DigiNotar liet bij elektronische inbraak meer dan één steek vallen
Op 28 augustus ziet een Iraanse websurfer die zijn Gmail-account wil openen zijn browser Chrome waarschuwen: het certificaat dat de Google-server presenteert is niet geldig. Hij krijgt die waarschuwing alleen omdat hij een in Chrome versie 12 toegevoegde beveiligingsfunctie heeft ingesteld: HTTPS Strict Transport Security; alleen voor experts, luidt Googles aantekening bij de HSTS-functie. En nog weinig gebruikt.
Daarmee kun je per domein afdwingen dat met dat domein alleen via het HTTPS-protocol gecommuniceerd kan worden, en je kunt ook instellen dat daarbij alleen SSL-certificaten van een subset van meer vertrouwde certificatieautoriteiten geaccepteerd wordt. Het SSL-certificaat van de website waar de Iraniër contact mee had, viel niet in die categorie. Het was uitgegeven door DigiNotar, ‘een certificatieautoriteit die geen certificaten voor Google behoort uit te geven’, zoals Google het omschrijft.