De storing die DigiD van dinsdagmiddag tot woensdagochtend heeft geveld, komt voort uit een per abuis ingetrokken certificaat voor as.digid.nl. Daar komen gebruikers terecht voor Mijn Gegevens en voor hun belastingaangifte. Dinsdagavond heeft het ministerie van Binnenlandse Zaken gemeld dat het was opgelost, maar dat bleek te vroeg gejuicht. Gebruikers hadden woensdagochtend nog altijd problemen met inloggen op DigiD.

Certificaatprobleem

Op de homepage van de digitale identiteitsdienst stond tot woensdagmiddag nog de storingsmelding te lezen. "Vanwege een technische storing is het mogelijk dat u problemen ondervindt met DigiD. Wij doen onze uiterste best om dit zo spoedig mogelijk te verhelpen. Excuses voor enig ongemak." Sinds het begin woensdagmiddag meldt DigiD dat de storing nu echt voorbij is.

Woordvoerder Jean Fransman van Binnenlandse Zaken bevestigt dat het om een certificaatprobleem gaat. Hij stelt wel dat het onderzoek naar de oorzaak nog loopt. Dat moet ergens in de komende dagen uitsluitsel bieden. Het beheer van de certificaten ligt bij DigiD-uitvoeringsinstantie Logius, dat voorheen GBO.Overheid heette.

Zelf verlengen

De oorzaak leek aanvankelijk een verlopen SSL-certificaat, maar het blijkt om een ingetrokken certificaat te gaan. Directeur Maarten Bremer van certificatenverstrekker Xolphin vertelt dat het laten verlopen van certificaten wel vaker voorkomt, met name bij grote organisaties. "Bij grote bedrijven gaat dat wel eens mis."

Hij legt uit dat het in wezen een handmatige handeling betreft: "Je moet het zelf verlengen, en dan op de server een nieuw certificaat installeren." De verstrekker geeft de klant normaliter vooraf wel een waarschuwing dat een certificaat gaat verlopen.

Ongeldig

Een enkele DigiD-gebruiker heeft echter dinsdagmiddag al gemeld dat het certificaat is ingetrokken. Bremer van Xolphin legt uit dat dat iets heel anders betekent. Het intrekken van een certificaat kan gebeuren als een fraudeur zich daarmee voordoet als de uitbater van een website. De certificaatverstrekker maakt dan een certificaat ongeldig.

"Ik verwacht niet dat de oorzaak bij de overheid ligt", zegt Bremer dan ook. De certificaatverstrekker voor DigiD is DigiNotar. Die instantie heeft nog niet gereageerd op vragen van Webwereld over het intrekken van het DigiD-certificaat.

Bremer heeft voor Webwereld enkele certificaten van DigiD nagekeken en ziet daar inderdaad nog lopende geldigheid. De woordvoerder van Binnenlandse Zaken bevestigt aan Webwereld dat er nu bij DigiD weer een valide certificaat in gebruik is. "Het werkt weer." Hij bevestigt dat sommige gebruikers nog problemen kunnen ondervinden, maar legt uit dat dat komt doordat hun browsercache nog de niet-valide certificaatinformatie bevat.

Onveilig

De helpdesk van DigiD heeft gebruikers al aangeraden zelf een certificaat te downloaden. Enkele gebruikers komen op Twitter met de tip om de certificaatcontrole (OCSP, online certificate status protocol) uit te schakelen in de browser. Beide opties zijn vanuit security-oogpunt niet wenselijk.

Xolphin-directeur Bremer vertelt dat het DigiD-advies van handmatig downloaden het intrekken van het certificaat bevestigt. De onveiligheid van de helpdesktip valt volgens hem mee. Dat geldt niet voor de gebruikerstip om de controle in de browser uit te zetten. "Dat is geen goede optie. Hooguit tijdelijk, maar dan moet je het wel zo snel mogelijk weer aanzetten."

Lijst ingetrokken certificaten

Een andere gebruikerstip is het gebruik van Safari, op de Mac. Het gaat om een oudere versie van die Apple-browser. Bremer legt uit dat nieuwere versies van browsers automatisch een lijst van ingetrokken certificaten raadpleegt. Die zogeheten CRL (certificate revocation list) van DigiNotar is vanmorgen nog bijgewerkt. Bijkomend probleem is dat browsers die lijst in hun cache bewaren.

Strikt genomen is een website met een verlopen of ingetrokken certificaat niet als veilig te beschouwen. Dat stelt bijvoorbeeld ook Microsoft in een FAQ over certificaatfoutmeldingen door Internet Explorer.