AMSTERDAM – Er zijn mogelijk meer valse certificaten van Diginotar in omloop naast het certificaat waarmee de Iraanse overheid Gmailverkeer kon aftappen.

Dat stelt moederbedrijf Vasco tegenover Webwereld. "We kunnen niet garanderen dat er geen andere valse certificaten zijn", aldus Jan Vlacke, operationeel directeur bij Vasco.

Maandag werd bekend dat in Iran Gmailverkeer kon worden afgetapt omdat een certificaat van het bedrijf Diginotar na een hack was vervalst. Hierdoor werden gebruikers naar een andere site doorgestuurd waar meegelezen kon worden.

De browsers Chrome, Firefox en IE waarschuwen inmiddels voor certificaten van Diginotar, deze certificaten worden ook door verschillende overheidwebsites in Nederland gebruikt. Bijvoorbeeld door DigiD.

Fouten gemaakt

Vasco sluit niet uit dat er na de hack meer valse certificaten in omloop zijn. Het bedrijf heeft toen de inbraak bekend werd direct actie ondernemen maar daarbij zijn fouten gemaakt. Hierdoor kon het certificaat voor Gmail vervalst worden.

"Als er één certificaat door kan glippen, kan er ook een tweede of derde tussendoor glippen", meent Vlacke.

Woensdag werd duidelijk dat Firefox bepaalde certificaten van Diginotar toch vertrouwt, op verzoek van de Nederlandse overheid. Hierdoor wordt de veiligheid van DigiD toch gegarandeerd, zo ontdekte Tweakers.

Nederland

De AIVD onderzoekt de zaak inmiddels. Govcert, dat de overheid van beveiligingsadviezen voorziet, heeft een eerste onderzoek al afgerond. Daaruit is niet gebleken dat de certificaten voor Nederlandse overheidwebsites getroffen zijn.

Wel erkent het ministerie van Veiligheid en Justitie dat er een probleem speelt omdat de browsers de certificaten niet meer vertrouwen. "We zoeken naar een oplossing."