|
Op de website van ABZ (de leverancier van voor de SIVI-standaarden benodigde certificaten) staat het volgende bericht te lezen:
Geachte relatie,
De leverancier van de ABZ certificaten, KPN, heeft de uitgifte van certificaten per heden hervat. KPN heeft na onderzoek vastgesteld dat er geen veiligheid issues zijn. Zie hieronder het persbericht van KPN. Wat betekent dit voor u? U kunt uw ABZ certificaat per vandaag verlengen en ophalen. Dit geldt zowel voor een Digitaal Paspoort als een Bedrijfscertificaat. Wanneer u met uw Digitaal Paspoort of uw Bedrijfscertificaat nog problemen ondervindt dan kunt u contact opnemen met de ABZ servicedesk: 0800-22 55 229. Met vriendelijke groet, ABZ Lees het persbericht van KPN
Persbericht van KPN: KPN hervat gedeeltelijk uitgifteproces veiligheidscertificaten
Nadat KPN afgelopen vrijdag uit voorzorg het hele certificaat uitgifteproces heeft stilgelegd, wordt vandaag een deel van dat proces hervat. Dat betekent dat bestaande klanten, weer bij KPN terecht kunnen voor het vernieuwen van hun veiligheidscertificaten. KPN Corporate Market zal deze klanten vandaag zoveel mogelijk actief benaderen. Bedrijven en organisaties die als nieuwe klanten op het punt staan een aanvraag in te dienen, moeten nog even geduld hebben. Naar verwachting komt de website begin volgende week online. De server van de website waar bedrijven terecht kunnen voor informatie en voor de aanvraag van certificaten wordt deze week nog onderworpen aan een aantal extra tests. De systemen waarop de bestaande veiligheidscertificaten worden beheerd zijn geheel veilig bevonden, zo blijkt na aanvullend onafhankelijk extern onderzoek dat in de afgelopen dagen is uitgevoerd. Dat onderzoek is gedaan door een team van externe specialisten die de veiligheid en ondoordringbaarheid van de productieomgeving op de proef hebben gesteld. Het gaat daarbij om een combinatie van procesbeheersing- en penetratie tests. Vorige week besloot KPN Corporate Market (voorheen Getronics) uit voorzorg het uitgifteproces voor nieuwe certificaten stil te leggen. Op dat moment kon KPN er niet voor de volle 100% zeker van zijn dat de productie omgeving van de certificaten niet "gecompromitteerd" was. Na het aanvullende onderzoek, waarbij de uitgifteomgeving dus aan diverse tests is onderworpen, is KPN daar nu wél zeker van. Het ministerie van BZK en Logius, de dienst digitale overheid, zijn nauw betrokken bij het proces. Toelichting SIVI op KPN certificaten
Zijn de bestaande KPN-certificaten nog veilig te gebruiken?KPN heeft de certificaatuitgifte stilgelegd naar aanleiding van de ontdekking dat een webserver sporen bevat die zouden kunnen duiden op misbruik, vier jaar geleden. Hoewel er geen enkele aanwijzing is dat de productieomgeving van de certificaten is gecompromitteerd, wil KPN dit met zekerheid kunnen uitsluiten, alvorens de uitgifte van certificaten te hervatten. Het is dus moeilijk in te schatten hoe groot de kans is dat de bestaande certificaten van KPN gecompromitteerd zijn. Wel kan gesteld worden dat de situatie op dit moment aanzienlijk minder ernstig lijkt dan de situatie die zich twee maanden geleden voordeed bij Diginotar; daar betrof het een recente aanval op de productieomgeving, waarbij met succes valse certificaten zijn uitgegeven. Omdat het nu een vier jaar oude aanval betreft op een webserver die bovendien niet tot de productieomgeving behoort, geeft KPN aan dat reeds uitgegeven certificaten gewoon kunnen worden gebruikt. Vooralsnog is er geen aanleiding om uit te gaan van het tegendeel, totdat het voorgenomen