Er zijn aanwijzingen dat certificaat-autoriteit DigiNotar nog frauduleuze certificaten uitgaf na de ontdekking van de hack op zijn servers. Het gaat om zes certificaten, waarmee systemen zich als servers van het Tor-project konden voordoen.
De voorman van het Tor-project, Jacob Appelbaum, schrijft op het weblog van het project dat bij de aanval op systemen van DigiNotar niet alleen een vals Google-certificaat is gegenereerd; de hackers hebben ook twaalf nagemaakte certificaten voor de servers van Tor aangemaakt. Hoewel dat voor het gebruik van Tor zelf niet uitmaakt - de software leunt niet op certificaat-autoriteiten - zou iemand zich middels een man in the middle-aanval als de server van het Tor-project kunnen voordoen en bijvoorbeeld een valse versie van de Tor-software kunnen aanbieden. De Tor-software is bedoeld om anoniem te kunnen surfen en wordt onder meer door journalisten en mensenrechtenactivisten in dictaturen gebruikt.
De makers van Tor hebben contact gehad met DigiNotar en hebben beperkte informatie gekregen over de frauduleuze certificaten. Zo is duidelijk dat de helft van de valse Tor-certificaten op 18 juli is gegenereerd, en de andere helft op 20 juli. Dat laatste is opmerkelijk: de eigenaar van DigiNotar, Vasco Security, meldde eerder dat de hack op 19 juli is ontdekt. Als de informatie die het Tor-project heeft ontvangen klopt, zijn er een dag na het ontdekken van de hack dus nog valse certificaten gegenereerd.
Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server. Er is echter ook een zeer kleine kans dat er sprake is van verwarring over tijdszones: een van de twee hoofdkantoren van Vasco Security is gesitueerd in de Amerikaanse stad Chicago. Het was daar een paar minuten voor middernacht op 19 juli toen deze certificaten werden gegenereerd.
Wat er precies aan de hand is, moet dus nog blijken: zowel DigiNotar als Vasco Security onthouden zich van elk commentaar totdat een onafhankelijk onderzoek naar de zaak is afgerond. Waarschijnlijk worden de resultaten van dat onderzoek, dat door Fox-IT wordt uitgevoerd, binnenkort gepresenteerd. Overigens gaf DigiNotar tegenover Tor aan dat het geen bewijzen had dat de valse ssl-certificaten ook daadwerkelijk zijn ontvangen, maar Appelbaum zegt geen reden te hebben om die bewering te geloven.
Mogelijk wordt na het onderzoek ook duidelijk welke valse certificaten er precies zijn gegenereerd. DigiNotar wil alleen bevestigen dat hackers in ieder geval een vals ssl-certificaat voor alle subdomeinen van Google.com konden genereren, en dat niet uit te sluiten valt dat er nog andere valse certificaten in omloop zijn. Appelbaum schrijft dat de valse Tor-certificaten waarschijnlijk nog in omloop zijn, hoewel deze inmiddels alweer zouden zijn verlopen: alle valse Tor-certificaten waren geldig tot 17 of 19 augustus.
Er zijn sterke indicaties dat het probleem veel groter is dan aanvankelijk werd gedacht: mogelijk zijn er maar liefst 247 nepcertificaten aangemaakt. Dat claimt de topman van beveiligingsbedrijf F-Secure op basis van de broncode van een patch voor Google Chrome. Uit traceroutes die op Pastebin zijn verschenen, blijkt dat Iraanse internetters het slachtoffer van man in the middle-aanvallen werden wanneer ze naar servers van Google, YouTube, Bing, Facebook en Mozilla gingen. Mogelijk zijn DigiNotar-certificaten gebruikt om de aanval goed uit te kunnen voeren, maar of dat werkelijk zo is, blijft speculatie.
Het Beverwijkse bedrijf DigiNotar kwam maandag in het nieuws toen bekend werd dat een certificaat van het bedrijf waarschijnlijk in Iran is gebruikt om gebruikers van Google te bespioneren door middel van een man in the middle-aanval. Het certificaat, dat voor alle subdomeinen van Google.com geldig was, had nooit mogen worden uitgegeven. Het bedrijf ontdekte pas na anderhalve maand dat het door hackers gegenereerde certificaat niet was ingetrokken. Dinsdag zegden browsermakers collectief het vertrouwen in DigiNotar op. Certificaten die DigiNotar namens de overheid uitgeeft, zoals voor DigiD.nl, worden nog wel vertrouwd. Volgens de overheid zijn die certificaten nog veilig, al baseert de overheid zich daarbij op informatie die DigiNotar zelf heeft verstrekt.
Update, 17:00: Mozilla heeft bekend gemaakt dat er vervalste certificaten zijn aangemaakt voor addons.mozilla.org. Het is niet duidelijk of deze actief zijn ingezet om zo dataverkeer af te kunnen luisteren. DigiNotar zou Mozilla in juli hebben medegedeeld dat er valse certificaten waren aangemaakt waarna deze enkele dagen later ongeldig werden gemaakt. Mozilla nam echter het zekere voor het onzekere en verwijderde alle certificaten van DigiNotar van zijn servers. Ook accepteert de laatste Firefox-versie geen certificaten meer van DigiNotar.