Eind in zicht voor huidig certificaatsysteem

Voor IT-experts was het al duidelijk, maar de hack van beveiligingscertificaten van internetbedrijf DigiNotar heeft het nog eens aangetoond voor Bits of Freedom, dat opkomt voor privacy op internet: de manier waarop op dit moment de betrouwbaarheid van websites wordt geregeld met veiligheidszegels heeft zijn beste tijd gehad.

Het systeem is volgens de organisatie gebaseerd op vertrouwen in de duizenden bedrijven die de certificaten uitgeven, omdat het toezicht op deze firma's beperkt is. De certificaten worden alleen gecheckt door browserfabrikanten als Google en Microsoft. Bovendien zou meer toezicht op dit versplinterde systeem ook niet helpen.

De club pleit voor alternatieven, maar een nieuw kant-en-klaarsysteem is er op dit moment nog niet, aldus Bits of Freedom. Overheden rest nu niets anders dan andere bureaus in de arm nemen. Een alternatief dat in ontwikkeling is, is dat met een bepaald systeem ook andere instanties dan de browserfabrikanten kunnen worden aangewezen.

Een hacker, die zichzelf de Comodo-hacker noemt, claimde dinsdag het brein te zijn achter de kraak. Hij (of zij) wilde zo de Nederlandse regering pakken vanwege het drama in Srebrenica. Bij de val in 1995 vonden duizenden mensen de dood. Hij kraakte het systeem naar eigen zeggen op 11 juli, de dag dat Srebrenica viel. De kraker zou eerder dit jaar ook het certificatenbedrijf Comodo hebben aangevallen. Hij claimt verder toegang te hebben tot nog vier grote certificatenbedrijven. Daarbij noemde de hacker alleen het bedrijf GlobalSign.

De Tweede Kamer debatteert binnenkort met de ministers Piet Hein Donner (Binnenlandse Zaken) en Ivo Opstelten (Veiligheid) over de beveiliging van overheidssites en de rol van DigiNotar. DigiD kan inmiddels weer veilig worden gebruikt, zo liet het ministerie van Binnenlandse Zaken weten.

De Nederlandse Orde van Advocaten, die gebruikmaakt van de diensten van DigiNotar, vraagt advocaten de certificaten niet meer te gebruiken om toegang te krijgen tot beveiligde websites of de digitale rol. De problemen met de certificaten hebben mogelijk ook gevolgen voor een project rond nummerherkenning. Advocaten plaatsen daarbij telefoonnummers op beveiligde websites, waardoor gesprekken met cliënten niet (per ongeluk) worden afgeluisterd. ANP