KPN Corporate Market (voormalig Getronics) heeft na onderzoek groen licht gekregen voor de uitgifte van veiligheidscertificaten. Het bedrijf voldoet aan de 'vereiste waarborgen en procedures voor een veilige uitgifte van certificaten', volgens onderzoekers van KPMG en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de digitale overheidsdienst Logius.
Op vier november 2011 legde KPN de uitgifte van certificaten stil, omdat KPMG tijdens een doorlichting inbraaksporen ontdekte op een webserver. Er is direct een onderzoek gestart, dat inmiddels duidelijk heeft gemaakt dat de veiligheid van de productieomgeving voldoende veilig is om weer tot de uitgave van certificaten over te gaan.
De telecomprovider begint vandaag weer met de uitgave van de certificaten. De server die getroffen was, komt op een later moment weer beschikbaar. Deze moet eerst nog worden getest. Hierdoor kunnen tijdelijk nog geen nieuwe certificaten worden aangevraagd door nieuwe klanten. KPN verwacht deze rond 15 november 2011 weer werkend te hebben.
Het ministerie van Binnenlandse Zaken zegt tevreden te zijn over de snelheid van handelen van KPN. Het ministerie zei op 8 november 2011 tegen Computable dat er sowieso geen overheidswebsites zijn getroffen, omdat er geen valse certificaten in omloop zijn gekomen.
With echoes of the “Diginotar” affair still ringing in our ears, this type of incident is probably attracting more attention than usual.
Not a bad thing really, as while the type and level of risk appear to be far less serious in the case of KPN, the disclosure that DDoS preparations had not been flagged for up to 4 years raises some questions about the statement: “Het bedrijf voldoet aan de ‘vereiste waarborgen en procedures voor een veilige uitgifte van certificaten'”.