Het certificaat dat een Beverwijks bedrijf per abuis uitgaf en dat Iran hielp om internetters te bespioneren, blijkt het gevolg van een hack te zijn. Deze hack werd in juli al ontdekt, maar het certificaat werd onlangs pas ingetrokken.
Maandag en dinsdag kwam DigiNotar in het nieuws doordat een frauduleus certificaat dat door het Beverwijkse bedrijf werd uitgegeven, mogelijk door Iran is gebruikt om op Google-gebruikers te spioneren. Naar nu blijkt is dat het gevolg van een hack. In een verklaring schrijft Vasco Security, sinds januari eigenaar van DigiNotar, dat de hack al half juli heeft plaatsgevonden.
Daarbij is een aantal frauduleuze certificaten gegenereerd. Toen DigiNotar de hack ontdekte, op 19 juli, heeft het bedrijf de frauduleuze certificaten ingetrokken. Daarbij is er echter minimaal één over het hoofd gezien: het certificaat dat voor Google.com is gebruikt. Pas toen de Nederlandse overheidsorganisatie GovCert deze week ontdekte dat een frauduleus certificaat nog niet ingetrokken was, is deze alsnog ongeldig gemaakt. Het is onduidelijk of er nog valse ssl-certificaten van DigiNotar in omloop zijn.
Chief operating officer Jan Valcke van DigiNotar zegt dat de Nederlandse overheid destijds wel is ingelicht, maar dat het bedrijf het niet nodig vond om de hack publiek te maken. Volgens Valcke valt zijn bedrijf niets te verwijten: "De vereiste procedures zijn gevolgd", aldus Valcke.
DigiNotar is een bedrijf dat veel werk doet voor de overheid: onder meer het ssl-certificaat van DigiD is afkomstig van DigiNotar, evenals de ssl-certificaten die bedrijven en instellingen gebruiken om vertrouwelijk met overheidsdiensten te communiceren.
Als gevolg van de hack zegden makers van webbrowsers collectief hun vertrouwen in DigiNotar op. Het root-certificaat is uit alle grote webbrowsers verwijderd, en in ieder geval in Firefox heeft dat ertoe geleid dat gebruikers binnenkort een foutmelding krijgen als ze naar DigiD proberen te surfen.
Het ministerie van Veiligheid en Justitie maakt zich weinig zorgen. "De sleutels voor de certificaten van de overheid zijn in het bezit van de overheid zelf, het is een gescheiden proces", aldus woordvoerder Jean Fransman. "Het enige wat DigiNotar doet, is de certificaten leveren." Waarschijnlijk bedoelde Fransman hiermee dat DigiNotar enkel over de public key beschikte, maar dat de privésleutel opgeborgen bleef. Over de blokkade door Firefox zegt Fransman: "Dat is niet onze beslissing, wij zijn niet de eigenaar van Firefox."
GroenLinks en D66 hebben minder vertrouwen in DigiNotar. D66 wil een onderzoek naar de zaak, zegt woordvoerder Thierry van Es. Tweede Kamerlid Arjan El Fassed van GroenLinks heeft Kamervragen gesteld over de kwestie. "Dit moet met spoed worden opgepakt door het kabinet", aldus het Kamerlid. "DigiD-gebruikers weten nu niet of ze wel of niet toegang hebben en of die toegang wel veilig is."
Beveiligingsbedrijf F-Secure schreef eerder op dinsdag dat de website van DigiNotar jaren geleden al is gehackt, en dat tekstbestanden waarin van de hack melding werd gemaakt, pas dinsdag werden verwijderd. Het ging om iemand die claimt dat hij een Iraanse hacker was. Het is onduidelijk of dit iets met de ssl-certificaten te maken heeft.
Bron: Tweakers.net