Enisa, het agentschap voor internetveiligheid van de Europese Unie, heeft een rapport gepubliceerd over de Diginotar-affaire. Het rapport, ‘Operation Black Tulip’ genaamd, leunt overigens zwaar op een onderzoek van de Nederlandse regering, uitgevoerd door het Nederlandse IT-bedrijf Fox-IT.
Enisa concludeert dat er drie oorzaken zijn voor de problemen. Ten eerste heeft Diginotar de inbraak in zijn systemen lange tijd stilgehouden. Een prompte melding zou de omvang van de problemen beperkt hebben. Ten tweede had het bedrijf nagelaten om basale veiligheidsmaatregelen te treffen, zoals een goede virusscanner en sterke wachtwoorden.
Een derde probleem is fundamenteler van aard. Het ‘https’ systeem is zo opgezet dat browsers alle Certificate Authorities (CA’s) vertrouwen en dat zijn er honderden. Het systeem is daardoor zo sterk als de zwakste schakel. Het systeem is ontwikkeld in een tijd dat er maar weinig CA’s en beveiligde sites waren.
Als aanbeveling volgt dat CA’s beter dienen te rapporteren en dat audits effectiever moeten worden (Diginotar werd jaarlijks onderzocht op de toepassing van ETSI-standaarden). Verder hoopt Enisa dat de IT-industrie en de browsermakers komen tot aanpassingen om het https systeem zowel veiliger als gebruiksvriendelijker te maken.
