• Expertise
  • Elektronisch patiëntendossier
  • Digitale identiteit
  • Elektronische handtekening
  • Elektronisch factureren
  • Digitale Polis
  • Betrouwbare communicatie
• Diensten
• Oplossingen
  • OpenID
  • SimpleSign
• Referenties
• Over Evidos
• Contact
• Weblog

Slecht SSL beheer maakt uw webdiensten onbereikbaar

24 februari 2009  

Evidos publiceert een artikel over het belang van SSL(certificaat) beheer. Het artikel is gepubliceerd in het blad beveiligingsbeleid. Het artikel is ook in PDF te downloaden:ssl_beheer_pki_officer_highres, ssl_beheer_pki_officer_lowres

Inleiding

Het niet beschikbaar zijn van uw online diensten kan leiden tot grote schade.  De nieuwe versies van de webbrowsers blokkeren uw website en tonen beveiligingswaarschuwingen als u de beveiliging (SSL) niet juist instelt op de website. Meer dan de helft  van de website bezoekers haken af bij beveiligingswaarschuwingen, het goed organiseren en beheren van uw SSL certificaten is essentieel.

Wat is SSL?

SSL staat voor Secure Sockets Layer en is de meest gebruikte manier om elektronische transacties via het internet te beveiligen en Internet fraude tegen te gaan.
In de browser verandert uw adres van http://www.mijnwebsite.nl naar https://www.mijnwebsite.nl en in de browser balk is een slotje terug te vinden.
Een beveiligde website kunt u activeren door een digitaal identiteitsbewijs te installeren op de webserver. Dit identiteitsbewijs wordt ook wel certificaat genoemd en is gebaseerd op versleutelingstechnieken (PKI). In het identiteitsbewijs staan de volgende identificerende gegevens:
- Webadres van de server
- Uitgifte datum
- Verloop datum
- Uitgevende instantie

Bij het bezoeken van een website is het belangrijk dat een browser de volgende controles automatisch uitvoert om fraude te voorkomen:
1. Komt het adres dat de eindgebruiker intypt overeen met het adres in het identiteitsbewijs
2. Is het identiteitsbewijs verlopen
3. Is het identiteitsbewijs uitgegeven door een betrouwbare instantie
4. Is het identiteitsbewijs niet aangemerkt als geblokkeerd

Extended Validation SSL

Extended Validation SSL certificaten (EV SSL) zijn de nieuwe internationale standaard op het gebied van SSL beveiliging. EV SSL certificaten worden uitgegeven conform de Extended Validation richtlijn waarin strenge eisen worden gesteld aan de controle van de organisatie die het SSL certificaat aanvraagt en het domein waarvoor het certificaat wordt aangevraagd. De groene adresbalk zorgt er bovendien voor dat bezoekers in één oogopslag zien dat uw website veilig en vertrouwd is.

In het verleden moest de eindgebruiker de aanvullende beveiligingscontroles handmatig aanzetten, in de nieuwste browsers, Internet Explorer 6 en 7, Firefox 3, Opera en Chrome, staan deze strikte controles standaard aan. Deze browsers hebben al een gezamenlijk marktaandeel van 85%.

Doordat deze beveiligingscontroles standaard aanstaan worden direct beveiligingswaarschuwingen getoond en is de website onbereikbaar. Het is eenvoudig om zelf een test uit te voeren en de problematiek te ervaren. Pas de datum/tijd van uw PC aan door het jaar op 2015 te zetten. Bezoek vervolgens de beveiligde website van uw organisatie of ga naar https://www.google.com
Op dit moment zijn er ongeveer 800.000 publiekelijk bekende SSL certificaten in omloop. Verschillende steekproeven wijzen erop dat ongeveer 20% van alle beveiligingscertificaten een probleem geven. 50% van de website bezoekers haakt af bij beveiligingswaarschuwingen. Veelal zijn dit klanten die midden in de afronding van een transactie zitten waardoor veel omzet wordt misgelopen.

Wat moet ik doen als organisatie?

Na het lezen van dit artikel kunt u direct op zoek naar de SSL certificaten van uw organisatie en controleren of er problemen zijn, vaak ontbreekt het echter aan een duidelijk overzicht. Grotere organisaties beheren vaak wel tientallen certificaten.

