Certificaatleverancier Diginotar onder toezicht

Minister Donner heeft vanacht het vertrouwen in Diginotar, een dochterbedrijf van Vasco Data Security, opgezegd. De minister heeft officieel bevestigd dat Diginotar onder toezicht is gesteld. De doelstelling van de ondertoezichtstelling is dat er zo snel mogelijk duidelijkheid komt over welke overheidssites gekraakt zijn door de vermoedelijk Iraanse hackers.

Dat Diginotar gehackt was, is al sinds 19 juli bekend binnen het bedrijf.  Diginotar heeft dit om onduidelijke redenen niet naar buiten gebracht. Volgens advocaten die anoniem wensen te blijven zou dit 'laakbaar' en strafbaar gedrag zijn.

Het betreft hier niet alleen certificaten die de authenticiteit van de overheidssite naar de eindgebruiker moeten garanderen, maar ook de certificaten die de communicatie van overheidsservers onderling garanderen. Minister Donner sprak van een dermate ernstig geschaad vertrouwen in Diginotar, dat hij wil overstappen op een certificeringsorgaan dat in overheidshanden is.

De minister zei verder zo snel mogelijk de huidige certificaten te vervangen door elders afgenomen certificaten.

Gebruikers van de sites die een melding krijgen dat het certicficaat niet vertrouwd wordt, worden geadviseerd om de transactie niet voort te zetten omdat er daadwerkelijk niet gegarandeerd kan worden dat de beveiligde site echt beveiligd is. Voor zover bekend zou het gaan om de overheidssites van de Rijksdienst Wegverkeer, wat grote gevolgen kan hebben voor garagebedrijven die bijvoorbeeld APK's afmelden, of andere kenteken gerelateerde zaken moeten afhandelen.

Ook de sites van de Belastingdienst en DigiD zijn op dit moment onbetrouwbaar. De minister verwacht dat deze problemen met enkele dagen opgelost zouden moeten zijn. Hij noemde het wel een voordeel dat er in het weekend veel minder gebruik wordt gemaakt van de overheidssites. Op vragen wat de gevolgen zullen zijn voor het Beverwijkse bedrijf Diginotar, wilde de minister nog  nog niet antwoorden.

Update 12.00 uur
Ook de browsermakers zeggen het vertrouwen in Diginotar op. Mozilla, de maker van Firefox, heeft al een update uitgebracht waarin de Diginotar certificaten worden ingetrokken. Andere browsermakers hebben dit ook al gedaan, of zullen snel volgen. Het is nog niet bekend wie de nieuwe leverancier wordt en wanneer de nieuwe certificaten geïnstaleerd zullen zijn.