Weer gedoe bij leverancier overheidscertificaten

Voor de derde keer op rij is een leverancier van certificaten voor overheidswebsites in opspraak geraakt. Na Diginotar en KPN Corporate Market is het nu de beurt aan KPN-dochter Gemnet om met schaamrood op de kaken te bevestigen dat een bij de certificatendienst horende webserver gehackt is.

Bij Gemnet bood een beheerpagina op de webserver toegang tot de database en documenten met cruciale informatie over de infrastructuur tussen leverancier Gemnet en de gemeenten. Met dit nieuws kwam website Webwereld deze week na een tip van een anonieme hacker. Gemnet, dat onder KPN valt en dat naast webcertificaten ook infrastructuurdiensten aan Nederlandse gemeenten levert, laat weten dat de site uit de lucht is totdat het lek gerepareerd is. KPN heeft onmiddellijk een onderzoek ingesteld en stelt dat de mogelijke hack alleen de server betrof die de algemene informatie voor bezoekers zichtbaar maakt. De hack van de website heeft geen enkele relatie met de uitgifte en beheer van PKI Overheid certificaten.

Gemnet levert overheidscertificaten net als Diginotar dat deed. Webservers bij dit bedrijf werden eerder dit jaar gehackt waarna de hacker er in slaagde om meerdere valse certificaten uit te geven. Dit had fatale gevolgen voor de betrouwbaarheid van deze webcertificaten die gebruikt worden om internetsessies op te zetten, maar ook om allerlei transacties als betrouwbaar te bestempelen. Gemeenten en ander overheidsinstellingen moesten in grote haast hun Diginotar-certificaten vervangen om hun websites en andere systemen die met deze certificaten aan de praat te houden.

Als een mogelijke remedie om dit soort paniek in de toekomst te voorkomen is door minister Donner van Binnenlandse Zaken voorgesteld om de weerbaarheid van dit soort systemen te vergroten door reservecertificaten achter de hand te houden. Mochten certificaten van een bepaalde leverancier in opspraak raken dan liggen gekwalificeerde certificaten klaar zodat ze snel vervangen kunnen worden. Leverancier Digidentity is hierop ingesprongen door deze week met PKIoverheid SSL Standby dienstverlening te komen. Deze standby certificaten stellen overheidsinstellingen in staat om naast in gebruik zijnde certificaten een vervangend certificaat kan laten onderhouden door Digidentity. Wanneer om wat voor reden dan ook snelle uitlevering gewenst is garandeert Digidentity uitlevering van het certificaat binnen minimaal twee en maximaal vier uur. Dit biedt overheidsorganisaties zekerheid dat zij bij nood gekwalificeerde certificaten achter de hand hebben en zonder lange doorlooptijden van het administratieve proces de certificaten in hun systemen kunnen vervangen.