Gisteren publiceerde de OPTA het navolgende persbericht: ‘Uit onderzoek van OPTA naar de uitgifte van gekwalificeerde certificaten door DigiNotar, blijkt dat de betrouwbaarheid van deze certificaten niet langer te garanderen is.
OPTA beëindigt daarom de registratie van DigiNotar.
Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven. Gekwalificeerde certificaten zijn certificaten waarmee elektronische handtekeningen kunnen worden gezet, vaak door middel van een pasje met chip.
OPTA heeft de wettelijke taak om toezicht te houden op de uitgifte van uitsluitend dit type certificaten. …
DigiNotar dient nu zijn klanten te informeren over de intrekking van de gekwalificeerde certificaten. OPTA houdt hier toezicht op. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft inmiddels het operationele beheer van de systemen voor certificering overgenomen van DigiNotar.
Omdat de gekwalificeerde certificaten niet meer te gebruiken zijn, dienen de gebruikers nieuwe gekwalificeerde certificaten bij geregistreerde aanbieders aan te vragen. Op de website van OPTA is een lijst te raadplegen van geregistreerde aanbieders’.
Het beveiligingsbedrijf Fox-IT heeft geconstateerd dat er via een backdoor ook is ingebroken op de DigiNotar CA-server voor gekwalificeerde certificaten. Fox-IT heeft niet alleen concrete sporen van een cyberinbraak gevonden op de DigiNotar-servers die werden gebruikt voor SSL-certificaten, maar ook op de server voor zogenaamde gekwalificeerde certificaten. Deze worden gebruikt voor een elektronische handtekening van digitale documenten door middel van bijvoorbeeld een smartcard op usb-token.
Eerder was al duidelijk dat een of meer hackers zich toegang hadden weten te verschaffen tot verschillende SSL-servers van DigiNotar en daar ten minste 500 valse certificaten hadden aangemaakt.
‘Door Fox-IT is eveneens vastgesteld dat op 1 en 2 juli 2011 in de nachtelijk uren met de administratieve rechten is ingelogd op de CA-server die werd gebruikt voor uitgifte van gekwalificeerde certificaten ([vertrouwelijk]). Tevens is vastgesteld dat op de hiervoor genoemde tijdstippen is gewerkt met twee bestanden ([vertrouwelijk]) die sindsdien verdwenen zijn. Tijdens deze inlogsessies is ook de webpagina geopend die waarschijnlijk door een onbevoegde derde (‘hacker’) is gebruikt om in te breken op de systemen van Diginotar, de zogenaamde “Backdoor’, zo schrijft OPTA.
Dit incident, samen met het feit dat alle CA-servers op hetzelfde Windows-domein stonden achter één zwak wachtwoord en DigiNotar maatregelen en melding heeft verzuimd, zijn voor OPTA reden de accreditatie van DigiNotar in te trekken. Het bedrijf heeft door dit verzuim de Telecomwet overtreden, oordeelt OPTA.
De bevindingen van Fox-IT zijn volgens Diginotar voor een groot gedeelte twijfelachtig, schrijft de OPTA, dat echter concludeert dat die aantijging van DigiNotar ‘niet met feiten wordt onderbouwd’.
DigiNotar luidde ook nog de noodklok bij OPTA: beëindigen van de registratie bij de toezichthouder zal zeer waarschijnlijk het faillissement van DigiNotar tot gevolg hebben. De telecomwaakhond is hier echter niet gevoelig voor: DigiNotar mag per direct geen gekwalificeerde certificaten meer aanbieden. Dat sluit niet uit dat Diginotar op een later moment opnieuw door OPTA kan worden geregistreerd, als het zijn zaken wel op orde heeft.
De beslissing van de OPTA is volkomen terecht. Dat er hacks worden uitgevoerd is niet altijd uit te sluiten, maar dat er zo onachtzaam wordt omgegaan met technologie die het ‘vertrouwen’ van gebruikers dient te verhogen en dat er vervolgens gedaan wordt alsof er niets aan de hand is, is onvergeeflijk. Als de OPTA niet had opgetreden, dan was er een vrijbrief gegeven aan andere bedrijven om het ook niet zo nauw te nemen met beveiliging en ‘trust’.