KPN stopt uit voorzorg uitgifte nieuwe veiligheidscertificaten

KPN stopt tijdelijk en uit voorzorg de aanvraag en uitgifte van nieuwe veiligheidscertificaten, in afwachting van extern, onafhankelijk onderzoek. Bestaande certificaten die al uitgegeven zijn, blijven geldig. Bedrijven en organisaties die een nieuw veiligheidscertificaat hebben aangevraagd worden vandaag en morgen actief geïnformeerd.

In het licht van de recente ontwikkelingen rondom de veiligheid van websites, digitale loketten en internetcertificaten zijn door KPN en door externe partijen extra onderzoeken verricht, waarbij op een steeds dieper niveau is geanalyseerd. Tijdens zo’n onderzoek zijn in de server van de website waar bedrijven terecht kunnen voor informatie over certificaten, sporen zijn ontdekt die zouden kunnen duiden op misbruik, vier jaar geleden. Deze sporen wijzen erop dat de server mogelijk is geprepareerd door derden voor een zogenaamde DDoS aanval op anderen.

Hoewel er geen enkele aanwijzing is dat de productieomgeving van de certificaten is gecompromitteerd, kan ook niet volledig worden uitgesloten dat dit wél is gebeurd. Daarom heeft KPN Corporate Market (voorheen Getronics) besloten de aanvraag en uitgifte van nieuwe certificaten tijdelijk stop te zetten, hangende nader onderzoek. Dit om zeker te kunnen zijn dat de certificaten afgifteprocedure optimaal veilig en betrouwbaar is.

KPN heeft de betreffende webserver vervangen. Een aanvullend, onafhankelijk onderzoek vindt plaats om er zeker van te zijn dat KPN voldoet aan de vereiste waarborgen, procedures en voorschriften die gelden voor uitgifte van internet veiligheidscertificaten. Het ministerie van BZK en Logius, de dienst digitale overheid, zijn nauw betrokken bij het proces.

Het aanvullende onderzoek vindt de komende dagen plaats. De uitkomsten daarvan worden in de eerste helft van volgende week verwacht. Op dat moment zal KPN hierover berichten, of zoveel eerder als noodzakelijk is.