Digitale autonomie is ook: het slot op je deur snappen

Wat een klein, bijna onzichtbaar incident laat zien over vertrouwen, afhankelijkheid en eigen kennis

Een slot op je voordeur doet zijn werk pas echt als je het kunt vergeten. Je draait de sleutel om, je loopt weg en je denkt er niet meer aan. Omdat je weet dat je veilig bent. Zo werkt ook het vertrouwen op internet. Achter het kleine slotje in je adresbalk zit een hele machinerie die garandeert dat je echt met de juiste partij verbonden bent. Een machinerie die je nooit ziet. Tot ze hapert.

Deze week haperde ze. Bezoekers en geautomatiseerde afnemers van open.overheid.nl, de plek waar de overheid haar officiële publicaties en open data ontsluit, liepen tegen certificaatfouten aan. Sommigen konden de site daardoor niet meer bezoeken. Het was geen aanval, geen datalek, geen spectaculair verhaal. Gewoon een schakel die wegviel in iets wat bijna niemand ziet.

Maar het gebeurde wel en de klok tikt voor open.overheid.nl en nog duizenden andere certficaten. Over drie dagen, op 15 juni, gaan nieuwe regels in voor precies dit soort certificaten.

Het CA/Browser Forum

Achter het slotje in je adresbalk zit een afspraak: je browser laat een website pas zonder waarschuwing zien als die een geldig "certificaat" heeft — een soort digitaal echtheidskenmerk. Wie zulke certificaten mag uitgeven, en aan welke eisen ze moeten voldoen, bepaalt het CA/Browser Forum.

Dat is geen overheid en geen wet, maar een club van bedrijven. Aan de ene kant de uitgevers van certificaten, aan de andere kant de makers van browsers, zoals Google, Apple, Microsoft en Mozilla. Samen schrijven zij de regels.

Meedoen aan die regels is vrijwillig. Maar wie zich er niet aan houdt, wordt door de browsers simpelweg niet meer vertrouwd — en een certificaat dat browsers niet vertrouwen, is waardeloos. Zo bepaalt een handvol bedrijven, zonder dat er een rechter of parlement aan te pas komt, of de website van jouw gemeente of ministerie het stempel "veilig" krijgt.

Wat er gebeurde bij open.overheid.nl

Een https-verbinding werkt via een keten. Het certificaat van de website hangt aan een tussencertificaat, dat hangt aan een hoofdcertificaat dat je browser vertrouwt. Valt er een schakel weg, dan breekt de keten en krijgt de bezoeker een waarschuwing of kan de website niet bezoeken.

De certificaatautoriteit achter open.overheid.nl, het Roemeense certSIGN, was bezig een oud tussencertificaat uit te faseren — vooruitlopend op de nieuwe regels van 15 juni. Afnemers waren gevraagd over te stappen op een nieuw tussencertificaat. Bij open.overheid.nl lijkt die overstap niet (op tijd) te zijn gemaakt. In de woorden van een van de mensen die het opmerkte: het lijkt erop dat iemand heeft liggen slapen.

De certificaatautoriteit maakte een fout. Bij certSIGN zelf spraken twee systemen elkaar tegen. Het ene intrekkingskanaal (de CRL) meldde dat het oude tussencertificaat was ingetrokken; het andere (OCSP) bleef uren later doodleuk "geldig" antwoorden. Allebei correct ondertekend, allebei "officieel" — en lijnrecht tegenover elkaar. Of je verbinding werd vertrouwd of niet, hing daardoor af van welke controle je software toevallig gebruikte. Het raakt niet één site, maar zo'n 2.900 certificaten die onder dat tussencertificaat hangen. Het is inmiddels netjes als compliance-incident bij Mozilla gemeld.

CRL en OCSP

Een certificaat heeft een vervaldatum, maar soms moet het al eerder ongeldig worden verklaard — bijvoorbeeld omdat het niet meer gebruikt wordt of niet langer veilig is. Dat heet intrekken. Je browser wil dus niet alleen weten óf een certificaat geldig is, maar ook of het tussentijds is ingetrokken.

