Diginotar is een soort digitale notaris, een Trusted Third Party. Wie zeker wil weten op het juiste domein op internet aan te landen, maakt via de webbrowser gebruik van een Trusted Third Party. Deze ‘vertrouwde’ partij is in dit geval Diginotar. Juist dat bedrijf adviseert nu gebruikers beveiligingsalarmen van de webbrowser te negeren en onvertrouwde certificaten te vertrouwen.
De website heeft het certificaat als identificatiebewijs, waarbij de afkomst erg belangrijk is. Volgens Mark Bergman, zelfstandig beveiligingsexpert, maakt het nogal uit wie de uitgever is. Hij vergelijkt het met paspoorten. Het vertrouwen in een Nigeriaans paspoort zal minder zijn dan in een Nederlands paspoort.
Het technisch afdwingen van correct functioneren is belangrijk, maar is slechts de helft van het verhaal. Technisch klopte het certificaat van Google.com bij Diginotar helemaal. Het probleem is alleen dat het nooit bij dit bedrijf is aangevraagd en dat zij dus geen waarmerker horen te zijn. Qua cryptografie klopt alles perfect, maar procedureel niet.
Dat er nepcertificaten zijn uitgegeven is volgens Bergman een aanval op de uitgever. ‘Het probleem is dat als je een reeks Nederlandse paspoorten vals uitgeeft en je niet kunt zeggen dat ze als Nederlandse paspoort te gebruiken zijn. Ze staan dan allemaal ter discussie’, vertelt Bergman. ‘Je kunt niet roepen dat het goed zit. Dat zul je moeten bewijzen. Als je tien foute certificaten uitgeeft, kun je niet die terugtrekken en doen alsof er niets gebeurd is’.
Dat alles ter discussie staat wordt bevestigd door Rachel Marbus. Zij is verbonden als onderzoeker aan de Universiteit van Tilburg en bestuurslid bij het Platform voor Informatiebeveiliging (PvIB), de vakvereniging van beveiligingsprofessionals. ‘Het probleem met het verliezen van de betrouwbaarheid van een certificaat is dat het terugslaat op de verstrekker in zijn totaliteit’, stelt ze. ‘Het draait allemaal om vertrouwen en reputatie. Is dat vertrouwen voor één domein verloren gegaan, dan raakt dat de rest ook. In de online wereld moeten we erop kunnen vertrouwen dat het met de veiligheid goed zit, dat is van essentieel belang voor communicatie’. Precies die communicatie is door de Iraniërs aangevallen door een nepcertificaat voor Google.com de wereld in te helpen.
‘De reputatie van Diginotar is aangetast, dat is iets wat niet tot heel slecht te herstellen is’, vertelt Marbus. Bergman geeft haar gelijk. Hij wijst erop dat de hack bij het bedrijf op 19 juli is ontdekt en dat het bedrijf daarmee niet naar buiten is getreden. ‘In Amerika ben je verplicht zo’n datalek te melden’. Ook benadrukt Bergman dat er weliswaar certificaten zijn ingetrokken, maar juist niet die van een prominent domein als Google.com.
Daarom moet worden bewezen dat er verder niets getroffen is. Gebeurt dat niet, dan heeft Diginotar een groot probleem. ‘Het is ook uitermate naïef om te denken dat je – omdat het ‘maar’ gaat om één domein – erop kunt vertrouwen dat het dus met de rest wel goed zit’, zegt Marbus. ‘Net zomin als je een ‘beetje zwanger’ bent, kun je een ‘beetje veilig’ zijn. Onderzoek zal dat moeten uitwijzen’.
Dat Diginotar een vertrouwensprobleem heeft, is niet zomaar opgelost. Wat niet meehelpt is dat verschillende browserleveranciers Diginotar hebben laten vallen. Beveiliging en vertrouwen draaien allemaal om zekerheid. Nu bekend is dat er een vals certificaat in omloop is geweest, is die zekerheid aan het wankelen gebracht.
Dit besef is bij Diginotar niet in de communicatie terug te vinden. Het bedrijf lijkt nog steeds vertrouwen te hebben in de uitgegeven certificaten. ‘Gebleken is dat vanuit één Sub Root (de zogenaamde Public 2025 Root) voor een aantal domeinen ten onrechte certificaten in omloop zijn gekomen’, schrijft het bedrijf. Dat vertrouwen bij de gebruiker ligt, komt niet in de communicatie terug. ‘De ene browserleverancier geeft aan dat alleen de ‘beschadigde’ Public 2025 Root niet meer te vertrouwen is en de andere dat ook certificaten uit andere Roots dat niet zouden zijn’, schrijft het bedrijf.
Vervolgens adviseert het bedrijf waarschuwingen van webbrowsers vooral te negeren. ‘Gebruikers van SSL certificaten kunnen afhankelijk van de methode welke de betreffende browserleverancier hanteert geconfronteerd worden met een mededeling dat het certificaat niet vertrouwd zou zijn. Dit is dus in 99,9% van de gevallen onjuist, het certificaat kan wel worden vertrouwd’, stelt de onderneming. Volgens Bergman ondermijnt Diginotar met die stellingname volledig het mechanisme van een Trusted Third Party als waarmerkende autoriteit en lijkt het een aanval op de eigen meerwaarde. ‘Op dinsdag 30 augustus geeft Diginotar het advies om handmatig certificaten te accepteren; dit is natuurlijk een bizar advies’, concludeert hij.
De industrie heeft gebruikers er jarenlang op gewezen dat ze alert moeten zijn op dit soort meldingen, en nu is ineens het advies om beveiligingswaarschuwingen naast je neer te leggen. Bergman: ‘Veel specialisten en instanties doen erg hun best om gebruikers op te voeden (denk ook aan 3x kloppen campagne) en nu zegt Diginotar zelf dat we het hele TTP systeem maar even moeten vergeten en zelf het certificaat moeten accepteren’.
Dat het advies op korte termijn een probleem voor Diginotar oplost, lijkt helder. Toch is het maar de vraag of het daarmee het vertrouwen herstelt. ‘Het is denkbaar dat je technisch alles weer op orde hebt en de schade ingeperkt is, maar dat het vertrouwen aangetast blijft’, verduidelijkt Marbus. ‘Vertrouwen is een sociaal proces wat versterkt kan worden door goede reputatie en een afgedichte technische infrastructuur. Maar eenmaal aangetast vertrouwen kan met alle technische kunstgrepen van de wereld niet zomaar meer hersteld worden’.
Diginotar finito dus ?