DigiNotar bevestigt incident maar roept vragen op

Voor de Iraanse overheid is zo’n certificaat een mooi hulpmiddel om bijvoorbeeld Gmail-verkeer te onderscheppen zonder dat de zender dat in de gaten heeft – iets wat je zeker een repressief regime als het Iraanse niet graag toevertrouwt.

Indringers in Diginotars infrastructuur
In de reactie die moedermaatschappij Vasco van DigiNotar uitgeeft, wordt bevestigd dat zo’n certificaat door Diginotar is uitgegeven. De reactie spreekt van binnendringen in de infrastructuur van DigiNotar van buitenaf. Daardoor zouden meerdere certificaten op frauduleuze gronden verstrekt zijn. Het precieze aantal is niet bekendgemaakt. Desgevraagd wil Vasco wel kwijt dat het om enkele tientallen ging.

DigiNotar ontdekte het probleem op 19 juli, en herriep de op valse gronden verkregen certificaten toen meteen. Ondanks het feit dat het die procedure door een auditor liet controleren, is daarbij 'op zijn minst één' certificaat over het hoofd gezien, schrijft Vasco in de verklaring. Na gewaarschuwd te zijn door Govcert, heeft DigiNotar ook dat certificaat herroepen, aldus de verklaring.

Portal bleek al lange tijd hackbaar
Met dit deel van de verklaring roept Vasco meteen de vraag af, hoe dat binnendringen precies in zijn werk is gegaan. Gebrekkige beveiliging lijkt daarbij een rol te spelen. Mikko Hypponen van F-Secure laat in een blog zien, dat verschillende webpagina’s op DigiNotars portal gehackt waren door hackers die zich Iraans en Turks noemden. Volgens Hypponen waren sommige pagina’s al jaren geleden gehackt. Na zijn publicatie heeft DigiNotar de betreffende pagina’s verwijderd, maar Hypponen geeft er nog wel screenshots van op F-Secures News from the Lab-blog.

Ook het tijdsverloop roept vragen op: de datum op het valse SSL-certificaat dat gisteren opdook, is 10 juli. DigiNotar merkte het probleem dus pas 9 dagen later op. En dan is er natuurlijk de vraag hoe het nu opgedoken valse certificaat aan de aandacht van DigiNotar en van de auditor kon ontsnappen. Google was immers dit jaar al eerder voorwerp van een in eerste instantie geslaagde poging valse SSL-certifcaten te bemachtigen, dus je zou verwachten dat je daar bij een audit meteen of vrijwel meteen naar kijkt.

Niet duidelijk of er nog meer frauduleuze certificaten in omloop zijn
Verder roept de formulering dat 'ten minste één' frauduleus verkregen certificaat aan de aandacht is ontsnapt, of er niet nog meer frauduleuze certificaten in omloop zijn. Bij navraag laat woordvoerder Jochem Binst van Vasco Data Security weten dat niet 100 procent zeker is dat er geen nepcertificaten van DigiNotar meer in omloop zijn. DigiNotar is in ieder eval gestopt met de verkoop van SSL- en EVSSL-certificaten. Het loket wordt pas weer geopend na een grondige inspectie door een onafhankelijke derde. Hoe lang dat gaat duren, is nog onbekend.

Bestaande klanten snelle oplossing beloofd
Verder meldt Vasco dat DigiNotar op zoek gaat naar snelle en effectieve oplossingen voor zijn bestaande (EV)SSL-klanten. Daarbij gaat het om de blokkade die de browserleveranciers tegen DigiNotars SSL-certificaten hebben opgeworpen. Geholpen door het feit dat die allemaal Nederlands zijn, kan DigiNotar hen tijdelijk een Nederlands overheidscertificaat geven, aldus Binst. Anders dan eerder gesuggereerd, zijn die dus kennelijk niet gevoelig voor de waarschuwingssystemen voor ontbrekende certificaten van de browsers. Daarmee kan DigiNotar het probleem voor zijn klanten nog voor het eind van de week oplossen. Met de browserleveanciers wordt overlegd over het installeren van een herrouteringsmechanisme om het probleem te tackelen.

Overigens weet Vasco wel zeker dat het probleem beperkt is tot DigiNotars (EV)SSL-certificaten-bedrijf. Andere activiteiten, waaronder de verzorging van PKIOverheid voor de Nederlandse overheid, is niet geraakt door deze inbraak in DigiNotars certificatie-infrastructuur, verzekert Vasco. En zijn aandeelhouders stelt het gerust met de opmerking dat het incident geen belangrijke invloed op omzet of bedrijfsplannen zal hebben.