Beveiligingsexperts vragen zich af of de aanvallers die bij het Nederlandse DigiNotar wisten in te breken, ook toegang hebben gehad tot de PKIoverheid-certificaten van de Staat der Nederlanden. DigiNotar geeft naast eigen SSL-certificaten ook de PKIoverheid-certificaten van de Staat der Nederlanden uit, die onder andere voor DigiD wordt gebruikt. Aanvallers maakten waarschijnlijk 247 valse SSL-certificaten aan, onder andere voor *.google.com. Daarmee werden Iraanse Gmail-gebruikers afgeluisterd.

Gisterenavond verstuurde overheidsinstantie Logius een e-mail, waarin het overheden vraagt om de gevolgen van het uitvallen van PKI-overheidscertificaten te benoemen. De e-mail kwam ook bij IT-journalist Brenno de Winter terecht, die hem op zijn website publiceerde. Volgens de e-mail zijn er geen aanwijzingen dat de DigiNotar beveiligingscertificaten van PKIoverheid-certificaten ook getroffen zijn.

Toch worden aangeschreven instanties gevraagd om de aanwezige PKIoverheid-certificaten van DigiNotar in de organisaties te inventariseren, te kijken voor welke processen deze worden gebruikt en te inventariseren wat de gevolgen zijn als de PKIoverheid-certificaten van DigiNotar niet meer zijn te vertrouwen.

Overheid
"Ik denk dat het nu verstandig is voor betrokken browserleveranciers om een update voor te bereiden die ook DigiNotar's PKIoverheid CA intrekt, afhankelijk van het onderzoek dat nu wordt uitgevoerd", zegt Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab. "Veel Nederlandse overheidssites en diensten worden door het intrekken getroffen en het opruimen zal pijnlijk zijn."

Schouwenberg merkt op dat de Nederlandse overheid DigiNotar in veel gevallen als een " intermediary CA" gebruikt, maar dat het ook zelf een root CA heeft, waarmee het snel nieuwe certificaten voor de getroffen diensten kan uitgeven. "Ik hoop dat het nu echt duidelijk is dat de Nederlandse overheid afstand van DigiNotar moet nemen", aldus de virusanalist.