onderzoek anders uitwijst. Voorzover wij kunnen overzien, is er niets dat de gebruikers van bestaande certificaten zelf kunnen ondernemen om hier al eerder uitsluitsel over te krijgen. Wat zijn de gevolgen van de stilgelegde certificaatuitgifte?De beveiliging van extranetten en elektronische berichtuitwisseling in de verzekeringsbranche is gebaseerd op het gebruik van twee typen certificaten: servercertificaten aan de kant van de verzekeraar, en clientcertificaten aan de kant van de gebruiker (meestal intermediairs). De gevolgen van de stilgelegde certificaatuitgifte betreffen in beginsel niet zozeer de veiligheid, alswel de beschikbaarheid van extranetten en elektronische berichtendiensten in de verzekeringsbranche. ServercertificatenVerzekeraars gebruiken servercertificaten van verschillende leveranciers. Deze leveranciers zijn zelf ook weer afhankelijk van certificatenleveranciers. Veel verzekeraars gebruiken certificaten die direct of indirect geleverd zijn door KPN. Zolang KPN de certificaatuitgifte niet hervat, kunnen deze certificaten niet verlengd worden, en kunnen er geen nieuwe certificaten worden aangevraagd. KPN heeft niet aangegeven wanneer het de certificaatuitgifte zal hervatten, maar het lijkt niet waarschijnlijk dat dit deze week nog zal gebeuren. ClientcertificatenIn de verzekeringsbranche worden voor de beveiliging van extranetten en elektronische berichtuitwisseling alleen clientcertificaten gebruikt van ABZ: het Digitaal Paspoort en het ABZ Bedrijfscertificaat. KPN is de leverancier van certificaten aan ABZ, dus zolang KPN geen certificaten uitgeeft, kan ABZ deze certificaten in principe ook niet uitgeven. In principe, want ABZ zoekt in overleg met KPN naar een oplossing die ABZ in staat stelt toch certificaten uit te geven, ondanks de stillegging van de certificaatuitgifte door KPN. Het is op dit moment echter nog niet duidelijk of en hoe snel deze oplossing gerealiseerd zal worden. Wel is duidelijk dat ABZ zonder die oplossing (net als KPN) deze week geen clientcertificaten uit zou kunnen geven, met als gevolg dat de aanvraag van nieuwe ABZ clientcertificaten en de verlenging van bestaande ABZ clientcertificaten niet mogelijk is, en dat ingetrokken clientcertificaten niet kunnen worden geheractiveerd. Bottom lineEr is nog geen aanleiding om te vermoeden dat de bestaande KPN-certificaten gecompromitteerd zijn. Totdat KPN de certificaatuitgifte hervat, kunnen certificaten die (direct of indirect) door KPN zijn geleverd in principe niet worden verlengd en is de aanvraag van nieuwe certificaten niet mogelijk. Sommige leveranciers van KPN-certificaten, zoals ABZ, zoeken naar oplossingen om toch voor die tijd al verlengingen en nieuwe aanvragen mogelijk te maken. Voorbeeldberichten: De SIVI Voorbeeldberichten zijn uitgebreid met berichten voor schadeafwikkeling. De volgende voorbeeldberichten zijn in het zip-bestand opgenomen:
U kunt het bericht 'Voorbeeldberichten Schadeafwikkeling' downloaden via de download pagina. SIVI Voorbeeldberichten zijn uitgebreid met de SEPA gegevens BIC, IBAN en Incassomachtiging. De specificaties van deze berichten (in PDF en XML-Schema formaat) kunt u downloaden van de SIVI download pagina. |
|
|
Maandagmorgen heeft KPN (v.h. Getronics) de uitgifte van PKI-certificaten stilgelegd, vanwege een inbreuk in het verleden op een webserver. Hoewel het op dit moment moeilijk is de consequenties goed in te schatten, wordt hierna geprobeerd wat licht te werpen op de veiligheid van bestaande certificaten en de gevolgen van de stilgelegde certificaatuitgifte.