A principios de esta semana, DigiNotar dijo que iba a realizar otra auditoría de seguridad y publicaría los resultados.
Una de las grandes dudas es si la sucursal de autoridades de certificación del gobierno, llamada DigiNotar Pkloverheid, también estaba comprometida.
Previendo estos resultados, el gobierno holandés ha enviado correos electrónicos a los usuarios que han recibido certificados mediante la autoridad de certificación DigiNotar PKloverheid. Todas estas empresas y servicios están ligadas al gobierno o servicios públicos. Mientras espera los resultados de la auditoría, el gobierno holandés está pidiendo a los dueños de certificados PKloverheid que hagan lo siguiente:
– Una lista de los certificados PKloverheid en la organización.
– Una lista de los procesos para los que se están usando estos certificados.
– Una lista de las consecuencias a las que se enfrentarían si los certificados de PKloverheid dejan de ser confiables.
Creo que los creadores de navegadores deberían ir preparando una actualización que también incluya en su lista de rechazados a PKloverheid CA de DigiNotar. Hasta que se tengan los resultados de la auditoría, por supuesto.
Muchos sitios del gobierno holandés se verán afectados si se revocan los certificados. Limpiar el desastre será complicado.
El gobierno holandés ha empleado DigiNotar como autoridad de certificación intermediaria en muchos casos. El gobierno holandés tiene su propia autoridad de certificación raíz. Podría utilizarla para producir rápidamente nuevos certificados para los sitios afectados.
Espero que ahora sí esté claro que el gobierno holandés necesita distanciarse de DigiNotar.
Entradas del blog anteriores sobre este tema: Más sobre DigiNotar y
El gran problema con el falso certificado SSL de Google
La autoridad de certificación PKloverheid de DigiNotar, ¿también sufrió una intrusión informática