Kamervraag 2011Z16610

Internetcertificaten

Ingediend 31 augustus 2011
Beantwoord 13 september 2011 (na 13 dagen)
Indiener Arjan El Fassed (GL)
Beantwoord door Piet Hein Donner (minister binnenlandse zaken en koninkrijksrelaties) (CDA)
Onderwerpen recht staatsrecht
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2011Z16610.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20102011-3626.html
1. http://webwereld.nl/nieuws/107747/iran-kan-gmail-aftappen-door-nederlands-certificaat--update-2--.html
  • Vraag 1
    Kent u het bericht1 in onder meer Webwereld dat Iran erin is geslaagd om het internetverkeer van haar burgers naar Google.com af te tappen door middel van een vervalst beveiligingscertificaat bij de Nederlandse certificeringsautoriteit Diginotar?

    Ja.

  • Vraag 2
    Bent u ermee bekend dat het zogeheten «root-certificaat» van de uitgever van het door Iran vervalste certificaat, het bedrijf Diginotar, ongeldig is verklaard door Microsoft en Mozilla, en mogelijk door andere softwareleveranciers?

    Het is ons bekend dat de certificaten van het bedrijf DigiNotar door de webbrowsers niet meer als betrouwbaar worden aangemerkt. Leveranciers van besturingssystemen en applicatiesoftware kunnen een update doorvoeren van hun systemen met als gevolg dat sommige websites en onderliggende systemen moeilijker – of in het geheel niet – bereikbaar zijn. Een aantal heeft dit ook gedaan.

  • Vraag 3
    Kunt u toelichten op welke wijze door de overheid toezicht werd uitgeoefend op het functioneren van Diginotar? Doet u onderzoek naar de oorzaken van deze zaak?

    In het stelsel van PKI-Overheid is voorzien dat certificaatleveranciers (CA) jaarlijks worden geaudit naar de opzet en werking van de eisen zoals vastgelegd in het Programma van Eisen PKI-Overheid. Deze audits worden uitgevoerd door gecertificeerde auditors. Zij rapporteren aan de Policy Authority (PA) van PKI-Overheid.
    Daarnaast vindt er toezicht plaats door de OPTA2 op basis van de Telecomwet, indien er sprake is van uitgifte van gekwalificeerde3 certificaten ten behoeve van de elektronische handtekening. De DigiNotar certificaten waarbij het aangetoonde misbruik heeft plaats gevonden, zijn certificaten waar de OPTA geen bevoegdheid heeft om op toe te zien.
    Het Kabinet neemt de structurele betekenis van de gebeurtenissen in ogenschouw. In het licht hiervan voert het ministerie van Binnenlandse Zaken en Koninkrijksrelaties onderzoek uit naar het gehele stelsel en proces rondom PKI-Overheid, inclusief het toezicht daarop. Het ministerie van ELI laat aanvullend daarop onderzoeken in hoeverre de problemen rondom DigiNotar ook consequenties hebben voor de wijze van toezicht op uitgifte van gekwalificeerde certificaten. De Tweede Kamer wordt hierover geïnformeerd zodra meer duidelijk is. Zoals in het regeerakkoord is gesteld zal de Staatssecretaris van Veiligheid en Justitie bovendien een wetsvoorstel indienen dat een meldplicht introduceert voor gebeurtenissen zoals deze bij DigiNotar zijn voorgekomen.

  • Vraag 4
    Kunt u de consequenties van deze zaak toelichten voor de dienstverlening en het interne functioneren van de Nederlandse overheid en andere klanten van Diginotar? Hebben burgers overlast ondervonden van deze zaak en zo ja, in hoeveel gevallen en op welke wijze?

    De gevolgen van de reactie door internetdienstverleners op het bekend worden van de door DigiNotar afgegeven gecompromitteerde certificaten voor het vertrouwen in het digitale communicatieverkeer zijn groot, ook al is de materiële betekenis van die afgifte mogelijk veel beperkter. Alleen partijen die gebruik maken van certificaten of diensten van DigiNotar lopen het risico dat systemen of communicatie uitvallen. Tot nu toe is geconstateerd dat sommige websites (tijdelijk) uit de lucht zijn.
    DigiNotar is niet het enige bedrijf dat certificaten en diensten voor internetverkeer genereert. De certificaten van andere bedrijven worden niet geraakt door de gebeurtenissen bij DigiNotar.
    Het Kabinet heeft het operationele beheer van de systemen voor certificering bij DigiNotar gecontroleerd overgenomen, zodat de certificaten gefaseerd kunnen worden ingetrokken en het gebruik van de door hacker aangemaakt en gebruikte certificaten kan worden gemonitord en kan worden bestreden waar dit wordt waargenomen.

  • Vraag 5
    Acht u het uitgesloten dat Iran of enige andere partij erin kan zijn geslaagd om zich via Diginotar toegang te verschaffen tot vertrouwelijke communicatie van de Nederlandse overheid? Welke stappen heeft u gezet om zich daarvan te vergewissen?

    Het Kabinet onderzoekt wie betrokken zijn bij het hacken van DigiNotar. Voor een beschrijving van genomen besluiten en ingezette acties verwijs ik naar de Kamerbrief «Digitale inbraak DigiNotar» van 5 september 2011.

  • Vraag 6
    Bent u van plan om Iran op deze zaak aan te spreken?

    Het Kabinet onderzoekt momenteel wie betrokken zijn bij het hacken van DigiNotar. Op grond van de uitkomsten van dit onderzoek beraadt het Kabinet zich op passende vervolgstappen.

  • Vraag 7
    Acht u het in het licht van deze zaak verstandig om nieuwe certificaten van de Nederlandse overheid toe te vertrouwen aan particuliere bedrijven? Zo nee, overweegt u om certificaten direct door de Nederlandse overheid te laten uitgeven? Zo ja, welke aanvullende eisen overweegt u te stellen aan deze bedrijven? Kunt u dat toelichten?

    Het feit dat de hacker certificaten namens DigiNotar oneigenlijk heeft aangemaakt, heeft geen gevolgen voor andere certificaatleveranciers. Wanneer de certificaten op een juiste, zorgvuldige wijze zijn gegenereerd, ongeacht door welk bevoegd bedrijf, is er op dit moment geen enkele aanleiding om te twijfelen aan de betrouwbaarheid en veiligheid van deze certificaten en al het internetverkeer dat met behulp van deze certificaten heeft plaatsgevonden.
    Tegelijkertijd is het Kabinet van oordeel dat de structurele betekenis van de gebeurtenissen in ogenschouw moeten worden genomen. Als onderdeel daarvan voert het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een onderzoek uit naar het gehele stelsel en proces rondom PKI-Overheid, inclusief het toezicht daarop. Daarnaast zal de DigiNotar problematiek ook geëvalueerd worden met het oog op de gewenste betrouwbaarheid van digitale dienstverlening van en aan bedrijven. De Tweede Kamer wordt hierover geïnformeerd zodra hierover meer duidelijkheid is.


Kamervraag document nummer: kv-tk-2011Z16610
Volledige titel: Vragen van het lid El Fassed aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Buitenlandse Zaken over internetcertificaten (ingezonden 31 augustus 2011).
Kamerantwoord document nummer: ah-tk-20102011-3626
Volledige titel: Vragen van het lid El Fassed (GroenLinks) aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties en van Buitenlandse Zaken over internetcertificaten (ingezonden 31 augustus 2011).