Situatie DigiNotar: geen verstoring portal

Op zaterdagochtend 3 september 2011 hebben zowel de overheid als diverse browserleveranciers het vertrouwen in de certificaten van DigiNotar opgezegd. Het accountancy klantenportaal Cliënt Online maakt gebruik van SSL-certificaten van een andere leverancier dan DigiNotar. Daardoor zullen gebruikers geen hinder ondervinden in het gebruik ervan. Voor het versturen van XBRL-berichten naar Digipoort wordt in enkele gevallen wel gebruik gemaakt van een certificaat van DigiNotar. Deze zijn intussen reeds vervangen, voor het geval de overheid deze binnenkort niet meer zal accepteren.

Inhoud: 1. Artikel, 2. Actuele updates, 3. Samenvatting, 4. Overige informatie.
Laatste update: 20-9-2011.

Door een hack bij DigiNotar kan van certificaten die zijn uitgegeven door DigiNotar niet langer worden gegarandeerd dat ze 100% betrouwbaar zijn: de overheid kan er niet langer vanuit gaan dat berichten die worden ingestuurd inderdaad afkomstig zijn van degene op wiens naam het certificaat is uitgegeven. Waarschijnlijk kunnen deze certificaten binnenkort dan ook niet meer worden gebruikt voor communicatie met de overheid via bijvoorbeeld Digipoort.

PinkWeb heeft direct actie ondernomen en vervangt de certificaten van DigiNotar die (door klanten) worden gebruikt voor de communicatie met Digipoort en de Bancaire Infrastructurele Voorzieningen (BIV). Op dit moment blijft de koppeling naar Digipoort met certificaten van DigiNotar nog gewoon te gebruiken. De overheid heeft hiervoor nog geen beperkende maatregelen getroffen. Toch is het aan te raden dat ook klanten die een eigen PKI Overheidscertificaat van DigiNotar gebruiken, deze zo spoedig mogelijk vervangen door een certificaat van een andere leverancier.

We willen de vele klanten en gebruikers van de oplossingen van PinkWeb graag zo compleet mogelijk informeren over deze situatie, waarin veel onduidelijkheid is. Vandaar dit bericht, dat we continue up-to-date zullen houden.

Update 5-9-2011, 13:04 uur: Ook voor het online insturen van publicatiestukken in PDF-formaat (deze gaan niet via Digipoort), is vanaf 6 september een certificaat nodig van een andere leverancier dan DigiNotar. We hebben deze reeds aangevraagd en zullen deze zo snel mogelijk installeren. Tot die tijd worden publicatiestukken in PDF-formaat vanaf dinsdag in een wachtrij gezet en zodra het mogelijk is alsnog ingestuurd bij de KvK.

Update 5-9-2011, 13:19: Het lijkt erop dat het voorlopig niet nodig is dat accountants ook hun certificaat voor het BAPI-kanaal van DigiNotar moeten vervangen. Het Ministerie van Financiën zegt dat er voldoende andere waarborgen zijn voor een veilige aangifte. Ondanks deze beslissing, is het wat ons betreft nog steeds aan te raden om wel een alternatief certificaat aan te vragen voor de communicatie met Digipoort. Voor leveranciers, zie hieronder.

Update 5-9-2011, 15:00: De KvK heeft bevestigd dat als de publicatiestukken niet tijdig worden gedeponeerd door de de situatie rondom de DigiNotar certificaten, dit geen nadelige consequenties zal hebben. Het gaat hier om maximaal een aantal dagen en om de publicatie binnen 8 dagen na de aandeelhoudersvergadering.

Update 5-9-2011, 15:14: Ook Logius bevestigt dat ze niet weten hoe lang PKI Overheidscertificaten van DigiNotar nog worden geaccepteerd om XBRL in te sturen op Digipoort. Het kan best zijn dat hierbij andere afwegingen gelden dan bij het BAPI-kanaal. Logius raadt inderdaad aan om z.s.m. een ander PKI Overheidscertificaat aan te schaffen.

Update 6-9-2011, 10:08: Logius geeft aan dat het nog wel enige tijd mogelijk blijft om, net als bij het BAPI-kanaal, gegevens in te sturen op Digipoort, ondertekend met een PKI Overheidscertificaat van DigiNotar. U heeft nog enige tijd om een nieuw certificaat aan te vragen indien nodig. PinkWeb heeft dat zelf reeds gedaan.

