Het standpunt van de overheid dat de PKIoverheid-ssl-certificaten van DigiNotar nog te vertrouwen zijn, is gebaseerd op informatie van het gehackte bedrijf zelf. Er is geen eigen onderzoek verricht naar aanleiding van de onthullingen.
De overheid stelt zonder eigen onderzoek dat de zogenoemde PKIoverheid-ssl-certificaten van DigiNotar nog te vertrouwen zijn. Opvallend genoeg baseert de overheid dit op informatie van het gehackte bedrijf zelf. "Wij hebben na de gebeurtenissen contact opgenomen met DigiNotar en ze een behoorlijk aantal vragen gesteld", aldus Nathalie Doesberg, woordvoerster van de overheidsorganisatie Govcert.
"Die informatie heeft ons tot op heden geen reden gegeven om het vertrouwen in de PKIoverheid-certificaten van DigiNotar op te zeggen." De PKIoverheid-certificaten worden onder meer gebruikt op overheidssites als DigiD, de Belastingdienst en de DUO. DigiNotar is een van de zes bedrijven die deze certificaten mogen uitgeven.
Dat de overheid de informatie van DigiNotar vertrouwt zonder eigen onderzoek te doen, is op zijn minst merkwaardig te noemen: niet alleen zijn hackers erin geslaagd om de systemen van dat bedrijf binnen te dringen, ook heeft het bedrijf anderhalve maand lang niet gemerkt dat minstens één door die hackers gegenereerd ssl-certificaat nog niet was ingetrokken.
Ook door het bedrijf ingehuurde onderzoekers van PwC bemerkten dit niet. Er wordt momenteel door Fox-IT een onderzoek uitgevoerd, maar de resultaten daarvan zijn nog niet bekend. Het gaat hierbij overigens wel om een ander type certificaat, dat door een aparte root-autoriteit - DigiNotar zelf - wordt uitgereikt. De hack roept echter vragen op over de beveiliging van DigiNotar.
Nadat Iraanse Google-gebruikers ontdekten dat een certificaat van DigiNotar werd gebruikt in een man in the middle-aanval, waarbij verkeer naar een server wordt onderschept, lichtte Govcert.nl DigiNotar in. Toen pas werd het betroffen certificaat door DigiNotar ingetrokken. Het is onduidelijk of er nog andere, valse ssl-certificaten van DigiNotar in omloop zijn; het bedrijf kan dat niet uitsluiten.
Volgens de overheid is dat echter nog steeds geen reden om aan de betrouwbaarheid van de PKIoverheid-certificaten te twijfelen: de overheidscertificaten zouden losstaan van de certificaten die DigiNotar zelf als root-autoriteit uitreikt. Hoe die processen precies gescheiden zijn, is echter onduidelijk. Volgens Doesberg heeft de overheid daar 'inzicht' in verkregen, maar ze wil niet in details treden.
Beveiligingsexpert Roel Schouwenberg van antivirusbedrijf Kaspersky stelt dat er wel degelijk reden is om te twijfelen aan de veiligheid van die certificaten. "Ze stellen dat er een externe audit is uitgevoerd, maar daarin is het vervalste Google-certificaat over het hoofd gezien", aldus Schouwenberg.
In de nieuwste Google Chrome-versie zijn 247 certificaten van DigiNotar geblokkeerd. Volgens de topman van beveiligingsbedrijf F-Secure, Mikko Hypponen, betekent dat dat de DigiNotar-hackers 247 frauduleuze ssl-certificaten hebben uitgegeven. Dat zegt hij op Twitter.
Het Beverwijkse bedrijf DigiNotar kwam maandag in het nieuws toen bekend werd dat een certificaat van het bedrijf waarschijnlijk in Iran is gebruikt om gebruikers van Google te bespioneren door middel van een man in the middle-aanval. Het certificaat, dat voor alle subdomeinen van Google.com geldig was, had nooit mogen worden uitgegeven.
Ondertussen hebben verschillende browsermakers het vertrouwen in DigiNotar-certificaten opgezegd. Voor de PKIoverheid-certificaten heeft dat geen gevolgen. Alleen Firefox was aanvankelijk van plan om ook die certificaten te blacklisten, maar daar is het na een verzoek van de Nederlandse overheid op teruggekomen. In de nieuwste Firefox-update worden DigiNotar-certificaten niet meer vertrouwd, maar worden de PKIoverheid-certificaten uitgezonderd. Daardoor kan op DigiD.nl nog zonder foutmelding via https worden ingelogd.
Dat kan echter niet wanneer een andere website DigiD gebruikt om in te loggen, zoals MijnOverheid.nl: de root-autoriteit 'Staat der Nederlanden Root CA - G2' is niet gewhitelist, waardoor in dat geval alsnog een foutmelding wordt weergegeven. Dat meldt overheids-ict-organisatie Logius in een mail. Overigens ontkent Govcert.nl-woordvoerster Doesberg dat de overheid Mozilla heeft verzocht de certificaten niet te blacklisten: er zou wel overleg met Mozilla zijn geweest, maar de browsermaker zou een 'eigen afweging' hebben gemaakt.
DigiNotar hoopt dat Mozilla, Google en Microsoft zijn certificaten eind deze week weer accepteren. Het bedrijf geeft gedupeerde klanten met een geblacklist certificaat echter ook de mogelijkheid om over te stappen op een PKIoverheid-certificaat. Daarvoor gelden wel strengere regels. Govcert heeft er geen problemen mee dat certificaten die voor de overheid zijn bedoeld, worden gebruikt als workaround.