PKIoverheid-certificaten van DigiNotar nog steeds vertrouwd

Gisteren werd bekend dat er een frauduleus certificaat is uitgegeven door DigiNotar. DigiNotar geeft eigen certificaten uit en is daarnaast ook één van de leveranciers van PKIoverheid-certificaten van de Staat der Nederlanden. Gebleken is dat de fraude betrekking heeft op de eigen certificaten van DigiNotar.

Voor zover nu bekend zijn de DigiNotar beveiligingscertificaten van de PKIoverheid ("De Staat der Nederlanden") niet getroffen. Certificaten die door deze autoriteit zijn ondertekend, zijn op dit moment nog steeds te vertrouwen.

De grote browserleveranciers zoals Microsoft, Mozilla en Google hebben het vertrouwen opgezegd in de DigiNotar Root, maar niet in de PKIoverheid-certificaten die onder de Staat der Nederlanden Root door DigiNotar zijn uitgegeven.

Helaas heeft Mozilla abusievelijk alleen de Staat der Nederlanden Root CA vertrouwd en niet ook de Staat der Nederlanden Root CA - G2. Dit betekent dat bij het bezoeken van DigiD eenmalig inloggen op dit moment een waarschuwing wordt getoond in de laatste versie van Firefox (6.0.1). Dit is aan Mozilla gemeld en zij hebben aangegeven te werken aan een spoedige oplossing.

Voor meer informatie verwijzen wij u naar de factsheet van GOVCERT.NL.

Update: momenteel voert Fox-IT een onderzoek uit bij DigiNotar. Een eerste rapport zal naar verwachting eind deze week klaar zijn.

Update 2: Overheid zegt vertrouwen in certicaten DigiNotar op.