De hack bij DigiNotar stelde de inbrekers gedurende langere tijd in staat naar believen certificaten aan te maken. Browsers herkenden DigiNotar als een vertrouwde CA. Met die DigiNotar-certificaten kunnen zij dus webservers inrichten die zich voordoen als google.com, hoewel Google nooit een certificaat bij DigiNotar heeft gekocht.

Om echter de communicatie met Googles mailsysteem af te kunnen luisteren, is meer nodig dan een vervalst certificaat. In een normale situatie zorgt het domain name system (DNS) ervoor dat een verzoek om contact met een server ook daar aankomt. Vervolgens kan een beveiligde communicatie worden opgezet. Om met de DigiNotar-certificaten de beveiligde communicatie af te kunnen luisteren, is daarom tevens een hack van de DNS-infrastructuur nodig. Dat is niet onmogelijk, getuige bijvoorbeeld de Turkse hack van de NetNames DNS-server deze week. Maar het is erg lastig, tenzij de DNS-infrastructuur in handen is van een overheid en deze ook zijn burgers wil bespioneren. Het doel van de DigiNotar-hack was vermoedelijk de Iraanse overheid, die toegang heeft tot de DNS-infrastructuur, te voorzien van de benodigde vertrouwde certificaten om de Google-mail af te luisteren.

Door DNS-manipulatie komt het verzoek van de eindgebruiker uit bij een server, beheerd door de inbreker. Deze moet zich voordoen als de opgevraagde server en daar komt het vervalste certificaat van pas. De browser van de eindgebruiker merkt niet dat de verbinding is omgeleid en brengt de beveiligde verbinding tot stand. Vervolgens is het zaak voor de inbreker ook een verbinding op te zetten met de authentieke server en alle verzoeken en antwoorden, na ze te hebben gekopieerd, over en weer door te zenden. De inbreker kan vervolgens de gekopieerde gegevens offline analyseren.

De valse certificaten kunnen niet alleen worden ingezet om af te luisteren. Ze komen ook van pas om realistischer phishingaanvallen op te zetten. Door eindgebruikers via social engineering naar een kopie van bijvoorbeeld een banksite te leiden, kan deze site met de valse certificaten eenvoudig van de juiste beveiligingschecks worden voorzien om geen argwaan te wekken.

Over de wereld verspreid zijn zo’n 650 certificatie-autoriteiten actief, ook in landen waar de controle op hun bedrijfsvoering vermoedelijk op een nog lager peil staat dan in Nederland. Hoeveel daarvan al eens gehackt zijn, is niet duidelijk. Maar DigiNotar is geen incident. Begin dit jaar werd de Amerikaanse Certificate Authority Comodo al eens gehackt en tegelijk met DigiNotar zijn mogelijk ook het wereldwijd actieve GlobalSign en drie andere CA’s gehackt. De vraag is nu hoeveel valse certificaten er eigenlijk in omloop zijn. Daarmee staat het hele beveiligingssysteem van internet op losse schroeven.