DigiNotar: wat gebeurde er en wat waren de gevolgen

Gebaseerd op Kamerbrief (d.d. 05-09-2011) van de Minister van Veiligheid en de Minister van Binnenlandse Zaken:

Op vrijdag 2 september 2011 kreeg het Kabinet onmiskenbare signalen dat de uitgifte door het bedrijf DigiNotar van PKI-Overheid certificaten mogelijk gecompromitteerd was door een inbraak in de bestanden van het bedrijf, met als eventueel gevolg dat deze certificaten frauduleus uitgegeven zouden zijn. Nadat nadere informatie hierover was verkregen en ook met het bedrijf was gesproken is het Kabinet tot de conclusie gekomen dat de betrouwbaarheid van de certificaten en diensten van DigiNotar niet langer zonder meer gegarandeerd was en dat mitsdien het vertrouwen in het bedrijf DigiNotar moest worden opgezegd. Dit betekende dat op zo kort mogelijke termijn alle certificaten van het bedrijf moesten worden vervangen door certificaten van andere leveranciers.

Overzicht van gebeurtenissen

Op 27 augustus 2011 maakte een gebruiker in Iran op een Google forum melding dat hij bij het inloggen in zijn Gmail account van zijn browser een waarschuwing had gekregen over de onbetrouwbaarheid van het certificaat. Het gaat hierbij om certificaten die nodig zijn om de betrouwbaarheid van digitale communicatie te kunnen waarborgen.
Op 29 augustus 2011 werd Govcert.nl (een onderdeel van het ministerie van Veiligheid en Justitie), onder verwijzing naar de eerderbedoelde blog van de Iraniër, door Cert-Bund (de Duitse evenknie van Govcert.nl) in kennis gesteld dat er mogelijk problemen waren met certificaten van DigiNotar. Cert-Bund meldde dat een posting was gedaan van een “vals” Google certificaat, afkomstig van DigiNotar, waarbij Google Chrome had aangegeven dat het een niet authentiek certificaat van Google betrof.
DigiNotar trok hierop het “vals”e Google. com certificaat in en verzocht op 30 augustus 2011 het bedrijf Fox-IT (een ICT beveiligingsbedrijf) om onderzoek hiernaar te doen. Fox-IT bracht op 2 september 2011 eerst aan DigiNotar en vervolgens aan Govcert.nl een eerste mondelinge rapportage met toelichting uit. Op maandag 5 september 2011 bracht Fox-IT zijn rapport uit.

Uit het rapport bleek dat al op 6 juni 2011 mogelijk een eerste verkenning door een hacker heeft plaatsgevonden. Op 19 juni 2011 heeft DigiNotar een digitale inbraak gedetecteerd. Op 2 juli 2011 blijkt een eerste poging tot het genereren van een “vals” certificaat te hebben plaatsgevonden. Op 10 juli 2011 wordt daadwerkelijk een “vals” Google.com certificaat gegenereerd. Omstreeks 22 juli 2011 is DigiNotar een intern onderzoek gestart naar de geconstateerde incidenten. Het rapport daarvan was op 27 juli 2011 gereed. Zeker is dat vanaf 27 juli 2011 het “vals” gegenereerde Google.com certificaat actief werd gebruikt. Tussen 4 en 29 augustus 2011 werd verder actief misbruik waargenomen van het “valse” Google.com certificaat.

Wat waren de gevolgen van de inbraak bij DigiNotar

De inbraak bij DigiNotar en het gebleken aanmaken en gebruik van “valse” certificaten vormden een ernstige aantasting van het vertrouwen en de integriteit van het digitale communicatieverkeer met potentieel grote gevolgen voor dit verkeer.

Voor het digitale communicatieverkeer ontstaat door het aanmaken en gebruik van “valse” certificaten het risico dat het voor de internetgebruiker niet meer zichtbaar is of hij te maken heeft met een betrouwbare website of computer. De mogelijke introductie van “valse” certificaten maakt dat gebruikers er niet meer in alle gevallen zonder meer van uit kunnen gaan dat het een veilige internetcommunicatie betreft. In het geval dat onbedoeld een “valse” site wordt benaderd, kunnen de gegevens die een burger daaraan verstrekt in verkeerde handen terechtkomen.

Alles over Diginotar op: www.diginotar.nl

Alles over IT-beveiliging voor uw bedrijf, certificaat of een onafhankelijke security scan, neemt u contact op met onze specialisten.