Alle SSL certificaten van DigiNotar zijn veilig


BEVERWIJK, 20090106 -- Rond de jaarwisseling is bekend gemaakt dat hackers een "vals" SSL certificaat hebben gemaakt om vertrouwelijke gegevens te verkrijgen via "phishing". Een team van Nederlandse, Zwitserse en Amerikaanse onderzoekers heeft een zwakke plek gevonden in de beveiliging van internetsites met certificaten. SSL certificaten die zijn uitgegeven door DigiNotar zijn wel veilig.

De methode van het maken van "valse" SSL certificaten berust op een aantal al bekende zwakheden van bepaalde certificaten met een verouderd beveiligingsalgoritme; het "MD5" algoritme. Het is gebleken dat het in zo'n geval mogelijk is om verschillende certificaten dezelfde unieke code mee te geven, waardoor een certificaat te vervalsen is. DigiNotar SSL certificaten kunnen niet met die techniek vervalst worden. Zo gebruikt DigiNotar het sterkere SHA beveiligingsalgoritme in plaats van MD5. Bovendien voert DigiNotar controles uit op de identiteit van de aanvrager en voegt DigiNotar zelf unieke serienummers toe aan ieder certificaat waardoor certificaten niet nagemaakt kunnen worden. Gebruikers van DigiNotar SSL certificaten hoeven zich dus niet ongerust te maken.

Tony de Bos, managing director van DigiNotar: "Veel organisaties kopen `snel en goedkoop' online een SSL certificaat, waarbij vaak een automatisch uitgifteproces gebruikt wordt. Er worden dan nauwelijks controles uitgevoerd. Ook in dit geval is gebruik gemaakt van een dergelijk automatisch uitgifteproces. Dit onderstreept het toenemende belang van het gebruik van betrouwbare SSL certificaten die worden uitgegeven volgens internationale richtlijnen zoals EV SSL of de nationale PKIoverheid. Bij dergelijke certificaten worden nóg sterkere controles uitgevoerd door de CA en wordt ook de uitgevende instantie op haar beurt gecontroleerd door een onafhankelijke partij."





Ingezonden persbericht