2min Security

Valse certificaten op de markt door hack DigiNotar

DigiNotar is gehackt en daardoor was de Iraanse overheid in staat om het verkeer tussen haar burgers en Google te onderscheppen en af te luisteren. Ook als er gebruik werd gemaakt van een beveiligde verbinding. Volgens Vasco, het Amerikaanse moederbedrijf van DigiNotar, is DigiNotar in juli al gehackt en is er ingebroken in de Certificate Authority (CA) infrastructuur. Door daarop in te breken konden de hackers valse certificaten uitgegeven voor een aantal domeinen, waaronder Google.com

Valse certificaten op de markt door hack DigiNotarNadat DigiNotar erachter kwam in juli dat hun systemen waren gehackt heeft het diverse certificaten ongeldig verklaard die waren gegeneerd door de hackers, ergens in dat proces is men vergeten om het certificaat voor Google.com ook ongeldig te verklaren. De grote vraag is nu of er nog meer certificaten in omloop zijn die men is vergeten ongeldig te verklaren.

Inmiddels hebben Microsoft, Mozilla en Google al actie ondernomen en worden alle certificaten die door DigiNotar zijn uitgegeven niet langer gezien als veilig. Internet Explorer, Firefox en Chrome zullen een waarschuwing laten zien als men een website bezoekt via een beveiligde verbinding welke gecertificeerd is door DigiNotar. Dit geldt ook voor verschillende websites van de Nederlandse overheid waaronder DigiD.

DigiNotar heeft het certificaat van Google.com pas ongeldig verklaard toen het daar een melding van kreeg van de overheidsinstantie Govcert. Govcert is het zogenaamde Cyber Security team van de Nederlandse overheid met als doel om Nederland digitaal zo veilig mogelijk te houden. Zowel Govcert als de AIVD hebben een onderzoek ingesteld naar de gevolgen van deze hack en de uitgifte van nepcertificaten.

Hoewel Vasco laat weten een aparte CA te hebben voor de Nederlandse overheid, welke niet is gehackt. Is de kans toch groot dat de Nederlandse overheid nieuwe certificaten moet regelen bij een andere leverancier. Dit omdat de browserfabrikanten geen onderscheidt maken tussen de CA van DigiNotar en die van de overheid welke ook wordt geleverd door DigiNotar. Ook zullen de browserfabrikanten waarschijnlijk niet op korte termijn DigiNotar terugplaatsen op de lijst van vertrouwde websites.

Groenlinks heeft inmiddels op hun website laten weten dat het kamervragen gaat stellen over deze kwestie.