Microsoft, Google en Mozilla brengen software-updates uit om de root-key van DigiNotar te verwijderen. DigiNotar, dat veel werk voor de Nederlandse overheid verricht, verstrekte een ongeldig ssl-certificaat voor subdomeinen van Google.com.
Door het ongeldige ssl-certificaat kon de Iraanse overheid een man in the middle-aanval op zijn inwoners uitvoeren, door het verkeer van en naar de Gmail-servers te onderscheppen. Internetgebruikers zouden daarvan niets merken, omdat het Nederlandse bedrijf DigiNotar een vals ssl-certificaat voor alle subdomeinen van Google.com had uitgegeven.
Mozilla heeft daarom aangegeven zeer binnenkort met een update voor Firefox, Thunderbird, SeaMonkey en Firefox Mobile te komen waarin het zogenoemde root-certificaat van DigiNotar ongeldig wordt verklaard. Daardoor zijn certificaten die onder de vlag van dit root-certificaat zijn uitgegeven, ongeldig. Microsoft heeft de root-key van DigiNotar uit zijn lijst met vertrouwde certificaten gehaald, waardoor gebruikers van Internet Explorer op nieuwe Windows-versies een foutmelding zouden moeten krijgen als een certificaat met de root-sleutel van DigiNotar is ondertekend.
Ook Google gaat het certificaat intrekken, al waren Chrome-gebruikers sowieso niet vatbaar voor het beveiligingsprobleem: Google heeft in de code van Chrome aangegeven dat alleen bepaalde partijen certificaten voor Google.com mogen uitgeven, en daar was DigiNotar er geen van. Als gevolg van het intrekken van de certificaten krijgen gebruikers een foutmelding als ze naar een beveiligde website met een DigiNotar-certificaat proberen te gaan. Desgewenst kunnen ze de website toch bezoeken, maar de identiteit van de website kan dan niet worden bevestigd.
Woordvoerder Jochem Binst van Vasco Security, dat de eigenaar is van DigiNotar, stelt dat dat geen gevolgen heeft voor het werk dat DigiNotar voor de overheid doet. Zo regelt DigiNotar het ssl-certificaat van DigiD, evenals de ssl-certificaten die bedrijven en instellingen gebruiken om vertrouwelijk met de overheid te communiceren. Het certificaat voor DigiD is bijvoorbeeld door een aparte root-autoriteit uitgegeven, speciaal voor de overheid.
Binst zegt niet te weten waarom DigiNotar een certificaat heeft uitgegeven voor Google, terwijl het dat helemaal niet had mogen doen. Wel zal het bedrijf later op de dag met een verklaring komen.
Het is niet de eerste keer dat een root-autoriteit ongeldige ssl-certificaten uitgeeft: Comodo heeft in maart ongeldige certificaten uitgegeven voor domeinen van Google, Yahoo, Mozilla en Microsoft. Opvallend is dat het certificaat van DigiNotar bijna twee maanden onopgemerkt is gebleven; inmiddels heeft DigiNotar het certificaat ingetrokken, maar daarmee kon niet worden voorkomen dat webbrowsers collectief het vertrouwen in DigiNotar opzegden.
Volgens de Electronic Frontier Foundation bevestigt de DigiNotar-blunder de kwetsbaarheid van certificaat-autoriteiten, terwijl de betrouwbaarheid van https-verbindingen zo zwaar leunt op die partijen. "Vandaag de dag vertrouwen internetgebruikers op certificaat-autoriteiten om hun privacy tegenover overheden te beschermen. We vragen ons af of die deze last wel kunnen dragen", schrijft de burgerrechtenorganisatie.