Diginotar in opspraak na SSL lek

Nieuws Breedband Wereld 1 SEP 2011
Diginotar in opspraak na SSL lek

De van oorsprong Nederlandse Certificate Authority  (CA) Diginotar heeft de uitgifte van SSL-certificaten stopgezet wegens een lek. Eind augustus werd bekend dat er in Iran vervalste certificaten zijn gebruikt in een aanval op Gmail.
Certificaten vertellen een browser of een webpagina daadwerkelijk afkomstig van de website waar hij vanaf zou moeten komen. Dat is extra belangrijk bij beveiligde verbindingen naar banken en emaildiensten.

Diginotar heeft op 19 juli ontdekt dat hackers een aanval hebben uitgevoerd op de CA- infrastructuur voor SSL en EVSSL certificaten. Diginotar heeft daarop in stilte alle mogelijk gecompromitteerde certificaten ingetrokken. De Nederlandse Govcert ontdekte eind augustus dat er minstens één certificaat niet is ingetrokken, namelijk voor Google.com.

Govcert heeft over de zaak gepubliceerd. Govcert zegt dat de gebeurtenissen zijn in gang gezet door een gebruiker in Iran die op 27 augustus 2011 op een Google forum aangaf hoe hij in probeerde te loggen in zijn gmail-account en van zijn Chrome browser een waarschuwing kreeg over de betrouwbaarheid van het certificaat. Het bleek na inspectie van de gebruiker inderdaad te gaan om een frauduleus certificaat.

De makers onder meer Google Chrome, Microsoft IE  en Mozilla Firefox hebben Diginotar in de ban gedaan en waarschuwen dat zulke SSL-verbindingen niet vertrouwd kunnen worden. Door waarnemers wordt de aanval op Gmail in verband gebracht met de Iraanse overheid.

Diginotar zegt dat er een externe audit wordt uitgevoerd en dat de resultaten daarvan gepubliceerd zullen worden. De CA zegt dat er geen andere systemen zijn gehackt, ook niet de PKI infrastructuur voor de Nederlandse overheid die gebruikt wordt voor DigiD. De uitgifte van certificaten is gestaakt tot na een extern onderzoek naar de kwetsbaarheden in het systeem. De omzet van de SSL-verkoop was minder dan een ton in de eerste helft van 2011. De impact op de omzet van Diginotar is minimaal, verwacht moederbedrijf Vasco. Govcert bevestigt dat DigiD niet getroffen is, maar GroenLinks, D66 en PVV hebben daar vragen over.

Categorieën:

Internet

Bedrijven:

MicrosoftGoogleMozillaGovcert

Regio's:

Wereld

Tags:

Security, Regulations, Wireline, Internet Access, Enterprise

Gerelateerde artikelen

NEDERLAND 12 AUG 2014

Oud-eigenaren Diginotar moet aankoopsom terugbetalen

De oud-eigenaren van Diginotar moeten de aankoopsom terugbetalen die het Amerikaans-Zwitserse bedrijf Vasco Digital Security in 2011 voor Diginotar heeft betaald, inclusief rente. De oud-eigenaren zijn daarnaast gehouden tot het betalen van schadevergoeding, waarvan de hoogte in een aparte schadestaatprocedure wordt vastgesteld, zo heeft de rechtbank in Amsterdam bepaald. Kort na de overname werden de systemen van Diginotar gehackt en kwam een reeks misstanden bij de certificaatautoriteit aan het licht. De

NEDERLAND 30 MAY 2013

Rechter: Opta heeft Diginotar terecht afgesloten

Opta heeft in 2011 terecht de registratie van Diginotar beëindigd, oordeelt de rechtbank Rotterdam. De curator had beroep ingesteld. Diginotar, uitgever van digitale certificaten, kwam eind 2011 in opspraak door een inbraak in de computersystemen. Het bedrijf raakte het vertrouwen van de markt kwijt en ging failliet. Volgens de rechtbank staat voldoende vast dat Diginotar niet aan de normen voldeed. Opta mocht conclusies verbinden aan een interim-rapport van Fox-IT. Aangezien niet kon worden uitgesloten dat

NEDERLAND 19 NOV 2012

Hack bij Diginotar liep via verouderde website

Diginotar had dertig software-updates aan de website niet uitgevoerd. Dat maakt nu.nl op uit een onderzoeksrapport van ITsec in opdracht van Diginotar. Nu.nl en Brenno de Winter hebben het rapport via een wob-procedure van Opta ontvangen. Diginotar gaf certificaten voor websites uit, maar bleek medio 2011 gehackt. Volgens nu.nl kwam de hacker binnen via het verouderde cms van de website van Diginotar en installeerde hij software om wachtwoorden te onderscheppen. De inbraken zouden zijn gepleegd tussen 17 ju

