in plaats van zelf het wiel te gaan uitvinden. Een goede expert is Paul Wouters, die inmiddels in Canada woont en werkt: Zijn bedrijf Xelerance ontwikkelt DNSSEC.

  2. Ot van Daalen

    @Karin Spaink: We zijn het met je eens dat de overheid het wiel niet moet proberen opnieuw uit te vinden. De overheid heeft die ambitie ook niet, zo maak ik op uit de brief. Ze lijkt slechts in internationaal verband als ‘ervaringsdeskundige’ het belang hiervan te gaan benadrukken.

  3. Anonymous

    Net het nieuws gehoord dat Diginotar failliet is.

  4. Anonymous

    Het briefgeheim lijkt nog intact en de enige manier om vertrouwelijke zaken zeker te versturen. Net als we met podlood stemmen omdat de stemcomputers niet te vertrouwen waren. Het moet weer een recht worden om zaken op papier / per post te kunnen afhandelen.

  5. Ad Lagendijk

    Certificaten zijn gebaseerd op een vrijwillige afspraak (http://tools.ietf.org/html/rfc5280). Politieke interventie is een heilloze weg. Certificaten hebben een tweeledig doel: (i) authentificatie en (ii) het kunnen versleutelen van de internetverbinding. Bij alle certificaten werkt (ii). Als je – zoals bijv. alle Nederlandse banken doen – je je cerificaat bij VeriSign koopt, lijkt (i) ook gewaarborgd. Als je meer zekerheid over de identiteit van een website(eigenaar) wil hebben, moet je wel het wiel uitvinden en je eigen certificaten maken.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.