Notar digital

Antigua autoridad de certificación

DigiNotar fue una autoridad de certificación holandesa , establecida en 1998 y adquirida en enero de 2011 por VASCO Data Security International, Inc. ^{[1] [2]} La empresa fue atacada por piratas informáticos en junio de 2011 y emitió cientos de certificados falsos , algunos de los cuales se utilizaron para realizar ataques de intermediarios contra usuarios iraníes de Gmail . La empresa se declaró en quiebra en septiembre de 2011.

Descripción general

El 3 de septiembre de 2011, después de que se hiciera evidente que una violación de seguridad había dado lugar a la emisión fraudulenta de certificados , el gobierno holandés se hizo cargo de la gestión operativa de los sistemas de DigiNotar. ^[3] Ese mismo mes, la empresa se declaró en quiebra. ^{[4] [5]}

Una investigación sobre el hackeo por parte de la consultora Fox-IT designada por el gobierno holandés identificó a 300.000 usuarios iraníes de Gmail como el objetivo principal del hackeo (al que posteriormente se atacó mediante ataques de intermediarios ), y sospechó que el gobierno iraní estaba detrás del hackeo. ^[6] Aunque nadie ha sido acusado de la intrusión y el compromiso de los certificados (hasta 2013 ^[actualizar]), el criptógrafo Bruce Schneier dice que el ataque puede haber sido "obra de la NSA o explotado por la NSA". ^[7] Sin embargo, esto ha sido cuestionado, y otros dicen que la NSA solo había detectado un servicio de inteligencia extranjero que usaba los certificados falsos. ^[8] El hackeo también ha sido reivindicado por el llamado Comodohacker, supuestamente un estudiante iraní de 21 años, que también afirmó haber hackeado otras cuatro autoridades de certificación, incluida Comodo , una afirmación que F-Secure consideró plausible , aunque no explicó completamente cómo condujo a la posterior "interceptación a gran escala de ciudadanos iraníes". ^[9]

Después de que se encontraron más de 500 certificados falsos de DigiNotar, los principales fabricantes de navegadores web reaccionaron poniendo en la lista negra todos los certificados de DigiNotar. ^[10] La escala del incidente fue utilizada por algunas organizaciones como ENISA y AccessNow.org para pedir una reforma más profunda de HTTPS con el fin de eliminar la posibilidad de que una sola CA comprometida pueda afectar a tantos usuarios. ^{[11] [12]}

Compañía

La actividad principal de DigiNotar era la de autoridad de certificación , emitiendo dos tipos de certificados. En primer lugar, emitían certificados bajo su propio nombre (donde la CA raíz era "DigiNotar Root CA"). ^{[13] Los certificados} Entrust no se emitieron desde julio de 2010, pero algunos todavía eran válidos hasta julio de 2013. ^{[14] [15]} En segundo lugar, emitían certificados para el programa PKIoverheid ("PKIgovernment") del gobierno holandés. Esta emisión se realizó a través de dos certificados intermedios, cada uno de los cuales se encadenaba a una de las dos CA raíz "Staat der Nederlanden". Las autoridades y organizaciones holandesas nacionales y locales que ofrecen servicios para el gobierno y desean utilizar certificados para una comunicación segura por Internet pueden solicitar dicho certificado. Algunos de los servicios electrónicos más utilizados ofrecidos por los gobiernos holandeses utilizaban certificados de DigiNotar. Algunos ejemplos fueron la infraestructura de autenticación DigiD y la organización central de registro de automóviles Netherlands Vehicle Authority  [nl] (RDW).

Los certificados raíz de DigiNotar fueron eliminados de las listas de certificados raíz de confianza de todos los principales navegadores web y sistemas operativos de consumo el 29 de agosto de 2011 o alrededor de esa fecha; ^{[16] [17] [18]} las raíces del "Staat der Nederlanden" se mantuvieron inicialmente porque no se creía que estuvieran comprometidas. Sin embargo, desde entonces han sido revocadas.

