Mozilla is gevraagd certificaatautoriteit Nederlandse Staat niet te vertrouwen
Mozilla is gevraagd het vertrouwen in de rootcertificaatautoriteit Staat der Nederlanden op te zeggen vanwege de komst van de nieuwe Wet op de inlichtingendiensten. De 'overheids-CA' zou man-in-the-middle-aanvallen mogelijk maken.
Op Bugzilla van Mozilla is een ticket aangemaakt met het verzoek het vertrouwen in de certificaatautoriteit Staat der Nederlanden op te zeggen. De indiener van het verzoek, Cris van Pelt, stelt dat de certificaatautoriteit net als de AIVD onder het ministerie van Binnenlandse Zaken valt en dat daarom het vertrouwen van de CA niet meer gepast is.
Hij verwijst daarbij naar de nieuwe Wet op de inlichtingen- en veiligheidsdiensten, die op 1 januari 2018 ingaat en die de Nederlandse inlichtingendienst de bevoegdheid geeft om kabelgebonden verkeer af te tappen. "Met name artikel 45 1.b geeft expliciet de bevoegdheid om met valse sleutels in systemen van derde partijen binnen te dringen."
Overigens staat in artikel 24 van de huidige wet al een vergelijkbare passage, inclusief de term 'valse sleutels', alleen wordt in de huidige wet gesproken van 'binnendringen', en in is in de nieuwe wet ook de tekst 'of door tussenkomst van het geautomatiseerd werk binnendringen' toegevoegd. Daarmee krijgt de AIVD de bevoegdheid om via-via systemen te hacken.
Firefox voegde 'Staat der Nederlanden' in 2005 toe; Nederland was toen het eerste land dat zijn eigen rootcertificaatautoriteit aan een grote browser toevoegde. De autoriteit valt onder de dienst PKIoverheid van Logius. Voorlopig gaat het alleen nog om een ticket met een verzoek; het team van Mozilla heeft nog geen reactie gegeven.
Update 20/11/2017:
Mozilla trekt vertrouwen in certificaatautoriteit Staat der Nederlanden niet in.
Mozilla onderneemt geen actie tegen rootcertificaatautoriteiten van overheden zoals die van de Staat der Nederlanden. De klacht was dat de overheid deze kan misbruiken voor man-in-the-middle-aanvallen, maar volgens Mozilla is hier geen bewijs voor.
Mozilla-ontwikkelaar Gervase Markham heeft het ticket op Bugzilla met het verzoek het vertrouwen in de Staat der Nederlanden-certificaatautoriteit op te zeggen afgehandeld en deze van het stempel 'won't fix' voorzien. In de toelichting meldt hij dat er geen bewijs, verklaring of indicatie is dat een overheid zijn certificaatautoriteit in zal zetten om man-in-the-middle-aanvallen op ssl-verbindingen in te zetten. "Ik denk dat we geen actie tegen ca's van overheden moeten nemen, simpelweg omdat ze surveillancewetten doorvoeren", schrijft Markham.
Volgens de ontwikkelaar leidt uitsluiting van overheids-ca's er toe dat overheden minder transparant zullen zijn over wat inlichtingendiensten mogen en of ze invloed kunnen uitoefenen op hun certificaatautoriteiten. Daarnaast is hij van mening dat het steeds moeilijker wordt om misbruik te maken met ca's omdat de trend is dat er meer transparantie en verantwoording is.
Aan het besluit om geen actie te ondernemen ging een discussie vooraf tussen de oorspronkelijke indiener van het ticket, Chris van Pelt, en Mark Janssen van Logius, dat verantwoordelijk is voor de PKIOverheiddienst die de Staat der Nederlanden uitgeeft. Volgens Van Pelt zijn de zorgen dat het toezicht op PKIOverheid minimaal is, in combinatie met de intentie om communicatie te onderscheppen en de bevoegdheden van de Wiv om hier 'valse sleutels' voor in te zetten.
Janssen beargumenteert dat een onafhankelijke auditinstantie toezicht houdt op het ondertekenen van certificaten en dat de schade voor PKIOverheid zo groot zou zijn bij het intrekken van het vertrouwen, dat misbruik niet aan de orde zou zijn.
bewerkt door Trizomu
Door Trizomu (bewerkt)
-
1
Aanbevolen reactie
Doe je mee?
Je kunt nu een bericht plaatsen en je later registeren. Als je al een account hebt, kun je je hier aanmelden.
Note: Your post will require moderator approval before it will be visible.