SSL-certificaten vervalst via hack van DigiNotar

Met alle risico’s van dien voor dissidenten die per mail wat te loslippig zijn.

De uitgifte van SSL-certificaten is in handen gegeven van speciaal aangewezen instanties, de ‘certificate authorities’, die moeten controleren of een aanvrager ook recht heeft op het certificaat waar hij om vraagt. DigiNotar is een van de partijen die zich voor de rol van CA hebben gekwalificeerd. De manier waarop DigiNotar zich van die taak gekweten heeft, roept echter wel wat vragen op.

Details over de wijze waarop de certificaten zijn gestolen, ontbreken. DigiNotars moedermaatschappij Vasco Data Security spreekt in een officiële verklaring van het ‘binnendringen in de infrastructuur van DigiNotar van buitenaf’. De toedracht van die inbraak is niet duidelijk, maar het heeft er alle schijn van dat de beveiliging niet op orde was. Mikko Hypponen van F-Secure constateerde na het bekendworden van de certificatendiefstal dat verschillende web­pagina’s op DigiNotars portal gehackt waren door hackers die zich Iraans en Turks noemden. Volgens Hypponen waren sommige pagina’s al jaren geleden gehackt. Na Hypponens publicatie heeft DigiNotar de betreffende pagina’s verwijderd.

Controle niet waterdicht

DigiNotar ontdekte het probleem op 19 juli, en herriep de op valse gronden verkregen certificaten toen meteen. Ondanks het feit dat het die procedure door een auditor liet controleren, is daarbij ‘op zijn minst één’ certificaat over het hoofd gezien, schrijft Vasco in de verklaring. Na begin deze week gewaarschuwd te zijn door GOVCERT, het computer emergency response team van de Nedelandse overheid, heeft DigiNotar ook dat certificaat herroepen. Volgens woordvoerder Jochem Binst van Vasco werd dat certificaat pas afgelopen zondag geactiveerd. Het is overigens niet 100 procent zeker of er niet nog meer nepcertificaten van DigiNotar in omloop zijn, aldus Binst. De toedracht van het incident en de processen bij DigiNotar worden nu door een onafhankelijke partij geïnspecteerd. De verkoop van SSL-certificaten is lopende dat onderzoek opgeschort.

Vasco weet al wel zeker dat het probleem beperkt is tot DigiNotars activiteiten op het gebied van SSL-certificaten. Andere activiteiten, waaronder de verzorging van certificaten voor PKIOverheid en DigiD voor de Nederlandse overheid, zijn niet geraakt door de inbraak in DigiNotars certificatie-infrastructuur.

Staartje voor de klanten

Voor de klanten die SSL-certificaten afnemen van DigiNotar, krijgt de inbraak en de daaropvolgende commotie wel een staartje. Google, Microsoft en Mozilla hebben namelijk de conclusie getrokken dat alle SSL-certificaten van DigiNotar verdacht zijn. Komende updates van hun browsers zullen certificaten van DigiNotar blokkeren. Mozilla heeft zelfs al een handleiding gepubliceerd hoe men dat in de huidige versie van Firefox kan bewerkstelligen. Dat betekent dat alle certificaten van DigiNotar in Chrome, Firefox en Internet Explorer als onveilig zullen worden gevlagd.

Als noodmaatregel kan DigiNotar getroffen bedrijven tijdelijk een Nederlands overheidscertificaat geven, aldus Binst. Die certificaten zijn namelijk niet gevoelig voor de waarschuwingssystemen voor ontbrekende certificaten in de browsers; die vlaggen alleen de certificaten die DigiNotar als CA heeft uitgegeven. Met deze noodmaatregel denkt DigiNotar het probleem voor zijn klanten nog voor het eind van de week te kunnen oplossen. Met de browserleveranciers wordt overlegd over een definitieve oplossing.