SSL-gigant Thawte ook gehackt, stelt VNG onterecht

door

ongeschikt

door

Nieuws - De Vereniging Nederlandse Gemeenten stelt in een factsheet dat ICT-beheerders Thawte-certificaten moeten vervangen, omdat ook dit concern is gehackt. Dit is echter onjuist, erkent de VNG naderhand.

Dinsdag publiceerde de Vereniging Nederlandse Gemeenten (VNG) een document met 'Veelgestelde vragen en antwoorden' over de DigiNotar-hack, voor gemeenteambtenaren die zich bezighouden met ICT-systemen.

Daarin meldt de vereniging echter dat ook Thawte, de één na grootste certificaatautoriteit ter wereld en door ongeveer zeventig gemeenten gebruikt, is gehackt.

Thawte door hacker getroffen

Op de vraag “Ik heb certificaten van Thawte, moet ik nu ook vervangen?", antwoordt de VNG: “Thawte is een alternatieve leverancier van certificaten. Ook zij zijn door dezelfde hacker getroffen als DigiNotar. Er moet nog een lijst achterhaald worden van gemeenten die hier klant van zijn. Gemeenten moeten in ieder geval zelf nieuwe certificaten aanvragen. Hou de mail in de gaten voor leveranciersoverleg."

De VNG erkent dat er geblunderd is. “Deze informatie is inderdaad niet correct. We zijn daar op gewezen en hebben toen het document offline gehaald. We werken aan een nieuwe versie met aanvullingen en correcties," aldus VNG-woordvoerder Gjalt Rameijer tegenover Webwereld.

“We proberen uitermate zorgvuldig te zijn met onze voorlichting naar gemeenten toe, maar er is ook haast bij. In dit geval is de haast ten koste gegaan van de zorgvuldigheid."

Gecorrigeerde versie

Een gecorrigeerde versie van het voorlichtingsdocument zal later vandaag online komen, belooft Rameijer. Overigens staat het oude document, met de onjuiste informatie, nog steeds online, alleen de link er naar toe is weggehaald.

Dinsdag publiceerde de 'Comodohacker' een verklaring waarin hij claimt naast DigiNotar nog vier andere certificaatautoriteiten (CA's) te hebben gehackt, waaronder GlobalSign.

Dat concern doet momenteel koortsachtig onderzoek of zijn netwerk en infrastructuur inderdaad is gecompromitteerd. Tot er duidelijkheid is, geeft GlobalSign geen nieuwe certificaten uit.

Thawte not amused

Thawte, een van oorsprong Zuid-Afrikaanse CA, was niet meteen bereikbaar voor commentaar. De Nederlandse partner van Thawte, Networking4all, is geen berichten ter ore gekomen dat zou zijn gehackt.

“We nemen de kwestie zeer serieus, maar over een mogelijke hack is ons niets bekend," reageert Paul van Brouwsershaven, cto van Networking4all. Hij is not amused dat de VNG op deze manier onnodige paniek zaait.

Thawte is al sinds 1999 onderdeel van VeriSign. De CA-tak van VeriSign is, tezamen met dochterondernemingen Thawte, GeoTrust en RapidSSL, op zijn beurt in augustus 2010 overgenomen door Symantec.

UPDATE: 17.12 uur: De VNG heeft inmiddels een gecorrigeerde versie van de 'Veelgestelde vragen en antwoorden' over de DigiNotar-hack online gezet.

Hieronder oude, onjuiste versie document van VNG inzake DigiNotar. Vermeende Thawte-hack op pagina 3.

Foute FAQ VNG over Diginotar

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.