Ondanks de onbetrouwbaarheid van Diginotar-certificaten, is de online belastingaangifte door ondernemers voldoende beveiligd. Dat meldt het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en ondernemingsorganisatie VNO-NCW.
'De systemen waarmee ondernemers direct of via hun intermediair aangifte doen kunnen in deze situatie gewoon blijven functioneren. Het systeem kent voldoende aanvullende waarborgen voor een veilige aangifte', melden beide organisaties in een gezamenlijk persbericht.
De partijen melden dat 'de situatie de komende tijd nauwgezet wordt gemonitord. Indien zich nieuwe ontwikkelingen voordoen, wordt in overleg met de betrokken partijen bepaald welke vervolgactie noodzakelijk is.'
Gevolgen per sector
Deze mededeling geldt alleen voor de fiscale overheidssector. 'Bij het beheersen van de gevolgen van de problematiek met betrekking tot Diginotar analyseert de overheid samen met het bedrijfsleven per sector potentiële gevolgen. Zodra de gevolgen per sector bekend zijn, worden deze gepubliceerd door de overheid en het bedrijfsleven.'
De conclusie is getrokken na 'intensief overleg tussen de Belastingdienst, het ministerie van Financiën, VNO-NCW, MKB-Nederland, ICT~Office en diverse softwareleveranciers en belastingconsulenten.'
Auw, pijnlijke fout in de openingszin: “Ondanks de onbetrouwbaarheid van PKI Overheid-certificaten”… Het gaat nu om Diginotar certificaten, die voor een deel PKI Overheid-certificaten zijn. Maar omgekeerd is niet elk PKI Overheid certificaat een Diginotar certificaat. Daarom is het een ietwat voorbarige generalisatie (hoewel helaas wellicht meer in overeenstemming met de actuele publieke opinie)
Helaas deelt de Belastingdienst deze mening nie, meldt http://www.automatiseringgids.nl om in een volgend bericht weer bakzeil te halen.
Dat alles tekent een beetje de manier waar er hier mee wordt omgegaan…..
Waarom zijn de betreffende (root of intemediate CA) certificaten nog niet ingetrokken ?
Ik ben wat verbaasd over de ophef over het gebrek aan veiligheid van Digid. Al in januari van dit jaar heb ik bekend gemaakt dat Digid makkelijk te kraken is en dat persoonlijke inloggegevens zijn te verzamelen. Zelfs zonder dat de gebruiker dit merkt, in tegenstelling tot het certificaten probleem van diginotar. Meer hierover kun je lezen in dit artikel dat gaat over de veiligheid van SSL en Digid. http://www.netcare.nl/nieuws.php?i=39
Voor de geinteresseerde staat er een youtube filmpje bij van infosec hoe je zelf Digid inloggegevens zonder dat de gebruiker dit merkt kunt verzamelen