Het hacken van DigiNotar heeft een enorm veiligheidsrisico opgeleverd.
Wat kun je zelf doen om browsen weer veilig te maken?

Even wat achtergrond. Sommig internetverkeer gaat via beveiligde verbindingen. Hierbij gebruikt je browser een lijst met certificaten die uitgegeven zijn door een certificate authority (CA). DigiNotar is zo'n CA. In juli is DigiNotar gehackt, waardoor het niet meer zeker is dat certificaten die zijn uitgegeven door DigiNotar betrouwbaar zijn. De koppen schreeuwen over het gevaar na het hacken van DigiNotar als certificate authority (CA): "DigiNotar-hack belangrijker dan Stuxnet-worm". Inderdaad is wat nu gebeurd is erg zorgwekkend.

Toch kun je zelf veel doen om de komende tijd veilig een browser te gebruiken.

• Zorg dat je altijd de laatste versie gebruikt van een browser en je OS. 
  Dit geldt ook voor alle Windows versies vanaf Vista. Microsoft heeft plannen om een patch uit te brengen voor Windows XP.
• Gebruik voorlopig Chrome of FireFox; deze browsers vertrouwen op dit moment geen DigiNotar-certificaten meer. Firefox bijvoorbeeld weigert certificaten die door DigiNotar zijn uitgegeven.
• Voor Mac-gebruikers, hier een handleiding om DigiNotar-certificaten te verwijderen:
  Check, untrust and remove DigiNotar HTTPS/SSL CA root certificate on Mac OS X
• Gebruik voorlopig geen Safari op MAC OS/X voor beveiligde verbdindingen. OS/X overschrijft de trust in de keychain als het een EV Certificaat tegenkomt. DigiNotar is zo'n certificaat. Dus ook al heb je in je keychain de acties uitgevoerd zoals in de link hierboven dan nog wordt een volgende keer dat je ergens op een site te recht komt het certificaat vertrouwd. Ook al heb je dit niet zo staan in je keychain.

Het SSL-protocol versleutelt informatie die tussen je browser en de webserver wordt uitgewisseld. Hierbij wordt een certificaat op de webserver gebruikt dat zou moeten garanderen dat je inderdaad communiceert met de webserver van de instelling die je verwacht. Het bedrijf achter een root-CA heeft gecontroleerd dat de instelling de rechtmatige eigenaar is. Nu zo'n root CA gecompromitteerd is, weten we niet altijd zeker meer of de site waar we terecht komen ook werkelijk die site is. Als een hacker je browser naar een niet-echte twitter.com weet te leiden, via een schijnbaar valide certificaat, zou je weleens ter goeder je gegevens kunnen prijsgeven aan een organisatie die niet te vertrouwen is.

Behalve dat je als gevolg van het valse vertrouwen onbedoeld persoonlijke gegevens aan onbetrouwbare organisaties geeft, kan je met geldige certificaten ook al het verkeer tussen jou en de server aftappen doordat niet het gebruiken van een foutief DigiNotar-certificaat. Je denkt een veilige verbinding te hebben, maar ondertussen kan een ander meekijken naar wat je doet en verstuurt. Dit maakt het dus mogelijk om ongemerkt berichten af te luisteren. Ook Skype, Google-talk of MSN ondervinden de gevolgen van deze hack. Browsers zijn slechts deel van het probleem, want ook applicaties die SSL gebruiken hebben last van deze hack.

Een aardig testje om te kijken of je veilig kunt browsen is (op dit moment) te gaan naar mijn.overheid.nl. Zie je zoiets als dit, dan zit je fout:

Geschreven door Geert van de Voorde en Edward Smit.
Hun advies: Raak niet in paniek, keep calm and carry on.