DigiNotar

DigiNotar was een Nederlandse commerciële certificaatautoriteit. Het bedrijf was gevestigd in Beverwijk en was sinds 2011 onderdeel van OneSpan (voorheen "VASCO Data Security International"). DigiNotar ontstond in 1997 op initiatief van de KNB en de Beverwijkse notaris Dick Batenburg als een samenwerkingsverband van zogenaamde TTP-notarissen dat zich oorspronkelijk voornamelijk richtte op het notariaat.

DigiNotar verzorgde de PKIoverheid-certificaten voor grote delen van de Nederlandse overheid, waaronder die van DigiD en de RDW.^[1] Op 10 januari 2011 maakte VASCO Data Security International bekend DigiNotar te hebben overgenomen.^[2] De overnamesom zou 11 miljoen euro hebben bedragen.^[3] Op 20 september 2011 werd het bedrijf failliet verklaard.^[4]^[5]

Hack bij DigiNotar[bewerken | brontekst bewerken]

Zie Hack bij DigiNotar voor het hoofdartikel over dit onderwerp.

In juni 2011 lukte het een hacker die zich Comodohacker noemde, in te breken bij DigiNotar.^[6] Als gevolg van deze hack gaf DigiNotar op 10 juli 2011 een certificaat voor het Google-domein *.google.com uit aan onbekende personen in Iran. Dit certificaat zou mogelijk gebruikt kunnen zijn voor een man-in-the-middle-aanval tegen Gmail.^[7] Eind juli 2011 raakte DigiNotar op de hoogte van de uitgifte van dit certificaat, maar het bedrijf maakte daar geen melding van. Pas nadat op 27 augustus 2011 op een blog melding werd gemaakt van de hack, volgde op 30 augustus een bevestiging door DigiNotar.

Naar aanleiding van de hack begon het bedrijf Fox-IT op 30 augustus een onderzoek naar DigiNotar. Op 5 september publiceerde Fox-IT een interim-rapport waarin diverse fouten in de procedures en systemen van DigiNotar aan het licht werden gebracht.^[8] De uitkomsten van dit onderzoek leidden ertoe dat het aanvankelijke standpunt van de overheid dat de PKIoverheid-certificaten veilig waren, werd ingetrokken en dat de overheid op 2 september het vertrouwen in DigiNotar volledig opzegde.^[9]^[10] Op 5 september werd bekend dat het Openbaar Ministerie een onderzoek zou instellen naar eventuele nalatigheid bij DigiNotar. De OPTA besloot op 13 september 2011 de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen (certificaten) in te trekken.

In september 2013 rapporteerde een Braziliaans tv-programma dat de Amerikaanse inlichtingendienst NSA gebruik heeft gemaakt van de DigiNotar-hack om in te breken bij Google en Hotmail. De Amerikaanse veiligheidsexpert Bruce Schneier stelt dat NSA verantwoordelijk kan zijn voor de inbraak bij DigiNotar.^[11]

Externe link[bewerken | brontekst bewerken]

Officiële website

Bronnen, noten en/of referenties

↑ Firefox bestempelt DigiD als onbetrouwbaar, de Volkskrant, 30 augustus 2011.
↑ Acquisition DigiNotar, persbericht VASCO van 10 januari 2011.
↑ Vasco laat DigiNotar vallen, security.nl, 5 september 2011, bezocht op 11 september 2011.
↑ Faillissement DigiNotar, rechtspraak.nl.
↑ Diginotar failliet verklaard, NU.nl, 20 september 2011. Gearchiveerd op 6 december 2022.
↑ Comodo Hacker Claims Credit for DigiNotar Attack, PCWorld, 6 september 2011.
↑ (en) "Fraudulent Google certificate points to Internet attack", CNET, 29 augustus 2011. Gearchiveerd op 1 februari 2014.
↑ Interim report DigiNotar audit, Fox-IT, 5 september 2011, bezocht op 11 september 2011.
↑ Overheid zegt vertrouwen in DigiNotar op, Factsheet GovCert 2011-06, 5 september 2011, bezocht op 11 september 2011.
↑ Gezamenlijke aanpak kabinet en bedrijfsleven DigiNotar-problematiek, rijksoverheid.nl, 5 september 2011.
↑ NRC: 'NSA maakte gebruik van hack IT-bedrijf DigiNotar’, 14 september 2013

[1] Firefox bestempelt DigiD als onbetrouwbaar, de Volkskrant, 30 augustus 2011.

[2] Acquisition DigiNotar, persbericht VASCO van 10 januari 2011.

[VI1-3] Vasco laat DigiNotar vallen, security.nl, 5 september 2011, bezocht op 11 september 2011.

[4] Faillissement DigiNotar, rechtspraak.nl.

[5] Diginotar failliet verklaard, NU.nl, 20 september 2011. Gearchiveerd op 6 december 2022.

[PCW-6] Comodo Hacker Claims Credit for DigiNotar Attack, PCWorld, 6 september 2011.

[7] (en) "Fraudulent Google certificate points to Internet attack", CNET, 29 augustus 2011. Gearchiveerd op 1 februari 2014.

[audit-8] Interim report DigiNotar audit, Fox-IT, 5 september 2011, bezocht op 11 september 2011.

[9] Overheid zegt vertrouwen in DigiNotar op, Factsheet GovCert 2011-06, 5 september 2011, bezocht op 11 september 2011.

[10] Gezamenlijke aanpak kabinet en bedrijfsleven DigiNotar-problematiek, rijksoverheid.nl, 5 september 2011.

[11] NRC: 'NSA maakte gebruik van hack IT-bedrijf DigiNotar’, 14 september 2013

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]