Beste gebruiker,
Op maandag 7 april, is er een zogeheten "0-day"-kwetsbaarheid ontdekt in de OpenSSL functionaliteit - welke de Piratenpartij gebruikt. Deze houdt in, dat het voor een kwaadwillende gebruiker mogelijk is geweest om onze privesleutels te achterhalen zonder hiervan sporen achter te laten.
Aangezien wij de veiligheid van deze privesleutels niet langer kunnen garanderen, zijn deze uit de roulatie gehaald. Dit betekent, dat je mogelijk de komende paar dagen - wanneer je een HTTPS-verbinding gebruikt - een melding van je browser krijgt dat de certificaten niet vertrouwd zijn ("untrusted issuer" of "self-signed certificate").
Dit is een tijdelijke maatregel om voorlopig alsnog versleutelde verbindingen te kunnen gebruiken. Wij publiceren zo snel mogelijk de SHA-512 fingerprints van deze certificaten op een extern medium. Daarnaast zijn wij inmiddels in overleg met onze certificaatautoriteit om zo snel mogelijk weer "vertrouwde" certificaten aan te kunnen bieden.
Het is niet aannemelijk dat eerder verstuurde versleutelde informatie gecompromitteerd is bij de Piratenpartij - aangezien deze gebruik maakt van "forward secrecy", welke je informatie continu met een unieke sleutel beveiligt. Desondanks is, vanwege de schaal van deze kwetsbaarheid (en het feit, dat veel websites geen forward secrecy implementeren) het aan te raden om zo snel mogelijk je wachtwoorden te wijzigen.
Onze excuses voor het ongemak, en we hopen zo snel mogelijk weer overal "vertrouwde" certificaten geinstalleerd te hebben.
View the full article