Bij veel bedrijven is er geen eenduidig certificaatbeleid en vaak is onduidelijk bij wie deze verantwoordelijkheid ligt.
Het gebruik van certificaten gaat verder dan alleen SSL certificaten en zal in de toekomst toenemen door toepassingen als; Webservices security, documenten waarmerken, werkplek toegang en meer websites waar SSL verplicht zal zijn vanuit regelgeving.
Het is belangrijk om de rol voor certificaatbeheer, PKI Officer, goed te beleggen binnen de organisatie.
De taken van een PKI Officer:
1. Centraal verzamel punt voor het beheren van de verschillende identiteitverstrekkers
2. Duidelijke kennis over welk type certificaat in een bepaald project noodzakelijk is:

• SSL, Handtekening, CodeSigning, Windows login
• Interne CA of Externe CA
• Persoonlijk certificaat of services certificaat
• Gewenste vertrouwensniveau (PKIO, QC)

3. Goed bewaken van de certificaatlevensloop

• Verloopdatum van het certificaat
• Sleutel lengte
• Geblokkeerde certificaten
• Back-up procedure in geval van calamiteiten

4. Faciliteren van het aanvraagproces

• Aanvragen dient te gebeuren door een bevoegde aanvrager
• Sleutel ceremonie

5. Aanspreekpunt in het geval van security calamiteiten rondom certificaten

• Voorbeelden van dergelijke incidenten in de afgelopen tijd zijn het “MD5 hash collision” en het “Debian bug ssl” Informatie over deze twee incidenten is te vinden via google en bovenstaande termen.

6. Inkoop, duidelijk overzicht van de verschillende leveranciers, mogelijkheden voor raamcontract om zo kosten te besparen.

In veel organisaties zijn de bovenstaande taken versnipperd belegt. De rol PKIOfficer zou een goede plek hebben binnen de audit/ quality afdeling. Vaak zie je dat er ook een link is naar de centrale IT afdeling, netwerk services, inkoop of personeelszaken. De manier van inrichten verschilt per organisatie.

Om de continuïteit van uw online dienstverlening te garanderen is het van belang om uw (SSL)certificaatbeheer goed te organiseren. Evidos helpt organisaties bij het opzetten van goed certificaatbeheer.

Kamer stemt in met elektronisch patiëntendossier

20 februari 2009  

DEN HAAG – De Tweede Kamer heeft donderdag ingestemd met de invoering van het elektronisch patiëntendossier (EPD).

Naar verwachting worden artsen en andere zorgverleners in het voorjaar van 2010 verplicht om zich aan te sluiten op het computersysteem waarmee ze informatie over patiënten en hun medicijngebruik kunnen uitwisselen.

De Kamer stemde donderdag in met de wet die de verplichte aansluiting regelt. Die verplichting geldt alleen voor de huisartsen, apothekers en specialisten, patiënten staat het vrij om bezwaar te maken tegen deelname aan het dossier.

Ook moeten ze een arts toestemming geven om de gegevens in te zien. Een arts mag dit alleen doen als hij de patiënt in behandeling heeft.

Minister Ab Klink (Volksgezondheid) was van plan het EPD al dit najaar in te voeren, maar doet het wat rustiger aan omdat dan nog niet alle zorgverleners de veiligheid van hun systeem goed geregeld hebben.

Voor invoering wil de minister ook nog hackers op het patiëntendossier loslaten.

Het uitstel biedt de minister ook nog gelegenheid tegemoet te komen aan de wens van de Kamer dat bij invoering de patiënt meteen inzage kan krijgen in zijn eigen dossier.

Ook kan hij zien welke artsen er allemaal gebruik van hebben gemaakt.

De digitale patiëntendossiers moeten het aantal fouten dat artsen maken terugdringen. Ook hoeven onderzoeken minder vaak overgedaan te worden.

Project mobiele identiteit

12 februari 2009  

Evidos realiseert project “mobiele telefoon als identiteitsbewijs”.

Notarissen, accountants en advocaten maken al enkele jaren succesvol gebruik van een digitale identiteit. Deze digitale identiteit staat in veel gevallen op een smartcard, vergelijkbaar met de bankpas.

Het gebruik van de mobiele telefoon wordt steeds multifunctioneler. De mobiele telefoon is
niet alleen om mee te bellen, maar ook om foto’s te maken, online radio te luisteren,
muziek af te spelen of toegang te krijgen tot het internet.

De mobiele telefoon kan nu ook een elektronische handtekening zetten die net zo betrouwbaar is als een geschreven handtekening.  De mobiele telefoon kan ook gebruikt worden als middel om in te loggen bij diverse online diensten en zelfs om betalingen en transacties te regelen.

Binnen het project toetsen we de praktijkervaringen van de gebruiker bij het ondertekenen en inloggen met behulp van de mobiele telefoon.

De mobiele telefoon wordt uitgerust met een speciale simkaart met daarop extra functies
voor authenticatie en ondertekening. In het veilige gedeelte van de telefoon wordt een
digitaal certificaat geplaatst.

Wilt u meer weten over het project, mobiele identiteit, neem dan contact op met Evidos

• Rubrieken

  • Artikelen
  • Evidos nieuws

• Nieuws Archief

  • maart 2010
  • januari 2010
  • mei 2009
  • april 2009
  • februari 2009
  • december 2008
  • november 2008
  • oktober 2008
• 
  
  
  
  
  
  
  
  
  

Algemene Voorwaarde | Disclaimer | Privacy

Contact: E-mail: info@evidos.nl | Tel: +31(0)237370046 | KvK 34296869 | BTW NL.1855.20.522.B.01