Abonneer je gratis op Techzine!

Precies een week geleden kondigde de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA) aan dat ze een onderzoek zou starten naar het reilen en zeilen van DigiNotar. Dat onderzoek is inmiddels afgerond en de conclusies liegen er niet om: de betrouwbaarheid van de beveiligingscertificaten kan niet langer gegarandeerd worden. Daarom beëindigt de OPTA de registratie van DigiNotar.

Concreet betekent het dat DigiNotar niet langer gekwalificeerde certificaten mag uitgeven, omdat de veiligheid en betrouwbaarheid van websites die deze certificaten gebruiken niet langer gegarandeerd kunnen worden. Gekwalificeerde certificaten zijn certificaten waarmee een elektronische handtekening gezet worden. Het bedrijf moet de uitgegeven certificaten intrekken en mag niet langer nieuwe certificaten aanbieden. Het is de wettelijke taak van de OPTA om toezicht te houden op de uitgifte van dit type certificaten.

DigiNotar is een Nederlands bedrijf dat beveiligingscertificaten uitgaf. Deze certificaten, ook wel SSL- of servercertificaten genoemd, worden gebruikt voor het opzetten van beveiligde verbindingen. De telecomwaakhond OPTA constateerde in het onderzoek dat de hacker niet alleen had ingebroken op het systeem van DigiNotar, maar eveneens toegang had tot het systeem waarmee men deze certificaten kan aanmaken. Volgens de OPTA is het daarom niet langer zeker "dat gegevens op deze systemen niet zijn gemanipuleerd, onttrokken of misbruikt."

De OPTA heeft DigiNotar opgedragen om zijn klanten te informeren over de intrekking van de gekwalificeerde certificaten. Het ministerie van Binnenlandse Zaken neemt het operationele beheer van de certificeringssystemen voor haar rekening. De OPTA adviseert gebruikers van DigiNotar-certificaten om deze te vervangen.

Het verhaal voor DigiNotar lijkt hiermee definitief over en uit. Diverse partijen hebben het vertrouwen in het Nederlandse bedrijf opgezegd en het mag ook niet langer nieuwe certificaten uitgeven. Het is niet het eerste onderzoek dat zich vernietigend uitlaat over de gang van zaken bij DigiNotar. Een eerder onderzoek van het Delftse FOX-IT toonde aan dat er van alles mis was bij DigiNotar. Zo bleek dat de omgeving van de werkplekken op kantoor direct was gekoppeld aan de technische omgeving waarin certificaten kunnen worden aangemaakt. Ook het wachtwoordbeleid en andere simpele beveiligingsmaatregelen waren niet in orde.