Diginotar is waarmerker voor certificaten op internet. Wie voor een beveiligde transactie zeker wil weten dat je echt op het juiste domein op internet bent, maakt via de webbrowser automatisch gebruik van een Trusted Third Party. Deze 'vertrouwde' partij is in dit geval Diginotar. Juist dat bedrijf adviseert nu gebruikers beveiligingsalarmen van de webbrowser te negeren en onvertrouwde certificaten te vertrouwen.

Soort identificatiebewijs

De website heeft het certificaat als een soort identificatiebewijs, waarbij de afkomst erg belangrijk is. Mark Bergman, zelfstandig beveiligingsexpert, maakt het nogal uit wie de uitgever is. Hij vergelijkt het met paspoorten. Het vertrouwen in een Nigeriaans paspoort zal hier bijvoorbeeld minder zijn dan in een Nederlands paspoort.

Het technisch afdwingen van correct functioneren is belangrijk, maar de helft van het verhaal. Technisch klopte het certificaat van Google.com volledig bij Diginotar. Het probleem is alleen dat het nooit bij dit bedrijf is aangevraagd en dat zij dus geen waarmerker horen te zijn. Qua cryptografie klopt alles perfect, maar procedureel is het helemaal foute boel.

Alles staat ter discussie

Dat er nu nepcertificaten zijn uitgegeven is volgens Bergman een aanval op de uitgever. “Het probleem is dat als je een reeks Nederlandse paspoorten vals uitgeeft en je niet kunt zeggen dat ze als Nederlandse paspoort te gebruiken zijn. Ze staan dan allemaal ter discussie", vertelt Bergman aan Webwereld. Er kan nu niet worden geroepen dat het goed zit. “Dit zul je moeten bewijzen. Als je tien foute certificaten uitgeeft, kun je niet die terugtrekken en doen alsof er niets gebeurd is."

Dat alles ter discussie staat wordt ook bevestigd door Rachel Marbus. Zij is verbonden als onderzoeker aan de Universiteit van Tilburg en bestuurslid bij het Platform voor Informatiebeveiliging (PvIB), de vakvereniging van beveiligingsprofessionals. “Het probleem met het verliezen van de betrouwbaarheid van een certificaat is dat het terugslaat op de verstrekker in zijn totaliteit", vertelt ze Webwereld. “Het draait allemaal om vertrouwen en reputatie. Is dat vertrouwen voor één domein verloren gegaan, dan raakt dat de rest ook."

“In de online wereld moeten we erop kunnen vertrouwen dat het met de veiligheid goed zit, dat is van essentieel belang voor communicatie", stelt Marbus. Precies die communicatie is door de Iraniërs aangevallen door een nepcertificaat voor Google.com de wereld in te helpen.

Ondermijnend voor Diginotar

“De reputatie van Diginotar is aangetast, dat is iets wat niet tot heel slecht weer te herstellen is", vertelt Marbus. Bergman geeft haar gelijk. Hij wijst erop dat de hack bij het bedrijf op 19 juli is ontdekt en dat het bedrijf daarmee niet naar buiten is getreden. “In Amerika ben je verplicht zo'n datalek te melden."

Ook benadrukt Bergman dat er weliswaar andere certificaten zijn ingetrokken, maar juist niet die van een prominent domein als Google.com.

Daarom moet volgens de expert nu worden bewezen dat er verder niets getroffen is. Gebeurt dat niet, dan heeft Diginotar een groot probleem. “Het is ook uitermate naïef om te denken dat je - omdat het 'maar' gaat om één domein - erop kunt vertrouwen dat het dus met de rest wel goed zit", zegt ook Marbus. “Net zomin als je een 'beetje zwanger' bent, kun je een 'beetje veilig' zijn. Onderzoek zal dat moeten uitwijzen."