Update 6-9-2011, 14:33: De Bancaire Infrastructurele Voorzieningen (BIV) heeft bepaald dat het per direct niet meer mogelijk is om berichten in te sturen die zijn getekend met een certificaat van DigiNotar. Wilt u dus berichten insturen, dan dient u een eigen PKI-overheidscertificaat in Cliënt Online te importeren (niet van DigiNotar) of te wachten tot PinkWeb een nieuw certificaat heeft geplaatst.

Update 6-9-2011, 14:39: De verwachting is dat PinkWeb in de ochtend van 7 september 2011 een nieuw PKI Overheidscertificaat kan implementeren in Cliënt Online. Dit certificaat kunt u dan ook (eventueel tijdelijk) gebruiken om gegevens in te sturen naar de BIV of PDF-publicatiestukken naar de KvK. De koppeling naar Digipoort accepteert wel nog gewoon DigiNotar certificaten. U kunt dan rustig de tijd nemen om eventueel een nieuw eigen PKI Overheidscertificaat aan te vragen voor gebruik in Cliënt Online.

Update 7-9-2011, 11:25: We verwachten alle DigiNotarcertificaten aan het einde van vandaag vervangen te hebben door certificaten van een andere leverancier. We houden u op de hoogte.

Update 8-9-2011, 10.50 uur: Er is een nieuw certificaat in Cliënt Online geïnstalleerd, om het PKI Overheid certificaat van DigiNotar te vervangen. Publicatiestukken kunnen nu weer in PDF worden gedeponeerd bij de KvK. Publicatiestukken die de afgelopen dagen online hadden moeten worden gedeponeerd, worden automatisch alsnog ingestuurd. Ook kunnen weer kredietrapportages naar de BIV (banken) worden ingestuurd. Het insturen van XBRL-aangiften op Digipoort heeft hiervan geen hinder ondervonden.

Update 9-9-2011, 13.54 uur: Digipoort heeft zelf nu ook een vervangend certificaat geïmplementeerd. Dit heeft geen effect op de verbinding tussen Cliënt Online en Digipoort: deze werkt nog steeds goed. De BIV is wel nog niet ofine. PinkWeb heeft zijn certificaat reeds vervangen, maar bij de BIV moet deze ook nog vervangen worden. We wachten op nader bericht. Voor het gebruik van Cliënt Online kan de update van Microsoft die de DigiNotar certificaten ongeldig maakt veilig worden geïnstalleerd. De SRA adviseert te wachten met het installeren van deze update totdat u eventueel lokaal gebruikte PKI Overheidscertificaten van DigiNotar heeft vervangen en volgens de leveranciers van uw overige software de update ook veilig geïnstalleerd kan worden.

Update 20-9-2011, 13.20 uur: DigiNotar is vandaag failliet verklaard. Dit heeft geen effect op het gebruik van Cliënt Online, omdat PinkWeb en haar klanten die een eigen PKI Overheidscertificaat gebruikten, deze reeds hebben vervangen.

________________________________________________________

Hieronder vindt u uitgebreide informatie over de situatie en welke actie u kunt of dient te ondernemen.

Samenvatting:

* De certificaten van DigiNotar kunnen binnenkort niet meer worden gebruikt voor de communicatie met de overheid. Wanneer precies, zal op korte termijn duidelijk worden.

* Het reguliere gebruik van het Cliënt Online portaal of de website van PinkWeb ondervindt geen enkele hinder door de problemen rondom DigiNotar.

* In Cliënt Online kunt u gemakkelijk zelf een nieuw PKI Overheidscertificaat plaatsen voor communicatie met Digipoort of de BIV.

* U kunt zelf een vervangend certificaat aanvragen bij een andere leverancier van deze certificaten of (tijdelijk) het (nieuwe) certificaat van PinkWeb gebruiken.

Algemeen gebruik portaal en website

Voor het algemene gebruik van het portaal en de website worden certificaten van een andere leverancier dan DigiNotargebruikt voor het opzetten van een beveiligde verbinding. Dat is nog net zo veilig en levert voor de gebruikers, accountants en hun cliënten, dan ook geen problemen op bij het gebruik hiervan.

Communicatie Digipoort en BIV

PKI Overheidscertificaten van DigiNotarworden door sommige klanten van PinkWeb binnen Cliënt Online gebruikt voor de communicatie met Digipoort (Belastingdienst, KvK en CBS) en de Bancaire Infrastructurele Voorzieningen (diverse banken) om XBRL bestanden in te sturen. Er is geen enkele reden aan te nemen dat ook de PKI Overheidscertificaten in het Cliënt Online portaal gecompromitteerd zijn. Toch nemen zowel de overheid als PinkWeb het zekere voor het onzekere: de betrouwbaarheid dient voor 100% gewaarborgd te zijn. Daarom heeft PinkWeb besloten om per direct bij een andere leverancier een vervangend PKI Overheidscertificaat aan te vragen.

