Dat blijkt uit informatie die op internet is verschenen. Zo blijkt er een nep beveiligingscertificaat voor de domeinen van Google te bestaan. Dat wordt gebruikt om de internetgebruiker de zekerheid te bieden dat ze daadwerkelijk op een authentieke machine zitten.

Afgetapt

Alleen is het certificaat niet echt, maar het wordt wel als echt aangemerkt door het Nederlandse Diginotar. Dat is de autoriteit voor waarmerken. In dit geval bevestigt het de juistheid van het nep-Google-certificaat. Daardoor kan de Iraanse regering het verkeer naar Gmail via eigen servers leiden en aftappen. Pas daarna wordt het verkeer naar Google doorgestuurd. De gebruiker heeft ondertussen niets in de gaten en denkt vertrouwelijk met Google te communiceren.

Overigens blijken niet alle gebruikers getroffen te worden, omdat mensen die Chrome gebruiken wel op de juiste plek de echtheid van de certificaten controleren. Dit blijkt in de browser te zijn voorgeprogrammeerd.

Veel taken

Diginotar is niet alleen verantwoordelijk voor reguliere certificaten. Het bedrijf levert ook certificaten voor PKI-Overheid (Public Key Infrastructure voor de overheid) en het tekent het certificaat voor DigiD. Het is onduidelijk of deze zaak daar invloed op DigiD-certificaten heeft.

Volgens Frank Wassenaar van het Ministerie van Binnenlandse Zaken is DigiD veilig: "Wij hebben geen enkele twijfel aan de beveiliging van DigiD naar aanleiding van dit nieuws", stelt hij. De Staat der Nederlanden werkt via een gescheiden traject voor hun certificaten. Andere certificaten worden via een andere procedure uitgegeven. "De hoofdsleutel ligt dan ook bij DigiD in de kluis en niet bij Diginotar."

Wassenaar erkent niet te weten wat er precies is misgegaan.Hij verwacht dat Diginotar tekst en uitleg gaat geven.

Op internet is inmiddels ook controle informatie verschenen ter bevestiging van het incident. Daaruit blijkt dat het certificaat in juli 2011 is uitgegeven. In de inleiding verwijt de schrijver Diginotar dat het geen verantwoordelijkheid neemt en dat het de levens van dissidenten in gevaar te brengt.

Ingetrokken

Na het bekend worden van het nieuws heeft Diginotar het nep-certificaat ongeldig verklaard. Hierdoor zullen webbrowsers aangeven dat er een probleem met de website is. Daardoor worden gebruikers gealarmeerd dat er iets niet in orde is. Het aftappen blijft daarbij nog steeds mogelijk.

Diginotar heeft nog niet gereageerd op een verzoek om commentaar.

Update 23:02: terugtrekken certificaat toegevoegd. Update 23:14: Reactie BZK toegevoegd Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.