Na dagen van radiostilte doorbreekt Mozilla het zwijgen met een keiharde boodschap: DigiNotar is definitief in de ban. De organisatie rolt zo snel mogelijk een patch uit voor Firefox, zodat er geen roots van DigiNotar meer door de browser worden vertrouwd. Alle certificaten van die Nederlandse Certificate Authority (CA) worden dan geweigerd.

Grove nalatigheid

Niet alleen de certificaten, ook het bedrijf is in de ban wat Mozilla betreft. “We hebben geen vertrouwen dat het probleem [door DigiNotar] is aangepakt. Bovendien heeft het bedrijf nagelaten ons op de hoogte te stellen. Dit baart ons grote zorgen over de bescherming van onze gebruikers in de toekomst", schrijft Johnathan Nightingale, hoofd-engineer bij Mozilla.

Mozilla constateert dat DigiNotar de hack 6 weken heeft verzwegen. Niet alleen voor het publiek, maar ook voor andere partijen in de certificatenbranche, waaronder browsermakers. “Dit is des te zorgwekkender aangezien een aantal valse certificaten waren uitgegeven voor addons.mozilla.org."

Vrijdag werd duidelijk dat het concern zelfs geen aangifte heeft gedaan, waardoor het mogelijk zelf onderwerp van strafrechtelijke vervolging wordt.

Valse certs in het wild

Verder is de omvang van de cyberkraak nog steeds onduidelijk, constateert Mozilla. Iraanse hackers hebben meer dan 200 frauduleuze certificaten aangemaakt, maar het is nog steeds onbekend hoeveel precies en voor welke domeinen.

Bovendien zijn de valse certificaten actief misbruikt. Nightingale: “We hebben meerdere berichten ontvangen dat deze certficaten in het wild werden gebruikt."

“De integriteit van het SSL-systeem kan niet in het geheim worden gehandhaafd. Incidenten zoals deze bewijzen de noodzaak van actieve en directe communicatie tussen CA's en softwareleveranciers om al onze gebruikers veilig te houden online, concludeert Nightingale.

Het is de verwachting dat ook andere browsemakers snel met patches voor hun eigen software komen die DigiNotar dan totaal in de ban doen. Vrijdagavond werd duidelijk dat Google de code daarvoor al klaar heeft staan.

Rijksoverheid dumpt DigiNotar

Vannacht besloot minister Donnar na crisisberaad het vertrouwen in DigiNotar op te zeggen. Alle overheden zullen zo snel mogelijk op een andere gemachtigde uitgever van PKI-overheidscertificaten (public key infrastructure) overstappen. DigiNotar beveiligt honderden sites en digitale diensten van overheden en semi-overheden.

Vannacht deed het moederbedrijf van DigiNotar, Vasco, een verklaring uitgaan om er "samen met de Nederlandse overheid uit te komen."

Doodvonnis

Maar dat lijkt een gepasseerd station, aangezien het ministerie van Binnenlandse Zaken (BZK) heeft besloten het operationele management van DigiNotar per direct over te nemen. Daarbij wordt het beveiligde verkeer de komende tijd ook extra gemonitord, laat BZK weten.

De reacties op de recente ontwikkelingen in het debacle zijn niet mals. Jeremiah Grossman, cto van securitybedrijf WhiteHat, vat de communis opinio op twitter samen: “Dit is feitelijk het doodvonnis voor DigiNotar…"

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.