Anderhalve week na de uitbraak van de acute DigiNotar-crisis bij de Nederlandse overheid, zijn er nog steeds ruim 300 sites met onveilig geachte DigiNotar certificaten. Dat blijkt uit een actuele lijst samengesteld door security- en SSL-certificaatbedrijf Networking4all.

Gisteravond werd de Microsoftpatch die DigiNotar in de ban doet alsnog automatisch uitgerold, tenzij systeembeheerders de automatische update uit hebben gezet. Verschillende overheidsdiensten zoals de Vereniging van Nederlandse Gemeenten (VNG) en Govcert hamerden er de afgelopen dagen op om de update vooral niet te installeren voordat alle systemen DigiNotarvrij zijn.

Terug naar papier en loket

Mede daardoor lijkt van digitale 'black out' bij overheidsdiensten vooralsnog geen sprake te zijn, al moeten wel veel organisaties terugvallen op offline dienstverlening.

“Onze algemene indruk is tot nu toe is dat zich geen grote problemen voordoen. De dienstverlening van gemeenten is niet in gevaar. Burgers kunnen altijd bellen, faxen, schrijven of langskomen aan het loket", meldt de VNG bij monde van woordvoerder Gjalt Rameijer.

Het Ministerie van Binnenlandse Zaken (BZK) heeft “nog geen beeld" of de situatie na gisteravond drastisch is veranderd of verslechterd. Later vandaag zal BZK met meer informatie komen.

AIVD worstelt met DigiNotar

Het overzetten van de certificaten gaat echter zeer traag. Zo meldt bijvoorbeeld de inlichtingendienst AIVD dat er “vertraging is opgetreden bij de aanvraag van een nieuw certificaat". De afgelopen dagen gaf https://www.aivd.nl de inmiddels welbekende waarschuwing in de browser.

“Er is verder niks aan de hand, maar dat is natuurlijk wel een beetje raar", erkent Susanne Scholten, woordvoerster van de AIVD. Inmiddels is het foute certificaat uitgeschakeld, en redirect de https site nu naar het reguliere, onversleutelde domein.

Vertraging vooral bij aanvragers

Verschillende certificaatautoriteiten (CA's) melden dat ze geen probleem hebben om aan de plotselinge explosie van certificaataanvragen te voldoen. “Wij hebben het waanzinnig druk, maar er is op dit moment geen stuwmeer. Als de aanvragers hun documentatie op orde hebben kan zelfs een PKIoverheid certificaat binnen twee dagen rond zijn", vertelt Patrick Beckman Lapré, manager bij QuoVadis, een van de gemachtigde uitgevers van PKIoverheid certificaten.

Bekend is wel dat juist bij de aanvragers van alles mis gaat, van onvolledige of onjuiste documentatie tot het mislopen van de verplichte face-to-face afspraak met de gemachtigde om de aanvraag te autoriseren. Logius wijst er expliciet op dat deze ambtenaar paraat moet staan, ook buiten kantoortijden.

Dubieus advies Logius

Opmerkelijk is dat Logius migrerende organisaties adviseert om ook voor hun commerciële certificaten te kiezen voor een verstrekker die onder OPTA-toezicht staat. Juist vandaag beëindigde OPTA de registratie van DigiNotar. Dat betekent dat er nog maar vier aanbevolen CA's over zijn, precies dezelfde die ook gemachtigd zijn om PKIoverheid certificaten uit te geven: Getronics, QuoVadis, ESG en Digidentity.

Dit advies werkt nieuwe bottlenecks in de hand, zowel in de stroom nieuwe aanvragen als vanuit securityperspectief, constateert Paul van Brouwershaven, cto van Networking4all.

“DigiNotar stond ook onder toezicht van de OPTA. Heeft dat veel geholpen? Op deze manier zitten we dadelijk weer allemaal in hetzelfde schuitje als het misgaat, en moet weer half Nederland z'n certificaten vervangen", aldus Van Brouwershaven. Hij pleit er juist voor dat organisaties hun certificaten spreiden over verschillende aanbieders, zodat er geen achilleshiel ontstaat.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.