@iPoTu Internet Solutions
  • English

Firefox vertrouwt certificaat DigiD niet meer

Firefox vertrouwt certificaat DigiD niet meer | Pro | Tweakers.net Nieuws

Firefox vertrouwt certificaat DigiD niet meer

Door Joost Schellevis, dinsdag 30 augustus 2011 11:51, views: 4.592

Mozilla heeft het ssl-certificaat van DigiD ingetrokken, waardoor inloggen bij een dienst die DigiD gebruikt binnenkort een foutmelding oplevert. De softwaremaker reageert hiermee op de problemen bij ssl-autoriteit DigiNotar.

Niet alleen het root-certificaat van DigiNotar wordt door Mozilla ingetrokken, zoals al bekend was: alle certificaten die zijn uitgegeven door een autoriteit die met de tekenreeks ‘DigiNotar’ begint, worden ongeldig verklaard. Daaronder valt ook het certificaat van DigiD.nl. Dat geeft een consultant van Mozilla aan in de bugtracker van de organisatie. Het draaien van een testbuild van Firefox bevestigt haar woorden: wie in de testbuild probeert in te loggen op DigiD.nl, krijgt een foutmelding. Inloggen kan desgewenst dan nog wel, maar dan garandeert Firefox de identiteit van DigiD.nl niet. DigiD wordt onder meer gebruikt door de Belastingdienst en DUO, voorheen de IB-Groep.

In de stabiele versie van Firefox zijn de certificaten van DigiNotar nog niet ingetrokken; Firefox-ontwikkelaar Mozilla gaf eerder al aan dat het met een update zou komen waarin dat wel gebeurt. Als Mozilla blijft vasthouden aan het schrappen van alle DigiNotar-certificaten, kunnen Firefox-gebruikers dus niet meer vertrouwen op een veilige inlog op DigiD, evenals andere websites met een DigiNotar-certificaat. Hetzelfde geldt voor gebruikers van Firefox Mobile, Thunderbird en SeaMonkey.

Google en Microsoft hebben aangegeven het root-certificaat van DigiNotar te zullen intrekken, maar of dit ook gevolgen heeft voor DigiD, is onbekend. Jochem Binst, woordvoerder van DigiNotar-eigenaar Vasco Security, claimde eerder dat de problemen bij DigiNotar geen problemen zouden hebben voor diensten van de overheid. Het Ministerie van Binnenlandse Zaken heeft aangegeven het ‘volle vertrouwen’ in DigiNotar te hebben.

De problemen bij DigiNotar kwamen maandagavond aan het licht, toen bleek dat het bedrijf uit Beverwijk een ongeldig ssl-certificaat voor Google.com had uitgegeven. Dat certificaat is mogelijk door de Iraanse overheid gebruikt om inwoners te bespioneren; onder meer verkeer van en naar Gmail, Google Voice en Google Docs kan zijn onderschept.