Daar zijn twee manieren voor. Een CRL (Certificate Revocation List) is een lijst: de uitgever publiceert een overzicht van alle ingetrokken certificaten, en je software kijkt of het certificaat erop staat. Een soort zwarte lijst die je naslaat. OCSP (Online Certificate Status Protocol) werkt andersom: in plaats van een hele lijst op te halen, vraagt je software het rechtstreeks aan de uitgever — "is dit ene certificaat nog goed?" — en krijgt meteen antwoord.

Allebei horen ze hetzelfde te zeggen. Hier niet: de lijst zei "ingetrokken", de rechtstreekse vraag zei "nog gewoon geldig". Twee officiële antwoorden die elkaar tegenspreken — en dáár zit de fout.

Drie schakels diep

Dit verhaal gaat ook over afhankelijkheid. Want wie is hier eigenlijk verantwoordelijk voor het vertrouwen?

De keten hier is van open.overheid.nl via KPN naar certSIGN. KPN is niet de certificaatautoriteit; KPN is de Nederlandse wederverkoper en registratie-autoriteit. KPN controleert de organisatie, regelt de aanvraag, bemenst de helpdesk — maar de cryptografische keten, de intrekkingslijsten, de OCSP-server: dat draait allemaal bij certSIGN in Roemenië. De overheid koopt haar vertrouwen dus in bij een Nederlandse partij, die het op haar beurt inkoopt bij een buitenlandse.

Hoe is het zover gekomen? Nederland hád een eigen, publiek vertrouwde overheids-CA: PKIoverheid, onder de "Staat der Nederlanden"-stamcertificaten. Velen zullen zich DigiNotar — de Nederlandse certificaatleverancier die in 2011 werd gehackt en omviel herinneren. DigiNotar was ook een uitgever binnen PKIoverheid: het gaf overheidscertificaten uit onder de "Staat der Nederlanden", voor websites van de overheid. Toen de browsers DigiNotar wilden verwijderen, ontstond precies het dilemma waar dit hele verhaal om draait: de Nederlandse staat vroeg eerst om een uitzondering, zodat overheidsdiensten beschikbaar zouden blijven. Die uitzondering kwam er even — maar werd ingetrokken toen bleek dat ook die certificaten niet meer te vertrouwen waren. De overheid moest vervolgens met spoed migreren.

Jaren later, in 2017, dreigden browsermakers opnieuw, toen een nieuwe aftapwet de overheid de bevoegdheid gaf om met "valse sleutels" mee te lezen. Dat bleef bij een dreiging.

Wat de eigen publiek vertrouwde servercertificaten uiteindelijk de das om deed, was geen wetsvoorstel en geen hack, maar een technische tekortkoming. Vanaf begin 2021 vroeg Logius zélf om het websitevertrouwen in het eigen stamcertificaat te laten verwijderen, vanwege een non-compliance rond de OCSP-responder — sectie 4.9.9 van diezelfde Baseline Requirements. Men koos ervoor de stekker eruit te trekken in plaats van te herstellen. De publiek vertrouwde overheidscertificaten verliepen eind 2022. En KPN ging in zee met certSIGN.

De Nederlandse overheid verloor haar eigen browser-vertrouwde CA om een Baseline-Requirements-kwestie rond OCSP. En nu, ruim vier jaar later, struikelt de buitenlandse opvolger over… een Baseline-Requirements-kwestie rond OCSP. Dezelfde soort regel, dezelfde zwakke plek, een andere eigenaar. Wie de afhankelijkheid wegschuift, schuift het probleem niet weg — je verplaatst het alleen, en raakt er zicht op kwijt.

Wie merkte het op?

Dit incident werd niet zichtbaar gesignaleerd door de verantwoordelijke organisatie, maar door de gemeenschap: securitymensen die het bespraken op Mastodon, en iemand die de moeite nam er een formele bugmelding van te maken. Uitgerekend op Mastodon — het open, in eigen beheer draaiende alternatief dat ik zelf graag aanhaal als het over publieke waarden gaat. Externe ogen vingen op wat eigen monitoring had moeten zien.

