Google heeft 247 SSL certificaten van DigiNotar in de ban gedaan, waarvan 246 voor niet-Google domeinen. Dat blijkt uit wijzigingen in de code van Chromium, die gisteren zijn doorgevoerd.

DigiNotar en moederbedrijf Vasco spraken eerder deze week van 'tientallen' valse certificaten, maar dat blijken er dus honderden te zijn. Het bedrijf weigert nu in te gaan op de openbaarmaking van Google.

Tor favoriet doelwit

Daarnaast blijkt dat er maar liefst 12 frauduleuze certificaten zijn aangemaakt voor Tor. Dit is een internet anonimiseringsdienst die onder meer veel wordt gebruikt door dissidenten in schurkenstaten om online surveillance te ontlopen.

Jacob Appelbaum, één van de oprichters van het Tor Project, schrijft dat uit contact met Diginotar is gebleken dat zes valse certificaten zijn aangemaakt op 18 juli. Twee dagen later werden weer zes valse certificaten door de hackers aangemaakt. Alle twaalf certificaten hadden betrekking op '.torproject.org'.

Serienummers

DigiNotar kon Tor geen kopie van de certificaten overhandigen, maar alleen de serienummers. Omdat een volledige lijst met alle ontvreemde certificaten nog steeds ontbreekt, is het voor Tor onduidelijk om welke certificaten het nog meer gaat.

Appelbaum schrijft dat Diginotar hem verzekert dat de certificaten allemaal inmiddels zijn ingetrokken en bovendien zijn ze verlopen. Beide bundels van zes certificaten verliepen op respectievelijk 17 augustus en 19 augustus 2011. Vanaf die datum zouden ze dus niet meer ingezet kunnen worden voor het misleiden van gebruikers.

Diginotar half in de ban

Tor heeft Google gevraagd om wijzigingen op te nemen in Chrome, waardoor bezoek aan de kritieke Tor websites altijd via beveiligde verbinding loopt. Daarnaast heeft Tor Google een whitelist verstrekt met betrouwbare CA's. In zijn eigen Tor Browser heeft Tor het beveiligingsbedrijf inmiddels al op de zwarte lijst gezet.

Ook Mozilla Firefox heeft inmiddels een pagina waarmee handmatig de certificaten als onveilig zijn aan te merken. Gebruikers van Apple´s platform OS X kunnen nog niet handmatig wijzigingen doorvoeren en worden nog zonder waarschuwing doorgeleid.

PKI Overheid

De Nederlandse overheid heeft de webbrowsers gevraagd om delen van de certificaten die betrekking hebben op overheidswebsites als vertrouwd aan te merken. Dit gaat met name om de websites die vallen onder het PKI Overheid-project, waaronder DigiD.

Diginotar tekende echter het certificaat voor DigiD. Appelbaum verwondert zich over dit compromis van de Nederlandse overheid, aangezien Diginotar nog steeds geen volledige lijst heeft kunnen produceren van alle valse certificaten.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.