Fox-IT heeft niet alleen concrete sporen van een cyberinbraak gevonden op de DigiNotar-servers die werden gebruikt voor SSL-certificaten, maar ook op de server voor zogenaamde gekwalificeerde certificaten. Deze worden gebruikt voor een elektronische handtekening van digitale documenten door middel van bijvoorbeeld een smartcard op usb-token.

Dat staat te lezen in het besluit van toezichthouder OPTA om de registratie van DigiNotar te beëindigen, dat woensdag werd gepubliceerd. Eerder was al duidelijk dat een of meer hackers zich toegang hadden weten te verschaffen tot verschillende SSL-servers van DigiNotar en daar ten minste 500 valse certificaten hadden aangemaakt.

Via backdoor bij CA-servers

“Door Fox-IT is eveneens vastgesteld dat op 1 en 2 juli 2011 in de nachtelijk uren met de administratieve rechten is ingelogd op de CA-server die werd gebruikt voor uitgifte van gekwalificeerde certificaten ([vertrouwelijk]). Tevens is vastgesteld dat op de hiervoor genoemde tijdstippen is gewerkt met twee bestanden ([vertrouwelijk]) die sindsdien verdwenen zijn. Tijdens deze inlogsessies is ook de webpagina geopend die waarschijnlijk door een onbevoegde derde (“hacker") is gebruikt om in te breken op de systemen van Diginotar, de zogenaamde “Backdoor", schrijft OPTA.

Dit incident, samen met het feit dat alle CA-servers op hetzelfde Windows-domein stonden achter één zwak wachtwoord en DigiNotar maatregelen en melding heeft verzuimd, zijn voor OPTA reden de accreditatie van DigiNotar in te trekken. Het bedrijf heeft door dit verzuim de Telecomwet overtreden, oordeelt OPTA.

DigiNotar bestrijdt rapport

De bevindingen van Fox-IT zijn volgens Diginotar voor een groot gedeelte twijfelachtig, schrijft de OPTA, dat echter concludeert dat die aantijging van DigiNotar “niet met feiten wordt onderbouwd."

DigiNotar luidde ook nog de noodklok bij OPTA: beëindigen van de registratie bij de toezichthouder zal zeer waarschijnlijk het faillissement van DigiNotar tot gevolg hebben.

De telecomwaakhond is hier echter niet gevoelig voor: DigiNotar mag per direct geen gekwalificeerde certificaten meer aanbieden. Dat sluit niet uit dat Diginotar op een later moment opnieuw door OPTA kan worden geregistreerd, als het zijn zaken wel op orde heeft.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.