Iran kan Gmail aftappen door Nederlands certificaat *UPDATE 2*

afluisteren

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (23)
9x Aanbevolen

Gepubliceerd: Maandag 29 augustus 2011
Auteur: Brenno de Winter

De Iraanse overheid tapt het verkeer vanuit het eigen land naar Gmail. Ze gebruikten een door Diginotar goedgekeurd certificaat om legitiem te ogen. Dat bedrijf tekende ook het DigiD-certificaat.

Dat blijkt uit informatie die op internet is verschenen. Zo blijkt er een nep beveiligingscertificaat voor de domeinen van Google te bestaan. Dat wordt gebruikt om de internetgebruiker de zekerheid te bieden dat ze daadwerkelijk op een authentieke machine zitten.

Afgetapt

Alleen is het certificaat niet echt, maar het wordt wel als echt aangemerkt door het Nederlandse Diginotar. Dat is de autoriteit voor waarmerken. In dit geval bevestigt het de juistheid van het nep-Google-certificaat. Daardoor kan de Iraanse regering het verkeer naar Gmail via eigen servers leiden en aftappen. Pas daarna wordt het verkeer naar Google doorgestuurd. De gebruiker heeft ondertussen niets in de gaten en denkt vertrouwelijk met Google te communiceren.

Overigens blijken niet alle gebruikers getroffen te worden, omdat mensen die Chrome gebruiken wel op de juiste plek de echtheid van de certificaten controleren. Dit blijkt in de browser te zijn voorgeprogrammeerd.

Veel taken

Diginotar is niet alleen verantwoordelijk voor reguliere certificaten. Het bedrijf levert ook certificaten voor PKI-Overheid (Public Key Infrastructure voor de overheid) en het tekent het certificaat voor DigiD. Het is onduidelijk of deze zaak daar invloed op DigiD-certificaten heeft.

Volgens Frank Wassenaar van het Ministerie van Binnenlandse Zaken is DigiD veilig: "Wij hebben geen enkele twijfel aan de beveiliging van DigiD naar aanleiding van dit nieuws", stelt hij. De Staat der Nederlanden werkt via een gescheiden traject voor hun certificaten. Andere certificaten worden via een andere procedure uitgegeven. "De hoofdsleutel ligt dan ook bij DigiD in de kluis en niet bij Diginotar."

Wassenaar erkent niet te weten wat er precies is misgegaan.Hij verwacht dat Diginotar tekst en uitleg gaat geven.

Op internet is inmiddels ook controle informatie verschenen ter bevestiging van het incident. Daaruit blijkt dat het certificaat in juli 2011 is uitgegeven. In de inleiding verwijt de schrijver Diginotar dat het geen verantwoordelijkheid neemt en dat het de levens van dissidenten in gevaar te brengt.

Ingetrokken

Na het bekend worden van het nieuws heeft Diginotar het nep-certificaat ongeldig verklaard. Hierdoor zullen webbrowsers aangeven dat er een probleem met de website is. Daardoor worden gebruikers gealarmeerd dat er iets niet in orde is. Het aftappen blijft daarbij nog steeds mogelijk.

Diginotar heeft nog niet gereageerd op een verzoek om commentaar.

Update 23:02: terugtrekken certificaat toegevoegd.

Update 23:14: Reactie BZK toegevoegd

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)