Telecomleverancier KPN stopt uit voorzorg met de uitgifte van veiligheidscertificaten. Het bedrijf heeft in een server sporen ontdekt die kunnen duiden op misbruik van de certificaten. Het bedrijf gaat eerst die zaak onderzoeken en schort tot die tijd de uitgifte op. Dat meldt KPN op zijn website. Certificaten die al uitgegeven zijn, blijven geldig. Organisaties die in afwachting zijn van een nieuw veiligheidscertificaat, worden op 4 en 5 november 2011 door KPN geïnformeerd.
KPN schrijft dat het 'in het licht van de recente ontwikkelingen rondom de veiligheid van websites, digitale loketten en internetcertificaten' extra onderzoeken heeft verricht met externe partijen. Daarbij zijn sporen ontdekt die op misbruik duiden. Het gaat om de server van de site waar bedrijven informatie over certificaten kunnen opvragen.
DDoS-aanval
De server is mogelijk geprepareerd voor een DDoS-aanval. Dat kan tot vier jaar terug hebben plaatsgevonden. KPN zegt dat er geen aanwijzing is dat de productieomgeving van de certificaten is gecompromitteerd, maar sluit dat ook niet uit. Daarop heeft KPN Corporate Market, (voorheen Getronics), besloten niet langer nieuwe certificaten uit te geven. De verdachte webserver is vervangen.
KPN wacht de uitkomsten af van nader onderzoek. Dat moet rond 8 november 2011 zijn afgerond. Het ministerie van Binnenlandse Zaken Koninkrijksrelaties en de digitale overheidsdienst Logius zijn betrokken bij het onderzoek.
Het bedrijf heeft in een server sporen ontdekt die kunnen duiden op misbruik van de certificaten. M.a.w. dit is eerder gebeurd en was al bekend, maar voor hoelang al? Wat is dan de waarde/betrouwbaarheid van de certificaten nog?