DigiNotar

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

DigiNotar was een Nederlandse commerciële certificaatautoriteit. Het bedrijf was gevestigd in Beverwijk en was sinds 2011 onderdeel van VASCO Data Security International. DigiNotar ontstond in 1997 op initiatief van de KNB en de Beverwijkse notaris Dick Batenburg als een samenwerkingsverband van zogenaamde TTP-notarissen dat zich oorspronkelijk voornamelijk richtte op het notariaat.

DigiNotar verzorgde de PKIoverheid-certificaten voor grote delen van de Nederlandse overheid, waaronder die van DigiD en de RDW.[1] Op 10 januari 2011 maakte VASCO Data Security International bekend DigiNotar te hebben overgenomen.[2] De overnamesom zou 11 miljoen euro hebben bedragen.[3] Op 20 september 2011 werd het bedrijf failliet verklaard.[4][5]

Hack bij DigiNotar[bewerken]

1rightarrow blue.svg Zie Hack bij DigiNotar voor het hoofdartikel over dit onderwerp.

In juni 2011 lukte het een hacker die zich Comodohacker noemde, in te breken bij DigiNotar.[6] Als gevolg van deze hack gaf DigiNotar op 10 juli 2011 een certificaat voor het Google-domein *.google.com uit aan onbekende personen in Iran. Dit certificaat zou mogelijk gebruikt kunnen zijn voor een man-in-the-middle-aanval tegen Gmail.[7] Eind juli 2011 raakte DigiNotar op de hoogte van de uitgifte van dit certificaat, maar het bedrijf maakte daar geen melding van. Pas nadat op 27 augustus 2011 op een blog melding werd gemaakt van de hack, volgde op 30 augustus een bevestiging door DigiNotar.

Naar aanleiding van de hack begon het bedrijf Fox-IT op 30 augustus een onderzoek naar DigiNotar. Op 5 september publiceerde Fox-IT een interim-rapport waarin diverse fouten in de procedures en systemen van DigiNotar aan het licht werden gebracht.[8] De uitkomsten van dit onderzoek leidden ertoe dat het aanvankelijke standpunt van de overheid dat de PKIoverheid-certificaten veilig waren, werd ingetrokken en dat de overheid op 2 september het vertrouwen in DigiNotar volledig opzegde.[9][10] Op 5 september werd bekend dat het Openbaar Ministerie een onderzoek zou instellen naar eventuele nalatigheid bij DigiNotar. De OPTA besloot op 13 september 2011 de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen (certificaten) in te trekken.

In september 2013 rapporteerde een Braziliaans tv-programma dat de Amerikaanse inlichtingendienst NSA gebruik heeft gemaakt van de DigitNotar-hack om in te breken bij Google en Hotmail. De Amerikaanse veiligheidsexpert Bruce Schneier stelt dat NSA verantwoordelijk kan zijn voor de inbraak bij DigiNotar.[11]

Externe link[bewerken]