Windows installeert Root Certificates van NL'se Staat ?

Dat heb je nodig, zodat je veilig DigiD (haha de Nederlandse overheid en veilig) kunt gebruiken. Als je geen DigiD en aanverwante diensten wilt gebruiken, kun je dat gerust wegtiefen.

quote:

Op maandag 20 maart 2017 22:02 schreef vaduz het volgende:
Dat heb je nodig, zodat je veilig DigiD (haha de Nederlandse overheid en veilig) kunt gebruiken. Als je geen DigiD en aanverwante diensten wilt gebruiken, kun je dat gerust wegtiefen.

DigiD is veilig hoor. Dat er partijen met systemen lopen te klooien kan DigiD niet helpen

quote:

Op maandag 20 maart 2017 22:12 schreef Catch22- het volgende:

[..]

DigiD is veilig hoor. Dat er partijen met systemen lopen te klooien kan DigiD niet helpen

quote:

Op maandag 20 maart 2017 22:02 schreef vaduz het volgende:
(haha de Nederlandse overheid en veilig)

Mocht de staat der Nederlanden je willen aivden dan doen ze het niet met een root certificaat genaamd staat der Nederlanden. Wel wazig dat het een crash heeft veroorzaakt overigens.

Nederland lijkt trouwens het eerste land ter wereld te zijn geweest die een root certificate uit heeft gegeven .

https://nl.m.wikipedia.org/wiki/PKIoverheid

https://www.security.nl/p(...)ld+met+eigen+Root+CA

Dat certificaat is in het leven geroepen dat als je online websites van de overheid bezoekt, je ook zeker weet dat ze van de overheid zijn.
Best handig als je je aangifte doet, je ook zeker weet dat je op de site van de Belastingdienst zit bijvoorbeeld

Haha, TS is paranoïde! Als de AIVD met je mee wil lezen dan heeft dit er niets, maar dan ook helemaal niets mee te maken. Maar ga gerust verder met paniekzaaien, als je weer bij zinnen bent zoek dan eens uit waar rootcertificaten voor zijn en wat ze doen.

quote:

Op dinsdag 21 maart 2017 01:49 schreef Tamabralski het volgende:

[..]

Zonder die crash was ik hier niet achter gekomen. Want Windows deed weer sneaky dingen installeren

Niks sneaky's aan, staat overigens ook los van Windows, het is een activiteit van je browser. Op Linux, OSX, Android, IOS gaat het exact hetzelfde als je met een browser naar een site gaat die SSL met een certificaat aanbiedt.

quote:

Op dinsdag 21 maart 2017 01:49 schreef Tamabralski het volgende:

[..]

Zonder die crash was ik hier niet achter gekomen. Want Windows deed weer sneaky dingen installeren

Root certificaten worden volgens mij door de desbetreffende browsers beheerd en niet door Windows.

quote:

Op dinsdag 21 maart 2017 09:26 schreef jogy het volgende:

[..]

Root certificaten worden volgens mij door de desbetreffende browsers beheerd en niet door Windows.

Windows heeft ook zijn eigen root certificaten. Er is meer internet verkeer dan alleen via de browser. En om met elk programma root certificaten mee te sturen is ook een beetje onzin.

quote:

Op dinsdag 21 maart 2017 09:32 schreef t4rt4rus het volgende:

[..]

Windows heeft ook zijn eigen root certificaten. Er is meer internet verkeer dan alleen via de browser. En om met elk programma root certificaten mee te sturen is ook een beetje onzin.

Goed punt.

quote:

Op maandag 20 maart 2017 21:46 schreef Tamabralski het volgende:

Stel he. Je krijgt de sleutel van je woning. En je partner ook. Maar de staat der Nederlanden heeft ook een kopie.. Hoeveel privacy heb je dan?

Graag uitleg

Google eens naar sectie stiekem ... Die wandelen gewoon door je slaapkamer als ze daar zin in hebben..

Vroeger gebruikte de Nederlandse overheid certificaten van het bedrijf Diginotar, een privaat bedrijf. De root certificaten daarvan kwamen ook gewoon in je Windows installatie terecht (anders zouden ze niet als veilig gezien worden).

In 2011 is Diginotar gehackt; de root keys (dus iets anders dan de certificaten) zijn toen in handen van hackers gekomen waardoor er valse certificaten aangemaakt konden worden "ondertekend" door diginotar. Dat was nogal een schandaal. Diginotar is er aan kapot gegaan en toen moest de staat op zoek naar een andere autoriteit.

Daarna heeft de overheid besloten het maar in eigen handen te nemen met een eigen CA. Die certificaten worden overigens gewoon door KPN uitgegeven en alleen ondertekend met de sleutel van de overheid. Het betekent dus niet minder veiligheid en de aivd kan ook niet in je pc inbreken hiermee.

Maw: zet je aluhoedje maar weer af.

quote:

Op dinsdag 21 maart 2017 10:28 schreef Farenji het volgende:
Vroeger gebruikte de Nederlandse overheid certificaten van het bedrijf Diginotar, een privaat bedrijf. De root certificaten daarvan kwamen ook gewoon in je Windows installatie terecht (anders zouden ze niet als veilig gezien worden).

In 2011 is Diginotar gehackt; de root keys (dus iets anders dan de certificaten) zijn toen in handen van hackers gekomen waardoor er valse certificaten aangemaakt konden worden "ondertekend" door diginotar. Dat was nogal een schandaal. Diginotar is er aan kapot gegaan en toen moest de staat op zoek naar een andere autoriteit.

