Overheid zegt vertrouwen in DigiNotar op

DigiNotar meldde vervolgens dat bij een hack in juli enkele tientallen certificaten waren aangemaakt. Er zijn echter aanwijzingen dat het er fors meer zijn. Waarschijnlijk bijna 250, en mogelijk zelfs nog meer. Gervase Markham van Mozilla heeft op zijn blog een lijst met namen van vervalste certificaten gepubliceerd. Daaruit blijkt dat de hackers certificaten hadden aangemaakt voor onder meer Microsoft, de CIA, Facebook, Skype en Tor. Markham betwijfelt ook of DigiNotar wel in staat was om alle aangemaakte certificaten te herroepen, zoals het naar eigen zeggen gedaan heeft.

Veiligheid van PKIOverheid niet gegarandeerd
Ook een andere claim van DigiNotar staat nu ter discussie. Volgens het bedrijf zouden de certificaten die het verzorgt voor overheidssites veilig zijn. Onderzoek van Fox-IT heeft echter tot de conclusie geleid dat de DigiNotar de veiligheid van PKIOverheid niet kan garanderen. Dat betekent dat een Nederlandse burger er niet meer van op aan kan dat hij daadwerkelijk met de overheid communiceert, als een website zich met een SSL-certificaat als overheidssite ‘legitimeert’. In reactie daarop heeft de overheid het vertrouwen in DigiNotars certificaten opgezegd.

De overheid stapt nu over op een andere certificatieautoriteit voor PKIOverheid. Daarbij is gekozen voor ‘een beheerst overgangsscenario’. Daarbij worden de certificaten en het operationeel beheer ervan geleidelijk overgenomen door een andere partij. Daarvoor kan men terecht bij ESG, Getronics of quo Vadis, meldt Logius, dat verantwoordelijk is voor de infrastructuur bij de overheid.

De DigiNotar-certificaten worden in de tussentijd niet ingetrokken. Intrekken zou weliswaar bezoekers van mogelijk gecompromiteerde websites waarschuwen. Maar het zorgt ook voor problemen in de communicatie tussen websites die op de achtergrond van deze certificaten gebruik maken om het onderlinge verkeer te versleutelen. De overheid heeft het beheer van de DigiNotar-systemen die bij de uitgifte van certificaten betrokekn zijn op 3 september wel overgenomen om te kunnen controleren dat verder misbruik niet voorkomt.

VNO-NCW waarschuwt bedrijven
Werkgeversorganisatie VNO-NCW adviseert bedrijven om onmiddellijk te stoppen met het gebruik van certificaten van DigiNotar. Hoeveel bedrijven daarvan gebruikmaken, is door DigiNotar niet bekend gemaakt. Moedermaatschappij Vasco Data Security heeft wel gezegd dat de omzet in digitale certificaten van DigiNotar beneden de 100.000 euro ligt. Het goedkoopste certificaat kost 250 euro per jaar. Daaruit valt af te leiden dat er maximaal 4000 certificaten door DigiNotar zijn uitgegeven.

Overigens is geen van de Nederlandse banken klant van DigiNotar.