Dat is geen toeval. Het is wat er gebeurt als kennis buiten de organisatie zit in plaats van erbinnen.

Ik maakte het eerder van dichtbij mee

Wie wat langer meeloopt, herkent het patroon. Een jaar of zeven geleden was ik er zelf bij betrokken, toen ditzelfde mechanisme de zorg in de spoedstand bracht.

In 2019 moest het UZI-register — de organisatie van VWS die zorgverleners hun digitale identiteit geeft — zo'n 3.000 servercertificaten met spoed vervangen. De aanleiding was letterlijk klein: door een verkeerde standaardinstelling in de uitgiftesoftware hadden de certificaten een serienummer van 63 in plaats van de vereiste 64 bits. Geen lek, geen misbruik — een technische afwijking van de regels. Maar dezelfde browserpartijen, Google, Apple en Mozilla, accepteerden het niet en zetten druk op het tempo. Wat een rustige uitfasering had moeten zijn, werd een race tegen de klok: duizenden zorgverleners kregen een brief met de oproep vóór 1 oktober een nieuw certificaat aan te vragen.

De minister behandelde de operatie uiteindelijk als een calamiteit en informeerde de Tweede Kamer. Aan de oplossing van deze calamiteit mocht ik leiding geven. Ziekenhuizen, apotheken, huisartsen — allemaal moesten ze mee. Het ging tenslotte om de digitale sleutels waarmee in de zorg medische gegevens worden uitgewisseld; daarin wil je geen onderbreking.

Twee dingen zijn me bijgebleven. Het eerste: hoe groot de afhankelijkheid is van regels die wij niet maken en van partijen die wij niet aansturen. Het tweede: dat het verschil tussen "rustige planning" en "calamiteit" niet in de techniek zat, maar in de vraag of je het ziet aankomen en de kennis in huis hebt om te handelen. Precies dezelfde twee dingen die nu bij open.overheid.nl spelen.

De les: autonomie is afhankelijkheden begrijpen en beheren

Het is verleidelijk om hieruit te concluderen: doe het dan zelf. Maar een publiek vertrouwd certificaat kún je niet zelf ondertekenen; het browservertrouwensmodel vereist nu eenmaal een externe, geaccrediteerde uitgever. Dat is hoe het internet werkt.

Autonomie betekent hier dus niet: alles in eigen hand nemen. Het betekent: genoeg verstand van zaken in huis hebben om je afhankelijkheden te begrijpen en te beheren. Weten welke regels eraan komen. Weten wat een leveranciersmail over een tussencertificaat betekent en ernaar handelen. Je eigen ketens monitoren, zodat je het zelf merkt — niet via een Mastodon-toot van een vriendelijke buitenstaander.

Daar komt de versnippering bij waar ik vaker over schrijf. Elke overheidsorganisatie beheert haar eigen sites, haar eigen domeinen, haar eigen certificaten — we koesteren onze autonomie en eigenheid. Maar dat betekent ook honderden plekken waar precies dit ongemerkt kan misgaan.

Het is dezelfde les die ik eerder trok over onze afhankelijkheid van externe producten en diensten en over digitale autonomie: Nederland kan meer in eigen hand houden dan we denken, als we het durven — en als we de bijbehorende kennis op orde hebben.

Tot slot

De klok tikt nog steeds. Over drie dagen gaan de nieuwe regels in, en ik vrees dat open.overheid.nl niet de enige plek is waar het tussencertificaat nog niet is verwisseld.

Zorgen dat je op een website kunt vertrouwen lijkt vanzelfsprekend, maar het is werk. Onzichtbaar, saai, doorlopend werk — en juist daarom zo makkelijk te laten liggen. Digitale autonomie zit niet alleen in grote keuzes over clouds en Big Tech. Ze zit ook in het slot op de deur, en in de mensen die weten hoe dat slot werkt.

Het slot kunnen we inkopen — snappen moeten we het zelf.

Heb je een correctie of aanvulling? Ik hoor het graag.