Vertrouwen herwinnen

Dat Diginotar nu een vertrouwensprobleem heeft, is niet zomaar opgelost. “En dan nog zul je zien dat het heel lastig gaat worden om eenmaal verloren vertrouwen te herwinnen", voorspelt Marbus. “Wat ook zeker niet meehelpt is dat verschillende browserleveranciers Diginotar hebben laten vallen. Dat geeft het signaal: op alle certificaten kan niet vertrouwd worden. In de publieke opinie heb je dan al snel verloren."

Beveiliging en vertrouwen draaien allemaal om zekerheid. “Weet je zeker dat je erop kunt vertrouwen dat het goed zit? Het is net als met paspoorten, je wilt er zeker van kunnen zijn dat je erop kunt vertrouwen dat de persoon die je treft, is wie hij zegt dat hij is", verduidelijkt de onderzoekster. “Nu bekend is dat er een vals certificaat in omloop is geweest, is die zekerheid aan het wankelen gebracht. Je weet gewoonweg niet meer zeker dat de website waarmee je wilt communiceren ook echt de website is die het zegt te zijn."

99,9% zekerheid

Dit besef is bij Diginotar nog niet in de communicatie terug te vinden. Het bedrijf lijkt nog steeds vertrouwen te hebben in de uitgegeven certificaten. “Gebleken is dat vanuit één Sub Root (de zogenaamde Public 2025 Root) voor een aantal domeinen ten onrechte certificaten in omloop zijn gekomen", schrijft het bedrijf.

Dat vertrouwen niet bij de 'paspoort uitgevende instantie', maar de gebruiker ligt, komt niet in de communicatie terug. “De ene browserleverancier geeft aan dat alleen de 'beschadigde' Public 2025 Root niet meer te vertrouwen is en de andere dat ook certificaten uit andere Roots dat niet zouden zij", schrijft het bedrijf.

Vervolgens adviseert het bedrijf waarschuwingen van webbrowsers vooral te negeren. “Gebruikers van SSL certificaten kunnen afhankelijk van de methode welke de betreffende browserleverancier hanteert geconfronteerd worden met een mededeling dat het certificaat niet vertrouwd zou zijn. Dit is dus in 99,9% van de gevallen onjuist, het certificaat kan wel worden vertrouwd", stelt de onderneming.

Volgens Bergman ondermijnt Diginotar met die stellingname volledig het mechanisme van een Trusted Third Party als waarmerkende autoriteit en het lijkt het een aanval op de eigen meerwaarde. "Op dinsdag 30 augustus geeft Diginotar het advies om handmatig certificaten te accepteren, dit is natuurlijk een bizar advies", concludeert hij.

De industrie heeft gebruikers er juist jarenlang op gewezen dat ze alert moeten zijn op dit soort meldingen, en nu is ineens het advies om beveiligingswaarschuwingen naast je neer te leggen. “Dit kan handmatig door de gebruiker zelf worden aangegeven in de browser net als voor certificaten van uitgevende instanties van wie de Root helemaal niet in de Browser is opgenomen", verduidelijkt het bedrijf.

Bergman is daar helder over: "Veel specialisten en instanties doen erg hun best om gebruikers op te voeden (denk ook aan 3x kloppen campagne) en nu zegt Diginotar zelf dat we het hele TTP systeem maar even moeten vergeten en zelf het certificaat moeten accepteren."

Meer dan techniek

Dat het advies op korte termijn een probleem voor Diginotar oplost, lijkt helder. Toch is het maar de vraag of het daarmee het vertrouwen herstelt. “Het is zelfs denkbaar dat je technisch alles weer op orde hebt en de schade ingeperkt is, maar dat het vertrouwen aangetast blijft", verduidelijkt Marbus. “Vertrouwen is een sociaal proces wat versterkt kan worden door goede reputatie en een afgedichte technische infrastructuur. Maar eenmaal aangetast vertrouwen kan met alle technische kunstgrepen van de wereld niet zomaar meer hersteld worden."

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.