Navigatie overslaan.
Start

Globalsign

Een van de 4 CA's die ook gehacked zou zijn na Diginotar, zou ons eigen Globalsign zijn.

Eigenlijk is dat niet zo verwonderlijk, want Globalsign houdt er nogal wat rare praktijken op na.

Alle CRL's die ze publiceren in hun root CA's en intermediate CA's zijn compleet leeg.

http://crl.globalsign.net/root.crl
http://crl.globalsign.net/root-r2.crl
http://crl.globalsign.net/primserver.crl
http://secure.globalsign.net/crl/root.crl

En als je naar hun gepubliceerde "certification practice statement" gaat (http://www.globalsign.net/repository/) krijg je een mooi error bericht.

Ook eID maakt gebruik van Globalsign, en dat is een heel groot probleem voor de mensen die eID gebruiken.

2 van die rare praktijken zijn:

  • Certs die gerevoked werden, kunnen daarna geunrevoked worden. (Voor in het geval dat iemand zijn identiteitskaart verliest en daarna terugvind.)
  • Men houdt een kopie bij van de private keys van alle certs die op de eID kaarten gebruikt werden.

Eigenlijk maakt mij dat niet zoveel uit want aangezien ik nooit enige integriteits- en confidentialiteitsgaranties heb gekregen, heb ik mijn eID kaart nog nooit gebruikt.
Omdat op mijn eID kaart ook niet mijn volledige naam staat, ben ik genoodzaakt om, voor kritische toepassingen, nog steeds mijn geboortecertificaat te gebruiken...

Zelfs als zou Globalsign een robuuste een vertrouwenswaardige CA zijn, dan scheelt er toch heel wat met de implementatie van eID, en ik hoop dat dit nu eindelijk de doodsteek is voor de huidige generatie eID zodat er iets opgezet kan worden dat toch enkele basisgaranties kan geven.

Onkunde komt altijd naar boven, ook al duurt dat enkele jaren...

OOk de CRL van de "Belgium Root CA2" (http://crl.pki.belgium.be/belgium2.crl) blijkt leeg te zijn, en voor de practice statement (http://repository.pki.belgium.be) wordt je geredirect naar https://stage-pki.belgium.be/ dat ondertekend werd met een certificate waarvan ik de geldigheid niet kan verifiëren.
Als je het toch waagt om naar die site te gaan, dan kan je op pagina 8 van dat document schematisch zien waarom een mogelijke hack van Globalsign een probleem is.

Ik wacht alvast angstvallig af of, en hoe, onze zombieregering zal reageren en zal voor de veiligheid nog een extra laag plakband op mijn eID-chip plakken. ;-)

(BTW: zelfs een notaris kijk tegenwoordig al geen eID kaarten meer na. Bij mij toch niet.)