Door een vergetelheid oogde de website van de Belgische Staatsveiligheid een dag lang onbeveiligd. Het certificaat werd niet tijdig vernieuwd.
Betrouwbare websites hebben een veiligheidscertificaat van een speler die de echtheid garandeert en er mede voor zorgt dat gegevens die de gebruiker uitwisselt met de site op een beveiligde manier worden verzonden. Maar zulke certificaten moeten ook om de zoveel tijd worden vernieuwd.
Dat gebeurde niet bij VSSE.be, de website van de Veiligheid van de Staat. VRT ontdekte dat de site sinds gisteren een waarschuwing meekreeg in verschillende browsers omdat er geen geldig certificaat meer was.
De fout lag niet bij Staatsveiligheid zelf maar bij de Kanselarij van de Eerste Minister. Die is bevoegd voor de website en dus ook voor de certificaten. VRT vernam dat Staatsveiligheid al had gevraagd aan de Kanselarij om werk te maken van die verlenging, maar door miscommunicatie is dat niet gebeurd. De website is om veiligheidsredenen daarom offline gegaan. Intussen is de site weer actief, met een geldig certificaat en een werkende HTTPS-verbinding.
Vergeten certificaten brengen wel vaker organisaties in verlegenheid, zo overkwam het LinkedIn ook al eens. Maar het reële gevaar is in dit geval wel relatief. Zo is de website van Staatsveiligheid geen doorgeefluik van gevoelige informatie, wat bijvoorbeeld wel het geval is bij Tax-on-Web of een webshop waar je betaalgegevens ingeeft.
Bovendien betekent een pas vervallen certificaat niet dat de website per definitie onveilig is. Pas op lange termijn, wanneer de versleuteling verandert bijvoorbeeld, kan dit risico’s inhouden. Maar intussen krijg je als bezoeker wel een waarschuwing bij sites zonder geldig certificaat en dat oogt niet erg professioneel. Dat het net Staatsveiligheid is dat als onveilig werd geklasseerd, maakt het extra ironisch.
Update 4/12/2020
In de oorspronkelijke versie van dit artikel stelden we dat verkeer van en naar de website van Staatsveiligheid door het vervallen certificaat onveilig was. Een lezer wijst ons er op dat dit niet klopt. De laatste alinea van het artikel is daarom aangepast om dit correct te nuanceren.
Fout opgemerkt of meer nieuws? Meld het hier