image

OPTA beeïndigt registratie DigiNotar

woensdag 14 september 2011, 12:34 door Redactie, 4 reacties

Uit onderzoek van telecomwaakhond OPTA naar de uitgifte van gekwalificeerde certificaten door DigiNotar, blijkt dat de betrouwbaarheid van deze certificaten niet langer te garanderen is. OPTA beëindigt daarom de registratie van DigiNotar. Dit houdt in dat het bedrijf zijn uitgegeven gekwalificeerde certificaten in moet trekken en geen nieuwe gekwalificeerde certificaten meer mag uitgeven. Gekwalificeerde certificaten zijn certificaten waarmee elektronische handtekeningen kunnen worden gezet, vaak door middel van een pasje met chip. OPTA is wettelijk verplicht om toezicht te houden op de uitgifte van uitsluitend dit type certificaten.

OPTA besloot eind augustus tot het doen van onderzoek vanwege de problemen die ontstonden bij DigiNotar bij de uitgifte van zogeheten servercertificaten (SSL). Servercertificaten, waarop de telecomwaakhond geen toezicht houdt, worden in computers gebruikt voor het opzetten van beveiligde verbindingen. In het onderzoek naar de uitgifte van gekwalificeerde certificaten constateerde OPTA dat bij de inbraak op de systemen van DigiNotar ook toegang is geweest tot de systemen waarop dit type certificaat wordt aangemaakt. Volgens de toezichthouder is het daarom niet langer gegarandeerd dat gegevens op deze systemen niet zijn gemanipuleerd, onttrokken of misbruikt.

Intrekking
DigiNotar dient nu zijn klanten te informeren over de intrekking van de gekwalificeerde certificaten. OPTA houdt hier toezicht op. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft inmiddels het operationele beheer van de systemen voor certificering overgenomen van DigiNotar. Omdat de gekwalificeerde certificaten niet meer te gebruiken zijn, dienen de gebruikers nieuwe gekwalificeerde certificaten bij geregistreerde aanbieders aan te vragen.

Reacties (4)
14-09-2011, 13:48 door sjonniev
Hopelijk wijzigt de OPTA ook haar goedkeuringsproces, en vertrouwt ze niet meer alleen op papieren audits...
14-09-2011, 13:56 door Anoniem
Ik kan me een quote van de directeur van Diginotar nog goed herinneren waarin hij stelde dat het een klein incident was en dat hij verder geen problemen zag voor de toekomst van Diginotar :')
14-09-2011, 22:22 door Anoniem
And game over. No new balls. Ehhh, ja voor Diginotar dan.

Maar gaat hier ook nog iemand wat van leren? Niet in de laatste plaats die organisaties die we tot nu toe vertrouwden om toezicht te houden op bedrijven als Diginotar die wij daarom dan horen te kunnen vertrouwen... Waar is de accountant die goedkeuring gaf om alles tot ergens in 2013 - of was t nou zelfs 2015 - bij de CA als betrouwbaar te bestempelen. En waar was de overheid die voor het incidentje al toezicht hield op hoe goed de accountant en de CA het samen voor elkaar hadden zodat mensen via dat in ieder geval in Iran en onder andere regimes geen slachtoffer worden van represailles. Of dat we als volk niet onnodig vertrouwen, vele duizenden uren, vele miljoenen euro's kwijt zijn om puin te ruimen. Of gaan mensen alleen leren als ze echt verantwoordelijk worden gehouden en er ook nog eens persoonlijk merkbaar heel erg veel geld mee kwijt zijn....

Misschien dat iemand van die groepjes toezichthouders, andermansgeldverbranders en grootgeldverdieners uit die ketting nog even kan uitleggen wat er nou toch zo betrouwbaar aan hun werk is.
15-09-2011, 12:49 door Night
Ik denk dat de angst er nu wel goed inzit bij de CA's. Als dit je allemaal overkomt is het game over voor je organisatie. Dus ze zullen nu niet meer roepen: er is een audit geweest die voldoende aantoont dat we betrouwbaar zijn.
Ik vermoed dat ze allemaal intern zullen zeggen: we moeten alle maatregelen treffen die in ons vermogen liggen om een diginotar drama bij ons te voorkomen.

Als de dreiging maar wordt gevoeld wil iedere organisatie wel aan beveiliging doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.