DigiNotar expende certificados SSL (Secure Sockets Layer) y EVSSL (Extended Validation), que son validados por los propietarios web para que la gente se asegure de no estar visitando páginas web falsas que intentan parecer legítimas.
DigiNotar es lo que se conoce como Certificate Authority (CA), una entidad que vende certificados digitales para legitimar a los propietarios de páginas web. Pero DigiNotar lanzó un certificado digital para el dominio google.com, un error que podría permitir que un atacante pudiera interceptar el correo electrónico de cualquier internauta.
Google declaró que el certificado fraudulento ha sido utilizado y que se dirigió a usuarios en Irán aunque una funcionalidad de seguridad en su navegador Chrome detectó el certificado y lanzó a los usuarios una advertencia al respecto.
DigiNotar publicó un comunicado afirmando que descubrió el problema el 19 de julio en una auditoría que su infraestructura utiliza para comprobar que los certificados llegan a sus destinatarios.
El certificado digital para google.com solamente estuvo disponible ese domingo. En un comunicado la firma anuncia que el Equipo de Respuesta a Emergencias Informáticas Holandés les había notificado que aún no había sido revocado. Finalmente lo hicieron el lunes.
Lo que se desconoce por ahora es cómo los atacantes alcanzaron la infraestructura de expedición de certificados de DigiNotar o cuánto tiempo tuvieron acceso a la misma.
Estos negocios tendrán que enfrentarse a situaciones duras en los próximos días. Google, Mozilla y Microsoft han revocado los certificados de DigiNotar y eso significa que la gente que vaya a las páginas web que utilicen estos certificados podrían ver un aviso afirmando que la página web en la que están entrando no es de fiar y que no deberían entrar en la misma.
Binst también explicó que DigiNotar está contactando con sus clientes. Una opción para resolver el problema es que los sitios web afectados conmuten los certificados emitidos por el gobierno holandés, a pesar de que no pudo concretar qué agencia se encargaría de emitir los certificados de sustitución. Otra opción, según Binst, es conseguir que los fabricantes de navegadores realicen cambios técnicos para cumplir con sus certificados.