De Europese Commissie (EC) "is verontrust over de gevolgen [van DigiNotar] voor de gebruikers én over de communicatie tussen bestuursinstellingen". Om de kans op een nieuw DigiNotar drama te verkleinen overweegt de EC de regels voor de certificatenbranche Europabreed aan te scherpen. Dat schrijft ICT-commissaris Neelie Kroes in antwoord op vragen van de Europese GroenLinks-fractie.

Toezicht en meldplicht

Volgend jaar komt de Commissie met een nieuwe Richtlijn voor e-handtekeningen. Dat is een uitgelezen kans om de huidige regels aan te scherpen om zo het vertrouwen te herstellen, schrijft Kroes.

Zo moet het toezicht op de certificatenbranche in heel Europa gelijkgeschakeld worden. Nu bepalen de lidstaten zelf de mate van toezicht, waardoor er enorme verschillen zijn. Daarnaast broedt Kroes op een meldplicht in het geval van een lek of hack bij een certificaatbedrijf.

Geen hervorming PKI

Overigens wijst Kroes een radicale herziening van de huidige structuur van certificaatketens, de zogenaamde PKI, af. Die infrastructuur wordt op dit moment gebruikt door bedrijven en overheden. Er is nog te weinig overeenstemming of alternatieven, zoals DANE in combinatie met DNSSec, volwassen en veilig genoeg zijn.

GroenLinks-Europarlementariër Judith Sargentini reageert gemend op de antwoorden van Kroes. "Het vertrouwen in online certificering is gekelderd door het schimmige gepruts van Diginotar. Beter toezicht en een uitgebreide meldplicht zijn noodzakelijk", schrijft ze.

"Het stelt me tegelijk teleur dat de Commissaris geen onderzoeken wil starten naar alternatieven voor het huidige systeem. Europa is bij uitstek geschikt om die ontwikkeling tot stand te brengen, maar die kans laat Kroes schieten."

DigiNotar drama

Eind augustus werd bekend dat de infrastructuur van de Beverwijkse certificaatautoriteit DigiNotar grondig was gehackt. Er werden onder meer valse certificaten uitgegeven om Iraanse Gmail-gebruikers af te luisteren, maar ook de Nederlandse PKI Overheidcertificaten van DigiNotar bleken gecompromitteerd.

Halsoverkop moest de Rijksoverheid het operationele beheer van DigiNotar overnemen, omdat talloze overheidsdiensten afhankelijk bleken van het bedrijf. Nog geen drie weken later werd DigiNotar failliet verklaard.

Vorige week zegde het Kabinet toe dat er een onafhankelijk onderzoek komt naar het DigiNotar debacle en ander ict-falen bij de overheid.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina. Kroes over certificaatbranche