Advies voor klanten om ook hun certificaat te vervangen

PinkWeb raadt klanten die een eigen PKI Overheidscertificaat van DigiNotargebruiken in het Cliënt Online portaal aan om een vervangend PKI Overheidscertificaat aan te vragen bij een andere leverancier dan DigiNotar, zie voor leveranciers hieronder. Dit is alleen nodig als u XBRL-berichten vanuit Cliënt Online wilt insturen naar Digipoort of de BIV met een eigen certificaat. Gebruikt u op dit moment een eigen PKI Overheidscertificaat van andere leverancier dan DigiNotar, dan hoeft u geen actie te ondernemen.

Alle klanten van PinkWeb die nu een eigen PKI Overheidscertificaat gebruiken binnen Cliënt Online zullen hierover gericht door PinkWeb worden geïnformeerd.

Alternatief voor een eigen certificaat

Als u geen eigen PKI Overheidscertificaat heeft of als u uw DigiNotar certificaat niet langer wilt gebruiken en nog geen vervangend certificaat heeft, dan kunt u (eventueel tijdelijk) berichten bij Digipoort en de BIV insturen met het (nieuwe) certificaat van PinkWeb.

Vragen en extra informatie

Hoe lang de overheid de certificaten van DigiNotarwel nog accepteert is op het moment van schrijven nog onduidelijk. Zodra daar meer duidelijkheid over is, zal de informatie op de website worden geüpdatet. Het sevicecentrum van Logius, die dienst die de overheidsbrede ICT-diensten beheert, is bereikbaar voor vragen op het telefoonnummer 0900 – 555 4555 (10 ct p/m).

Heeft u vragen over hoe u de certificaten die u gebruikt binnen Cliënt Online kunt vervangen of omwisselen, dan kunt u contact met ons opnemen: 033-7501336 of via support@pinkweb.nl.

De rijksoverheid heeft ook een PDF-document met vragen en antwoorden online gezet: http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/brochures/2011/09/03/publieksvragen-diginotar-safe/publieksvragen-diginotar-safe.pdf.

Een nieuw certificaat plaatsen in Cliënt Online

Om een eigen PKI Overheidscertificaat te importeren in Cliënt Online, gaat u als volgt te werk: log in als beheerder > ga naar de module Beheer > categorie Instellingen > Algemeen. In het tabblad Accordering vindt u onderaan de pagina het onderdeel “Ondertekening berichten Digipoort/Rapportageportaal”. Hier kunt u aanvinken dat u een eigen PKI Overheidscertificaat wilt gebruiken. Let erop, dat u hier dus geen certificaat plaatst dat is uitgegeven door DigiNotar.

Wilt u (tijdelijk) gebruik maken van het (nieuwe) PKI Overheidscertificaat van PinkWeb, dan kunt u hier de optie “Gebruik eigen certificaat voor ondertekenen” uitvinken.

Achtergrond: wat is er aan de hand

Onlangs is duidelijk geworden dat er elektronisch is ingebroken bij het bedrijf DigiNotar. Daar zijn frauduleuze certificaten bij in omloop gekomen. Certificaten zijn nodig om het internetverkeer veilig te laten verlopen. DigiNotargeeft twee soorten certificaten uit, de DigiNotareigen merk certificaten en PKI Overheid certificaten. De eigen merk certificaten worden sinds het begin van deze week niet meer als veilig geaccepteerd.

Vrijdag zijn de resultaten van een onderzoek door ICT-beveiligingsbedrijf Fox-IT bekend geworden. Dit onderzoek laat zien dat niet uitgesloten kan worden dat ook de PKI Overheid certificaten van DigiNotar gecompromitteerd zijn. De gebruiker van overheidssites heeft niet langer de garantie dat hij daadwerkelijk op de site zit van zijn keuze uitkomt. Gebruikers kunnen bij het benaderen van de websites de melding krijgen dat deze website niet langer betrouwbaar zijn.

Certificaatleveranciers

Er zijn diverse uitgevers van deze certificaten, zoals QuoVadis, Getronics (of eventueel via reseller Creaim) of ESG.Let erop dat het aanvragen vaak één tot drie weken in beslag kan nemen. De levertijd is gebaat bij een snelle aanlevering van de juiste documentatie.

Meer informatie hierover bij Logius.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *