De gisteravond uitgebrachte update moest eigenlijk niet automatisch worden geïnstalleerd op Nederlandse computers. Dat heeft Microsoft gedaan “op nadrukkelijk verzoek van de Nederlandse overheid". Overheidssites en -diensten - zowel onderling als naar burgers toe - zouden namelijk vastlopen als op het veelgebruikte Windows ineens alle DigiNotar-certificaten ongeldig zouden zijn. Het massaal afstappen van die niet langer te vertrouwen beveiligingscertificaten neemt namelijk enige tijd in beslag.

Toch automatisch

Gisteravond laat dook een eerste melding op dat de update tóch automatisch is gepushed. Het is nog niet duidelijk of die Nederlandse gebruiker het had over het aanbieden van de update, of ook het installeren ervan. In het laatste geval is de update standaard al aangevinkt zodat het meegaat in de automatische installatie van patches.

Een test door Webwereld op een privé-pc bevestigt deze melding en wel wat de daadwerkelijke installatie betreft. Op die thuiscomputer met Windows XP wordt de DigiNotar-update aangeboden waarbij de patch dus ook al is aangevinkt. Automatische installatie van de update vindt op die machine dus plaats, ook voor deze update die voor Nederland juist niet 'op de automaat' staat.

Andere pc weer niet

Een tweede test op een andere privé-pc levert echter wel de update op, maar dan weer niet reeds aangevinkt. Op die Windows 7-computer wordt de update wel aangeboden, maar dan als optionele update. Beide privé-pc's staan in Nederland en zijn met internet verbonden via een (en hetzelfde) ip-adres dat te boek staat als Nederlands.

Vragen van Webwereld aan Microsoft leveren het antwoord op dat het bedrijf ip-adressen gebruikt om te bepalen of een pc 'Nederlands' is. Blokken (ranges) van ip-adressen worden op basis van isp's en uitgifte van adressen gekoppeld aan landen. “De ip-ranges zijn de belangrijkste indicator om te bepalen in welk land een computer zich bevindt", laat Hans Bos van Microsoft Nederland weten.

Foutmarge

Op de vraag welke indicatoren er nog meer meespelen, moet hij het antwoord schuldig blijven. Hij geeft wel aan dat er een mogelijke foutmarge is. “In de Bos Atlas zijn er hele duidelijke grenzen tussen landen, op internet zijn die er niet." Het is onbekend hoe groot die foutmarge is. Bos vertelt dat er “geen enkele indicatie is" dat er sprake is van een misstand. De uitrol van de update verloopt “binnen de verwachtingen".

Hij wijst er nog op dat er een belangrijk verschil is, qua semantiek, tussen 'automatisch aanbieden' en 'automatisch installeren'. Eerstgenoemde is namelijk wél aan de orde voor Nederland, het tweede juist niet. Bos voegt toe dat het uitzonderlijk is dat 'Nederlanders in Nederland' de melding van de update überhaupt al te zien krijgen, wat de rest van de wereld niet eens heeft. Daar komt deze kritieke security-update gelijk automatisch binnen (geïnstalleerd).

Kwestie van land?

De door Webwereld geteste XP-machine staat qua taal ingesteld op Nederlands, de 7-pc op Engels. De sleutel van de XP-installatie is van origine afkomstig uit de Verenigde Staten. Mogelijk ligt het dus aan de oorsprong van de Windows-sleutel. Microsoft kan hier geen uitsluitsel over geven.

Deze mogelijke verklaring voor het doorsijpelen van de voor Nederland geweerde DigiNotar-patch is ook elders opgemerkt. Een Nederlandse ict'er vraagt zich op Twitter af of Amerikaanse en Britse installaties van Windows de update niet toch automatisch geïnstalleerd krijgen.

Al aangevinkt

Hij vertelt aan Webwereld dat de bewuste update automatisch voor hem klaarstond. Dat betreft dus automatisch aangeboden én “aangegeven als automatische update (aangevinkt)". In dit geval is het een Nederlandse installatie van Windows 7. De installatie van de certificatenupdate is bij hem niet doorgekomen omdat hij Microsofts gratis beheertool WSUS (Windows Software Update Services) gebruikt.

Vragen van Webwereld aan GovCERT hebben nog geen reactie opgeleverd. Ondertussen meldt dat beveiligingsorgaan van de Nederlandse overheid wel dat de DigiNotar-update van Microsoft beschikbaar is, en dat die voor Nederland niet verplicht is maar optioneel wordt aangeboden. Dat blijkt dus niet volledig te kloppen.

Vooruitziende blik VNG?

De Vereniging Nederlandse Gemeenten (VNG) heeft gisternamiddag nog een waarschuwing afgegeven voor de om 19:00 uitkomende DigiNotar-patch. De club van gemeenten gaf beheerders het advies de Windows-functie 'automatische update' uit te zetten. “Neem geen risico."

VNG verklaart nu in een toelichting aan Webwereld dat die waarschuwing bedoeld was voor volgende week. Dan wordt de update namelijk wél automatisch geïnstalleerd. Vanaf vandaag gaat de VNG zelf tests uitvoeren en beheerders bij gemeenten informeren over eventuele problemen die optreden door de gecorrigeerde certificatenlijst.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.