![[Update]KPN weerspreekt aantijgingen over certificaten](https://ik.imagekit.io/tp/Defaults/broadband/boradband-07_TxZPGhV_oUNF.jpg?tr=w-800,h-456)
[Update]KPN weerspreekt berichtgeving van ICT-journalist Brenno de Winter over de veiligheid van beveiligingscertificaten die zijn aangemaakt bij Getronics. Het gaat hier om een digitale ‘handtekening’ waarmee kan worden vastgesteld of een webadres authentiek is. De Winter schreef op 8 december via Webwereld dat KPN in de periode na de DigiNotar-problemen zo'n duizend certificaten heeft ingetrokken. Dat zou blijken uit de lijsten van 'revocations'.
Reactie KPN
KPN stelt in een persbericht dat na onderzoek is gebleken dat de aanvraag, productie en uitgifte van certificaten niet gecompromitteerd is (geweest). Dit geldt zowel voor de PKIoverheid-certificaten als voor andere certificaten die KPN uitgeeft. De websites (gemnet.nl en gemnetcsp.nl) zijn uit voorzorg en voor onderzoek afgesloten door KPN na de melding van Brenno de Winter, aldus KPN. Door het wegvallen van Diginotar kreeg KPN een sterke toename van de vraag naar certificaten, stelt een woordvoerster van KPN in een reactie aan Webwereld. Daarvoor zijn tijdelijke medewerkers ingeschakeld. Er is een extra controle ingevoerd tussen het moment dat een certificaat wordt aangemaakt en het moment dat het wordt uitgegeven. Tijdens die controles zijn fouten aan het licht gekomen, maar de procedure brengt met zich mee dat die revocation van een certificaat wel zichtbaar is, ook al is er geen certificaat in omloop gebracht.
Een door De Winter geraadpleegde onafhankelijke deskundige acht de gang van zaken plausibel, maar vindt het foutenpercentage desondanks aan de hoge kant. Alleen KPN en de externe audit zou dat kunnen ophelderen, maar die documenten geeft KPN niet vrij. De kwestie ligt rond certificaten ligt gevoelig, zowel voor de overheid als voor de bedrijven. Het gaat immers om het vertrouwen in het systeem.
