Diginotar erkent hack
Na [intlink id="7881" type="post"]ons bericht van gisteren[/intlink] is ondertussen meer duidelijk over de hack bij Diginotar. In een recent persbericht van Vasco, de moederorganisatie van Diginotar, wordt erkend dat Diginotar gehackt is geweest en dat er dankzij die hack vervalste certificaten in omloop zijn gekomen. Vasco stelt dat de hack op 19 juli 2011 is ontdekt en dat vervolgens alle normale procedure ter zake zijn gevolgd. Volgens Vasco heeft destijds ook een externe controleur geconcludeerd dat alle valselijk uitgegeven certificaten zijn ingetrokken. Later is ontdekt dat een valselijk uitgegeven certificaat toch niet is ingetrokken en dat dit certificaat is gebruikt in een hack.
Overheidsadvies: zorg ogenblikkelijk voor nieuwe certificaten
GOVCERT.NL, het Cyber Security Incident & Response Team van de Nederlandse overheid, gaf gisteravond Factsheet FS 2011-06 uit. Hierin geeft de overheid het volgende advies aan websitehouders:
Dienstverleners die voor hun website een Diginotar-certificaat gebruiken, raden wij in eerste instantie aan om direct contact met Diginotar op te nemen. Diginotar heeft te kennen gegeven te werken aan een oplossing voor de getroffen klanten.
Voor de continuïteit van de dienstverlening raden wij aan om zo snel mogelijk over te stappen op een nieuw certificaat. Publieke dienstverleners kunnen hiervoor bij Diginotar hun certificaten omruilen voor certificaten ondertekend door “De Staat der Nederlanden”. Andere, niet publieke, dienstverleners kunnen in overweging nemen een certificaat af te nemen bij een alternatieve aanbieder.
Het advies laat aan duidelijkheid weinig te wensen over. Websitehouders dienen zo snel mogelijk over te stappen op andere certificaten. Die nieuwe certificaten dienen niet gebaseerd te zijn op het gecompromitteerde root-certificaat van Diginotar. Tussen de regels door lijkt te staan dat partijen maar beter kunnen overwegen dit nieuwe certificaat bij een andere partij dan Diginotar te verkrijgen.
Is Diginotar aansprakelijk?
Diginotar lijkt de kosten te compenseren
Op diverse plaatsen op internet komt de vraag op of Diginotar aansprakelijk is te houden voor de schade die is geleden. Daarvoor moet eerst de vraag gesteld worden: is er wel sprake van schade? Zolang Diginotar met het "werken aan een oplossing voor de getroffen klanten" bedoelt dat alle certificaten kosteloos worden vervangen en dat de kosten die de klant eventueel maakt worden vergoed, lijkt een belangrijke potentiele schadepost al te zijn weggenomen.
Gevolgschade vooralsnog niet bekend
Een andere denkbare schadepost is dat er bijvoorbeeld transacties zouden hebben plaatsgevonden in de tijd tussen de hack bij Diginotar en het alsnog intrekken van alle ongeldige certificaten, waarbij misbruik is gemaakt van die foute certificaten. Voor zover mij bekend, is dat niet het geval, althans is vooralsnog niet bekend dat dit is gebeurd. Ook is denkbaar dat bijvoorbeeld gegevens die geheim zouden moeten hebben blijven (zoals wachtwoorden), door het in omloop raken van foute certificaten zijn uitgelekt. Welke schade daardoor is veroorzaakt en of (al) die schade nog wel in causaal verband staat tot een eventuele fout, is geen eenvoudig te beantwoorden vraag.
