Abonneer je gratis op Techzine!

Google heeft in de nieuwe versie van de Chrome browser 247 DigiNotar certificaten verwijderd van de lijst met vertrouwde certificaten. Deze certificaten zijn allemaal van niet bekende website en daardoor mogelijk allemaal vals en aangemaakt door hackers. Hiermee lijken de problemen van DigiNotar veel groter dan eerder werd gesteld.

Vasco het moederbedrijf van DigiNotar, sprak in een eerdere verklaring over tientallen certificaten die door hackers zouden zijn aangemaakt. De meeste hiervan zouden inmiddels zijn ingetrokken maar dit kon niet met zekerheid worden gesteld door Vasco. Deze informatie blijkt nu niet te kloppen want het gaat over honderden en niet tientallen certificaten. Vragen van de pers worden door DigiNotar niet beantwoord, het bedrijf lijkt te hopen dat het allemaal overwaait.

Van de 247 certificaten die Google heeft aangemerkt als vals blijken er 12 voor het Tor-netwerk te zijn. Tor is een dienst waarmee je je internetverbinding anoniem kan maken en niet langer te volgen bent. Dit is vooral handig voor opstandelingen in landen waar de vrijheid van meningsuiting nog niet van toepassing is. Met deze certificaten waren de landen mogelijk wel in staat om de verbinding te onderscheppen.

Tor heeft zelf aan Google een lijst overhandigt met certificaten van een CA die wel betrouwbaar zijn zodat Google de rest kan weigeren. Diginotar heeft aan Tor laten weten dat de 12 certificaten inmiddels zijn ingetrokken, toch heeft Tor besloten om in de Tor-browser alle certificaten van DigiNotar op de zwarte lijst te zetten.

Google, Mozilla en Microsoft hebben DigiNotar van de lijst gehaald met vertrouwde CA’s. De Nederlandse overheid zou inmiddels al hebben bedwongen dat de certificaten van de Nederlandse overheid wel op de vertrouwd blijven, volgende week zouden alle websites van de overheid weer moeten werken met een vertrouwd certificaat.

De enige partij die nog geen actie heeft ondernomen is Apple, alle certificaten van DigiNotar worden momenteel nog steeds vertrouwd. Of Apple voornemens is om daar iets in te gaan aanpassen is onduidelijk, gebruikers worden momenteel nog zonder waarschuwing doorgeleid.

Gezien de communicatie vanuit DigiNotar enorm slecht is naar buiten toe, het bedrijf nog steeds geen volledige lijst heeft van certificaten die zijn gegenereerd door hackers en het niet om tientallen maar om honderden certificaten gaat is het nogal vreemd dat de overheid vertrouwen blijft houden in dit bedrijf. Veel beveiligingsexperts zijn van mening dat de overheid er goed aan zou doen de certificaten te vervangen door die van een andere leverancier.