KPN hervat uitgifte certificaten, systemen 'veilig'

Bedrijven en overheden kunnen weer certificaten van KPN Corporate, voorheen Getronics, laten ondertekenen. Ten minste bestaande klanten. Nieuwe klanten moeten nog wachten, omdat de webserver die verdacht was bevonden nog extra tests ondergaat, zodat aanmelden nog niet mogelijk is.

Vier jaar oude DDoS-tool

Afgelopen vrijdag legde KPN het uitgifteproces van veiligheidcertificaten stil, nadat er tijdens een extra audit verdachte code op een webserver werd aangetroffen. Het betrof een DDoS-tool die er al vier jaar opstond.

KPN Getronics is een belangrijke certificaatautoriteit, vooral voor de overheid. Het is de grootste van de vier overgebleven leveranciers van PKI Overheidscertificaten. DigiNotar was dat ook, totdat het bedrijf in de ban werd gedaan nadat een megahack van zijn systemen niet gemeld had.

Onderzoek door KPMG

Nadat KPN vrijdag het ministerie van Binnenlandse Zaken (BZK) op de hoogte had gesteld, gelaste die een 'aanvullend onderzoek' dat is uitgevoerd door KPMG, vertelt een woordvoerder van het department aan Webwereld.

Die heeft de afgelopen dagen "de veiligheid en ondoordringbaarheid van de productieomgeving op de proef hebben gesteld", onder meer met penetratietests, meldt KPN. De kritieke systemen zijn nu veilig bevonden.

Kamerbrief

BZK heeft ook een brief naar de Tweede Kamer gestuurd "dat KPN heeft besloten, met instemming van het ministerie, de uitgifte van certificaten onder de PKIOverheid-root weer te hervatten".

De situatie is vergelijkbaar met die van GlobalSign in september. Daar waren ook aanwijzingen van een cyberinbraak, waarna de certificaatreus zijn CA-infrastructuur offline haalde. Nadat bleek dat er alleen een webserver was gehackt, herstelde het concern stapsgewijs weer de dienstverlening.

Webserver nog offline

Wat er precies mis was met de webserver van KPN Getronics is nog onduidelijk. Die wordt deze week nog "onderworpen aan een aantal extra tests", meldt het telecomconcern.