Ondernemers die elektronisch aangifte willen doen bij de Belastingdienst, komen mogelijk toch nog in aanraking met DigiNotar-certificaten. De overheid stelt dat er bij de elektronische aangifte 'voldoende aanvullende waarborgen' zijn.
Wat die aanvullende waarborgen zijn, is onbekend, maar duidelijk is wel dat de Belastingdienst nog leunt op DigiNotar-certificaten. Daarbij gaat het om de certificaten die de Belastingdienst zelf gebruikt; ondernemers die een DigiNotar-certificaat gebruiken om zichzelf te identificeren bij de Belastingdienst, moeten wel een nieuw certificaat aanschaffen. Toch is de keuze van de Belastingdienst opmerkelijk, omdat de overheid het vertrouwen in DigiNotar zaterdag opzegde. Wel belooft de overheid de situatie 'nauwgezet' te volgen. Mochten er toch problemen optreden waardoor de aangifte vertraging oploopt, dan gaat de Belastingdienst daar 'coulant' mee om.
Een beveiligingsexpert met ervaring met de infrastructuur van de Belastingdienst, die anoniem wil blijven, zegt niet te snappen dat de certificaten van DigiNotar in dit geval alsnog worden vertrouwd. Volgens hem zijn er technisch gezien geen aanvullende waarborgen om een veilige aangifte te garanderen. Wel geeft hij aan dat er procedures zijn om misbruik te voorkomen, zoals de mogelijkheid voor zowel het bedrijf dat aangifte doet als de Belastingdienst zelf om ingevulde aangiftes te controleren.
Het ssl-certificaat van DigiD.nl blijkt ondertussen te zijn vervangen door een nieuw certificaat van Getronics PinkRoccade. Ook is een mededeling waarin werd gewaarschuwd voor beveiligingsmeldingen van de DigiD-frontpage verwijderd. Later op maandag houdt het Ministerie van Binnenlandse Zaken waarschijnlijk een persconferentie waarin meer duidelijkheid moet komen over de hack. Mogelijk wordt dan ook het onderzoeksrapport gepubliceerd dat beveiligingsbedrijf Fox-IT over de hack heeft opgesteld.
DigiNotar kwam een week geleden in het nieuws, toen bleek dat hackers systemen van het bedrijf hadden gebruikt om valse certificaten te genereren. Zondag bleek dat er in ieder geval 531 certificaten zijn gegenereerd, waaronder voor *.*.com en *.*.org. DigiNotar was een van de zes partijen die namens de Rijksoverheid ssl-certificaten mochten uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten voor de overheid uitgeeft, niet is gekraakt.
Update, 14:56: Woordvoerder Marcel Homan van de Belastingdienst zegt dat zijn organisatie er aan werkt om de komende dagen nieuwe certificaten te installeren.