2min

De Iraanse overheid tapte het verkeer tussen haar inwoners en Gmail af. Ze gebruikte hiervoor een door Diginotar goedgekeurd certificaat waarmee het mogelijk is de browsers te misleiden en al het verkeer tussen de Iraanse inwoners en Gmail te onderscheppen.

Diginotar is een bedrijf dat in Nederland is gevestigd maar een dochter ondernemning is van een groter Amerikaans bedrijf. Diginotar geeft certificaten uit voor beveiligde internetverbindingen, aan de hand van zo’n certificaat bepaald de browser of de verbinding veilig is. Diginotar had dus ook een certificaat in omloop wat de echtheid van de Google servers waarborgt maar werd misbruikt door de Iraanse overheid. Dit certificaat is nu ingetrokken, waardoor de Iraanse overheid niet langer het Google-verkeer kan monitoren.

Gebruikers van GMail die ook de Chrome-browser gebruikte zijn niet afgetapt, Google heeft in Chrome ingebakken dat het de echtheid van Google-certificaten bij Google zelf controleert en niet bij externe instanties. Alle andere browsers waren hier wel gevoelig voor.

De naam van Diginotar is duidelijk aangetast door het gebeuren, mede doordat het bedrijf niet alleen verantwoordelijk is voor reguliere certificaten maar het bedrijf ook certificaten levert aan de Nederlandse overheid, waaronder voor DigID. Volgens het Ministerie van Binnenlandse Zaken is DigiD gewoon veilig en hoeven mensen zich geen zorgen te maken, de certificaten van de overheid verlopen via een apart traject en procedure. "De hoofdsleutel ligt dan ook bij DigiD in de kluis en niet bij Diginotar."

De Iraanse overheid heeft in elk geval niet heel lang kunnen genieten van het certificaat, het is namelijk pas in juli 2011 uitgegeven. Wel zijn mogelijk de levens van Iraanse burgers in gevaar gebracht door dit certificaat al is dat moeilijk te herleiden en te bewijzen.

Mozilla en Microsoft hebben ook actie ondernomen nadat het nieuws over dit certificaat bekend werd. Alle browserfabrikanten houden een lijst bij met vertrouwde organisaties die certificaten voor beveiligde internetverbindingen uitgeven. Zowel Mozilla als Microsoft hebben Diginotar nu van deze vertrouwde lijst afgehaald.

De gevolgen voor Diginotar dat ze niet langer op deze lijsten staan is vrij groot. Veel bedrijven met certificaten van Diginotar zullen nu klachten gaan krijgen van internetgebruikers dat de verbinding niet als zeer veilig is gemarkeerd, waardoor deze bedrijven een nieuwe certificaatleverancier gaan zoeken.

Voor internetgebruikers is het verschil namelijk vrij goed te zien in Internet Explorer en Firefox. Normaal gesproken als je gebruik maakt van een beveiligde internetverbinding (https://), dan kleurt de hele adresbalk of een klein deel groen. Surf bijvoorbeeld maar eens naar Mijn.ING.nl, de ING gebruikt een certificaat van Verisign een organisatie die wel op de vertrouwde lijst staat. Als je nu naar DigiID surft zal je zien dat de groene kleur is verdwenen en deze dus minder vertrouwd is.

De overheid zou er dan ook goed aan doen om haar certificaten voor onder andere DigID te vernieuwen bij een grote speler zoals Verisign.