Specifieke wettelijk regeling aansprakelijkheid certificaatdienstverleners
Alleen al voor wat betreft het begrip "schade" zijn er dus wel wat hobbels te nemen. Wat daar ook van zij, noemenswaardig voor dit blogbericht is dat er een specifieke regeling voor de aansprakelijkheid van certificaatdienstverleners (als Diginotar) in artikel 6:196b BW van de wet staat. Die regeling geldt alleen wanneer een zogenaamd "gekwalificeerd certificaat" is uitgegeven. Voor de aansprakelijkheid van certificaatdienstverleners bij uitgifte van andere certificaten geldt het "normale" aansprakelijkheidsrecht. Daar ga ik in dit bericht verder niet op in.
Diginotar verstrekt onder meer gekwalificeerde certificaten
Diginotar staat bij de OPTA geregistreerd als certificaatdienstverlener die gerechtigd is gekwalificeerde certificaten uit te geven. Dat wil niet zeggen dat al haar certificaten ook "gekwalificeerd" zijn. Of een uitgegeven certificaat een gekwalificeerd certificaat is zou eenvoudig te zien moeten zijn. Volgens artikel 3 Besluit elektronische handtekeningen moet namelijk in het certificaat zelf "de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven" zijn opgenomen.
Samenvatting regeling aansprakelijkheid certificaatdienstverleners
De aansprakelijkheid van certificaatdienstverleners voor de uitgifte van gekwalificeerde certificaten is een genuanceerde regeling, welke als volgt kan worden samengevat. De certificaatdienstverlener is aansprakelijk voor de schade die wordt geleden wanneer iemand een transactie aangaat op basis van het vertrouwen dat hij ontleent aan het betreffende certificaat (lid 1). Ook is de certificaatdienstverlener aansprakelijk voor de schade die wordt geleden wanneer een certificaat niet of niet tijdig is ingetrokken. In beide gevallen geldt dat geen aansprakelijkheid bestaat wanneer de certificaatdienstverlener aantoont dat hij niet onzorgvuldig heeft gehandeld. Dat is dus een vorm van omgekeerde bewijslast: waar normaal gesproken degene die schade lijdt de bewijslast heeft, rust die nu bij de certificaatdienstverlener.
Verder geldt dat in het certificaat zelf kan worden opgenomen dat het certificaat alleen voor bepaalde doeleinden is bestemd (lid 3) of alleen voor transacties tot een bepaalde waarde (lid 4). Wanneer die beperkingen op correcte wijze bekend zijn gemaakt, is de aansprakelijkheid van de certificaatdienstverlener hiertoe beperkt.
Wel of niet onzorgvuldig gehandeld?
Mocht de kwestie ooit voor de rechter komen, dan zal de kwestie onder meer gaan over de vraag of Diginotar kan aantonen dat het niet onzorgvuldig heeft gehandeld. Of dat het geval is, kan ik niet beoordelen.
Wat voor Diginotar pleit is dat zij kennelijk externe en (mogelijk) onafhankelijke onderzoekers heeft ingeschakeld zodra zij de hack had opgemerkt. Opmerkelijk is wel dat de hack aan het licht kwam door een automatische melding van de browser Chrome op 27 augustus 2011. Kennelijk is de controle op geldigheid van certificaten geheel te automatiseren. Dat roept wel de vraag op of Diginotar destijds na de hack op 19 juli 2011 genoeg heeft gedaan om alle valse certificaten in te trekken. Opvallend is voorts dat het valse certificaat dat gebruikt is in de hack, volgens Tweakers al op 10 juli 2011 door de hackers is gegenereerd, terwijl Diginotar zelf aangeeft de hack op 19 juli 2011 (pas) te hebben ontdekt. Kennelijk hebben er (zeker) 9 dagen lang onopgemerkt valse certificaten gecirculeerd. Dat roept de vraag op hoe goed de eigen beveiliging van Diginotar is.
Zolang onduidelijk blijft welke interne procedures er nu precies gelden bij Diginotar, wat er na de hack nu precies gedaan is en wat de externe onderzoekers in dat kader hebben onderzocht, is dit alles echter lastig te beoordelen. Het vertrouwen in Diginotar lijkt in ieder geval behoorlijk geschaad.