NEDERLAND 28 JUN 2012

Onderzoeksraad: digitale veiligheid overheid niet goed

Overheidsorganisaties hebben hun digitale veiligheid niet altijd op orde en kunnen die veiligheid daardoor niet waarborgen. Dat blijkt uit het op 28 juni gepubliceerde rapport van de Onderzoeksraad voor Veiligheid. Aanleiding voor het rapport was het 'DigiNotar-incident'. De inbraak bij DigiNotar in de zomer van 2011 maakte volgens de Onderzoeksraad duidelijk dat de Nederlandse overheid niet was voorbereid op een aantasting van zijn digitale veiligheid. Het bedrijf leverde digitale certificaten, die gebruik

NEDERLAND 16 NOV 2011

KPN hervat aanvraag- en uitgifte veiligheidscertificaten

Nadat KPN vorige week woensdag de dienstverlening voor bestaande certificaathouders al had hervat, start KPN vandaag ook weer met de uitgifte van veiligheidscertificaten voor nieuwe klanten. Het hele uitgifteproces van KPN Corporate Market (voorheen Getronics) is daarmee veilig bevonden en operationeel. De productieservers waar de bestaande certificaten worden beheerd zijn vorige week aan proces- en penetratietests onderworpen en volledig veilig bevonden. Vanaf vandaag kunnen bedrijven en organisaties ook w

NEDERLAND 6 OCT 2011

SP en GroenLinks: meer controle op ICT-problemen overheid

De Tweede Kamer debatteert donderdagavond 6 oktober over de Diginotar-affaire. Diginotar gaf gecompromitteerde veiligheidscertificaten uit voor (overheids)websites. Het bedrijf bleek zijn eigen security niet op orde te hebben. De SP heeft al aangekondigd te vragen om een 'crashteam' van deskundigen dat zich kan bezighouden met internetproblemen die een verregaande impact hebben – zoals bij Diginotar het geval was. GroenLinks wil een externe deskundige het ICT-beleid van de overheid laten doorlichten.

NEDERLAND 20 SEP 2011

Rechtbank verklaart DigiNotar failliet

Het bedrijf DigiNotar is door de rechtbank in Haarlem failliet verklaard. Dat heeft moederbedrijf Vasco Data Security bekendgemaakt. Het bedrijf is in opspraak gekomen nadat bleek dat de veiligheidscertificaten die het uitgaf voor websites, niet waterdicht waren. De Nederlandse overheid nam daarop de regie bij het bedrijf over om alle overheidsdiensten te kunnen weghalen bij Diginotar.Vasco Data Security geeft aan dat het zal samenwerken met de curator en dat het zich zal inzetten voor een goede afwikkeling

NEDERLAND 14 SEP 2011

Opta trekt registratie DigiNotar in

Opta geeft aan dat het de regitratie van DigiNotar heeft ingetrokken. Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven. Gekwalificeerde certificaten zijn certificaten waarmee elektronische handtekeningen kunnen worden gezet, vaak door middel van een pasje met chip. DigiNotar dient nu zijn klanten te informeren over de intrekking van de gekwalificeerde certificaten. Opta houdt hier toezicht op. Het minister

NEDERLAND 5 SEP 2011

[Update]Rijk en VNO-NCW breken met Diginotar

VNO-NCW adviseert bedrijven om de banden te verbreken met Diginotar. De regering heeft dat op vrijdag 2 september ook al gedaan, na een kritisch rapport van een ICT-bedrijf, waaruit bleek dat ook de PKI-infrastructuur voor websites van de Nederlandse overheid niet meer betrouwbaar is. Govcert.nl heeft het operationeel beheer van de PKI weggehaald bij Diginotar. Diginotar geeft certificaten uit waarmee een browser kan 'weten' of een website authentiek is. Diginotar is echter in juli gehackt, naar men aanneem

Vandaag

live blog
Vandaag
(Nog) geen nieuws...

Bekijk Vandaag

Bekijk Vandaag

Commentaar

14:35

Open Dutch Fiber met nieuw bestuur klaar voor nieuwe fase, maar is het voldoende?

08:43

Videomarkt komt tot rust en zal een groeivertraging laten zien

16:01

Paramount lijkt zijn bod op Warner Bros Discovery nog voor Kerst te verhogen maar of Netflix volgt, is onduidelijk - en er is een Plan B mogelijk

16:21

Netflix koopt Warner Bros uit gebrek aan een diepe catalogus

Achtergrond

14:23

Netflix met afstand grootste streamer, ook in Q3 2025

08:45

TP:Talks - NIBC Bank verschuift investeringsfocus naar datacenters

05:50

Afgelopen week in telecom: Wi-Fi-uitbreidingen zorgen voor groei, videomarkt op weg naar consolidatie

08:45

TP:Talks - Cellnex verstevigt positie in Nederlandse markt voor zendmasten en datacenters

Aanvullen profiel

Alvorens de whitepaper te downloaden willen we vragen je profiel aan te vullen met bedrijf en functie. Na bevestigen ontvang je de whitepaper.