'Diginotar hielp Iran Gmail te kapen'

SSL-certificaten worden gebruikt om aan te tonen dat een webserver waar een internetter contact mee zoekt, ook daadwerkelijk de webserver is die hij wil bezoeken. Een certificaat voor *.google.com had dan ook nooit aan een andere partij dan Google verstrekt mogen worden. Het wordt volgens de onderzoeker op dit moment door de Iraanse overheid gebruikt om Gmail-servers na te bootsen, en zo het e-mailverkeer van Iraniërs te inspecteren. Met alle risico's van dien voor dissidenten die per mail wat te loslippig zijn.

Anderhalve maand in gebruik
Het certificaat is al op 10 juli door Diginotar uitgegeven. Het werd zondagavond opgemerkt door een Iraniër, dankzij een functie in Chrome die waarschuwt als niet van een beperkte subset van vertrouwde CA’s gebruik is gemaakt. Zijn publicatie van de waarschuwing op Googles Gmail-forum leidde vervolgens tot de constatering dat er iets niet in de haak was.

Diginotar heeft nog geen toelichting gegeven op de beschuldiging dat het ten onrechte certificaten heeft uitgegeven; het heeft de beschuldiging overigens ook niet weersproken. Het is dan ook onduidelijk hoe dat heeft kunnen gebeuren, en of er van verwijtbaar gedrag bij Diginotar sprake is. Ook is onduidelijk wie de aanvrager is, al had de ontdekker van het nepcertificaat wel de indruk dat dat certificaat in handen was van zijn internet service provider, die onder controle staat van de Iraanse overheid. Het bewuste certificaat is gisteren wel ingetrokken.

Alle Diginotar-certificaten in de ban, ook die voor DigiD
Overigens hebben Google, Microsoft en Mozilla dus wel de conclusie getrokken dat Diginotar in de fout is gegaan. Mozilla heeft zelfs al een handleiding gepubliceerd hoe men certificaten van Diginotar in de huidige versie van Firefox kan blokkeren. In komende versies zal dat automatisch het geval zijn. Dat betekent dat alle certificaten van Diginotar in Firefox als onveilig zullen worden gevlagd, bevestigde Mozilla's Kathleen Wilson op Bugzilla op een vraag van de Nederlander Paul van Brouwershaven. Dat geldt ook de certificaten voor DigiD en andere onderdelen van de public key infrastructure die Diginotar uitgeeft. Voor Chrome en Internet Explorer zal dat waarschijnlijk hetzelfde zijn.

Diginotar is niet de eerste die in de fout gaat bij de verstrekking van SSL-certificaten. Eerder dit jaar ging Comodo de mist in met verstrekking van certificaten voor Gmail, Hotmail en Skype. Ook toen wezen de sporen naar Iran.