| Ingediend | 31 augustus 2011 |
|---|---|
| Beantwoord | 13 september 2011 (na 13 dagen) |
| Indiener | Kees Verhoeven (D66) |
| Beantwoord door | Piet Hein Donner (minister binnenlandse zaken en koninkrijksrelaties) (CDA) |
| Onderwerpen | bestuur rijksoverheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2011Z16612.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20102011-3627.html |
Ja.
Ja. De DigiNotar certificaten voor DigiD zijn inmiddels vervangen.
Het betreft enkele tienduizenden certificaten van DigiNotar waarvan de betrouwbaarheid thans ter discussie is gesteld. Daaronder valt een substantieel aantal certificaten dat in gebruik is bij de Nederlandse staat en dat wordt ingezet voor diverse overheidswebsites en -diensten. Alle door het bedrijf DigiNotar uitgegeven certificaten voor publieke en semi-publieke organisaties worden of zijn inmiddels vervangen door certificaten van andere (PKI-) certificatenleveranciers. De CIO’s (Chief Information Officers) van Rijk en decentrale overheden zijn aangewezen om de omzetting van de certificaten van DigiNotar aan te sturen. In de komende periode gaan alle websites en diensten gefaseerd en gecontroleerd over op nieuwe certificaten.
Nee. Uit de omstandigheid dat thans DigiNotar-certificaten gecompromitteerd blijken te kunnen zijn, kan en mag niet worden geconcludeerd dat alle historische transacties van DigiNotar mogelijk gecompromitteerd zijn;
Inmiddels zijn DigiD.nl en mijn.belastingdienst.nl overgegaan naar een andere certificaatleverancier, waarvan de certificaten betrouwbaar zijn en worden vertrouwd door de softwareleveranciers;
Ja, het is mogelijk dat browsers in de omschakelperiode naar andere certificaten beveiligingswaarschuwingen geven bij veilige overheidswebsites en;
Ja, in de omschakelperiode naar andere certificaten is het mogelijk dat derde partijen onveilige kopieën kunnen maken van overheidswebsites (de zgn. omgeleide sites), die gebruik maken van de door de hacker oneigenlijk aangemaakte certificaat van DigiNotar. Om deze reden is het operationele beheer van het systeem voor het verstrekken van certificering gecontroleerd overgenomen zodat de certificaten gefaseerd kunnen worden ingetrokken en het gebruik van de door hacker aangemaakt en gebruikte certificaten kan worden gemonitord en kan worden bestreden waar dit wordt waargenomen.
De overheid neemt diverse maatregelen om de beveiliging van overheidsdiensten en -websites te beheersen. Zo heeft het Kabinet, na overleg met het moederbedrijf van DigiNotar, nog in de nacht van vrijdag op zaterdag het operationele beheer van systemen voor certificaten van het bedrijf overgenomen teneinde de schade van de gebleken inbreuk op de integriteit van het internetverkeer en de beheersmaatregelen ter beperking van de gevolgen van de gebeurtenis. Daardoor wordt een beheersbare migratie naar andere certificaten mogelijk zonder dat dit additionele risico’s schept voor zover bekend.
Voor een overzicht verwijs ik u naar de Kamerbrief «Digitale inbraak DigiNotar» van 5 september 2011.