Mozilla is in een ticket op hun bug-tracking platform Bugzilla gevraagd om het vertrouwen op te zeggen in de certificaatautoriteit Staat der Nederlanden. Het verzoek werd gedaan naar aanleiding van de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten die op 1 januari 2018 in zal gaan. Deze nieuwe wet geeft de AIVD de mogelijkheid om valse sleutels te gebruiken om zo in te breken op versleutelde systemen van derden.

Het ticket op Bugzilla werd aangemaakt door gebruiker Cris.vanpelt, en vermeldt expliciet artikel 45.1 van de nieuwe wet als het breekpunt. Hierin staat het volgende vermeld:

1. De diensten zijn bevoegd tot:
a. het verkennen van de technische kenmerken van geautomatiseerde werken die op een communicatienetwerk zijn aangesloten;
b. het al dan niet met gebruikmaking van een technisch hulpmiddel, valse signalen, valse sleutels, valse hoedanigheid of door tussenkomst van het geautomatiseerd werk van een derde, binnendringen in een geautomatiseerd werk.

Met name het tweede deel van punt 45.1 baart zorgen: hierin staat zowel de vermelding van het gebruiken van ‘valse sleutels’ als de implicatie dat deze constructie Man in the Middle attacks toestaat als hulpmiddel. Van Pelt stelt daarom dat de CA van de overheid niet meer vertrouwd zou moeten worden. Deze CA wordt namelijk beheerd door het Ministerie van Binnenlandse Zaken, waar ook de AIVD onder valt. Toestaan dat het Ministerie van Binnenlandse Zaken, met deze wetswijziging in de achterzak, een CA blijft runnen ‘in een land waar een belangrijk internetknooppunt wordt gehost’ brengt mogelijkerwijs alle Mozilla-gebruikers in gevaar, zo stelt van Pelt.

Op dit moment blijft het nog slechts bij een voorstel en is het ticket nog niet aangenomen door Mozilla. Gebruiker Mark Janssen heeft aangegeven dat er meer informatie nodig is om het ticket goed te kunnen beoordelen. Hiervoor heeft hij contact gezocht met het Ministerie van Binnenlandse Zaken, maar daar is tot op heden nog geen reactie op gekomen. Het is dus nog afwachten wat de gevolgen gaan zijn.

Lees relevante artikelen

Categorie  SSL & Security | Tags  mozilla ssl