Volgens het Ministerie van Binnenlandse Zaken zijn de bijna duizend intrekkingen van certificaten het gevolg van de uitgave van persoonlijke certificaten op smartcards. Daarbij worden er drie certificaten voor verschillende doeleinden aangemaakt. Na het omvallen van Diginotar moesten er veel meer aanvragen door KPN worden verwerkt, waarbij er procedureel problemen optraden.

De twijfel rond de positie van KPN ontstond toen uit onderzoek bleek dat het bedrijf massaal certificaten intrekt. Werden er voor de problemen bij Diginotar zo'n zeven certificaten per maand door KPN ingetrokken, nu gaat het om tientallen soms zelfs honderden certificaten per maand.

Controle auditor

“De opschaling van de productie als gevolg van de Diginotar-crisis heeft geleid tot meer uitval bij de productie van (smartcards met) certificaten. KPN geeft aan dat ze elke aanvraag voor een certificaat door een auditor laten controleren. Geconstateerde fouten leiden tot intrekken certificaat", meldt Vincent van Steen, voorlichter van het Ministerie van Binnenlandse Zaken. “Het controlesysteem van KPN haalt die fouten eruit en trekt de certificaten dan gelijk in (drie tegelijk)."

Webwereld blijkt overigens niet de eerste te zijn die hierover vragen stelt. Inmiddels zocht beveiligingsonderzoeker Mattijs van Ommeren contact met Webwereld. De onregelmatigheden waren hem al een maand eerder opgevallen en op 11 november meldde hij zich bij KPN.

Pas op 21 november kwam er een verklaring van KPN aan Van Ommeren: “Uw constatering dat een hoog aantal certificaten in een korte tijdsperiode zijn ingetrokken, kunnen wij bevestigen. Dit heeft te maken met interne oorzaken als gevolg van de enorme grote uitgifte van nieuwe certificaten in september en oktober. U hoeft zich geen zorgen te maken over eventuele gemaakte fouten. Elk nieuw uitgegeven certificaat wordt beoordeeld door een interne auditor. Het gehele proces inclusief een controle op uitgegeven certificaten is door een externe auditor getoetst en akkoord bevonden. Hiervoor verwijzen wij naar de uitgebrachte persberichten."

Ondanks deze verklaring vindt Van Ommeren de gang van zaken vreemd, omdat juist vertrouwen bij het uitgeven van beveiligingscertificaten zo belangrijk is. “Het grote aantal intrekkingen zou te maken hebben met een groei van de uitgifte van certificaten in september en oktober", stelt de expert in reactie. “Er werd niet gesproken over productieuitval van smartcards, zoals in de reactie die jij hebt ontvangen." Een herhaaldelijk verzoek aan press office heeft tot op heden niet geleid tot een reactie. "Het verbaast mij dan ook, dat deze zogenaamde 'logische' verklaring niet eerder aan mij kenbaar is gemaakt."

Lange levensduur

Het ministerie erkent verder dat in Amsterdam een oud soort certificaten in gebruik is dat daarnaast een langere geldigheidsduur heeft dan eigenlijk is toegestaan. De bedoeling was dat alle certificaten van het oude type vanaf 1 januari 2012 niet meer zouden bestaan. Uit onderzoek bleek dat voor Amsterdam de geldigheidsduur twee jaar langer is.

BZK heeft daarvoor een ontheffing verleend. Dat was noodzakelijk, omdat de overschakeling op een nieuw type certificaten is gedwarsboomd door de hack op Diginotar. Nu stelt de hoofdstad dat 100 kritische systemen in gevaar zouden komen, waardoor respijt voor de verouderde certificaten noodzakelijk is.

KPN komt later vandaag met uitgebreide uitleg over de situatie rond het uitgeven van certificaten, maar geeft aan dat er geen problemen zijn 'alla Diginotar'.

update 11:18 - Aankondiging komende reactie KPN toegevoegd