Daarna heeft de overheid besloten het maar in eigen handen te nemen met een eigen CA. Die certificaten worden overigens gewoon door KPN uitgegeven en alleen ondertekend met de sleutel van de overheid. Het betekent dus niet minder veiligheid en de aivd kan ook niet in je pc inbreken hiermee.

Maw: zet je aluhoedje maar weer af.

Goeie uitleg. Al kan ik soms wel begrijpen dat mensen wantrouwend zijn trouwens. Als bedrijven als Lenovo met hun superfish schandaal in het nieuws komen waar certificaten ook misbruikt werden dan is het op zich wel duidelijk dat je gekke dingen kan doen met certificaten. ( http://www.pcmweb.nl/nieu(...)perfish-malware.html )

Maar oké, deze heeft Lenovo er in de fabriek op moeten zetten dus dat is wel een iets ander verhaal.

quote:

Op maandag 20 maart 2017 21:46 schreef Tamabralski het volgende:
Waarom is dit. Ik heb Rootcetrtificates ook nooit begrepen. Ik ga ervanuit dat deze certificaten een sleutel zijn voor de versleutelde data overdracht tussen twee computers.

Nee, root certificaten zijn een zogenaamde 'trust anchor'.

Stel je gaat naar belastingdienst.nl, via een beveiligde verbinding.

Nu zijn hier 2 dingen van belang:
1) is de verbinding versleuteld
2) Praat ik daadwerkelijk tegen degene waartegen ik denk te praten.

Certificaten zorgen voor punt 2.

Als je naar belastingdienst.nl gaat dan beweert deze site dat het daadwerkelijk de correcte site is. Dit doet ie door middel van een certificaat. Echter, iedereen kan beweren dat ie de belastingdienst is en hier een certificaat voor maken. Hoe weet je dus dat zo'n certificaat echt is ? Dit weet je omdat het certificaat ondertekend is door een ander certificaat wat zegt 'wij garanderen dat dit certificaat echt is' , maar hoe weet je dan dat *dat* certificaat echt is ? Nou, omdat dat certificaat ondertekend is door een ander certificaat .. etc.

Op die manier krijg je een chain of trust (ketting van vertrouwen). Nu kan iedereen zo'n ketting maken dus schiet je daar nog niets mee op. Daarvoor heb je dus het root certificaten. Dit zijn certificaten die je expliciet vertrouwd, en die dus niet verder gecontroleerd hoeven worden. Zo'n root certificaat is het 'anker' waarmee de ketting vastzit.

Het idee is dus dat je een kleine groep partijen hebt (de Certificate Authorities) die je expliciet vertrouwd, zoals de Nederlandse overheid. Bij elke website die een certificaat aanbied wordt de ketting gevolgd tot deze uitkomt bij een 'anker' (root cert). De root CA staat dus (direct of indirect) in voor de echtheid van de website die je bezoekt via deze ketting van certificaten.

quote:

Op dinsdag 21 maart 2017 11:10 schreef jogy het volgende:

Al kan ik soms wel begrijpen dat mensen wantrouwend zijn trouwens. Als bedrijven als Lenovo met hun superfish schandaal in het nieuws komen waar certificaten ook misbruikt werden dan is het op zich wel duidelijk dat je gekke dingen kan doen met certificaten.

Yup

Certificaten moeten ergens beginnen met vertrouwen. De root certificaten worden standaard vertrouwd. En dus ook de intermediate certificaten die die root servers uitpoepen. En dus ook de gewone certificaten die die intermediates uitpoepen. Wat fout ging bij Diginotar is dat die root certificate server vanaf het internet te benaderen was door die hackers. Een root server mag nooit of te nimmer remote te benaderen zijn.

Ik kan een willekeurig certificaat maken op een willekeurige computer en zodanig implementeren op jouw computer dat deze dit certificaat en zijn ondergeschikten altijd vertrouwt.

Het is wel vaker mis gegaan, bijvoorbeeld bij startssl.com. Zie dit leuke verhaal van Mozilla.

Uiteindelijk hebben de webbrowsers, samen met de opgeslagen certficaten op je pc, het voor het zeggen. Dat kan dus ook betekenen dat elke webbrowser weer andere certificaten blind vertrouwd en andere weer helemaal niet. Gelukkig is het grootste gedeelte hetzelfde.

quote:

Op dinsdag 21 maart 2017 20:58 schreef Tamabralski het volgende:
Thaliand wat wordt gezien als militaire regime, heeft ook zo'n certificaat uigegeven. Worst gewoon gepusht door Microsoft via Windows. En Thailand krijgt door mensenrechten organisaties daarvoor echt felle kritiek. Waarom is Nederland (paradijs voor proefbalonnen, partner incrime van VS inlichtingen) beter te vertrouwen?

Nederland is niet te vertrouwen! Vlucht naar Belgie nu het nog kan.

quote:

Op dinsdag 21 maart 2017 21:04 schreef Tamabralski het volgende:

[..]

Ghehe. Ik begrijp het nogsteeds niet. Veel te ingewikkeld voor mij.

Dat certificaat dat je hebt geinstalleerd gekregen wordt gebruikt om sites (van de in dit geval overheid dus) die zeggen dat certificaat gebruiken te verifieren. Zodat mensen zoals ik niet namens de overheid zomaar een site kunnen opzetten en die dan als de overheid ondertekenen. Zolang je niet op overheidssites komt, wordt dat certificaat nergens voor gebruikt. Als je dus geen gebruik maakt van overheidssites kun je het rustig verwijderen.