Historia

DigiNotar fue creado originalmente en 1998 por el notario holandés Dick Batenburg de Beverwijk y la Koninklijke Notariële Beroepsorganisatie  [nl] , el organismo nacional de notarios de derecho civil neerlandés . El KNB ofrece todo tipo de servicios centrales a los notarios y, dado que muchos de los servicios que ofrecen los notarios son procedimientos legales oficiales, la seguridad en las comunicaciones es importante. El KNB ofreció servicios de asesoramiento a sus miembros sobre cómo implementar servicios electrónicos en sus negocios; una de estas actividades fue ofrecer certificados seguros.

Dick Batenburg y el KNB han creado el grupo TTP Notarissen (Notarios TTP), donde TTP significa tercero de confianza . Un notario puede convertirse en miembro de TTP Notarissen si cumple ciertas normas. Si cumple otras normas sobre formación y procedimientos laborales, puede convertirse en notario TTP acreditado. ^[19]

Aunque DigiNotar había sido una CA de propósito general durante varios años, todavía apuntaba al mercado de notarios y otros profesionales.

El 10 de enero de 2011, la empresa fue vendida a VASCO Data Security International. ^[1] En un comunicado de prensa de VASCO del 20 de junio de 2011, un día después de que DigiNotar detectara por primera vez un incidente en sus sistemas ^{[20], el presidente y} director de operaciones de VASCO, Jan Valcke, afirmó: "Creemos que los certificados de DigiNotar se encuentran entre los más fiables del sector". ^[21]

Quiebra

El 20 de septiembre de 2011 Vasco anunció que su filial DigiNotar se había declarado en quiebra tras solicitar la declaración de quiebra voluntaria en el tribunal de Haarlem . Con efecto inmediato, el tribunal designó un síndico , un administrador designado por el tribunal que se hace cargo de la gestión de todos los asuntos de DigiNotar a medida que avanza en el proceso de quiebra hasta la liquidación . ^{[4] [22]}

Negativa a publicar informe

El curador (receptor designado por el tribunal) no quería que se publicara el informe de ITSec, ya que podría dar lugar a reclamaciones adicionales contra DigiNotar. ^{[ cita requerida ]} El informe cubría la forma en que operaba la empresa y los detalles del hackeo de 2011 que llevó a su quiebra. ^{[ cita requerida ]}

El informe se elaboró ​​a petición de la agencia supervisora ​​holandesa OPTA, que en un principio se negó a publicarlo. En un procedimiento de libertad de información ( Wet openbaarheid van bestuur  [nl] ) iniciado por un periodista, el síndico intentó convencer al tribunal de que no permitiera la publicación de este informe y de que confirmara la negativa inicial de la OPTA a hacerlo. ^[23]

Se ordenó la publicación del informe, que se hizo público en octubre de 2012. En él se muestra un compromiso casi total de los sistemas.

Expedición de certificados fraudulentos

El 10 de julio de 2011, un atacante con acceso a los sistemas de DigiNotar emitió un certificado comodín para Google . Este certificado fue posteriormente utilizado por personas desconocidas en Irán para llevar a cabo un ataque de intermediario contra los servicios de Google. ^{[24] [25]} El 28 de agosto de 2011 se observaron problemas con los certificados en varios proveedores de servicios de Internet en Irán. ^[26] El certificado fraudulento se publicó en Pastebin . ^[27] Según un comunicado de prensa posterior de VASCO, DigiNotar había detectado una intrusión en su infraestructura de autoridad de certificación el 19 de julio de 2011. ^[28] DigiNotar no reveló públicamente la violación de seguridad en ese momento.

Después de que se encontró este certificado, DigiNotar admitió tardíamente que se habían creado docenas de certificados fraudulentos, incluidos certificados para los dominios de Yahoo !, Mozilla , WordPress y The Tor Project . ^[29] DigiNotar no pudo garantizar que todos esos certificados habían sido revocados . ^[30] Google incluyó en la lista negra 247 certificados en Chromium , ^[31] pero el total final conocido de certificados mal emitidos es de al menos 531. ^[32] La investigación de F-Secure también reveló que el sitio web de DigiNotar había sido desfigurado por piratas informáticos turcos e iraníes en 2009. ^[33]

En reacción, Mozilla revocó la confianza en el certificado raíz de DigiNotar en todas las versiones compatibles de su navegador Firefox y Microsoft eliminó el certificado raíz de DigiNotar de su lista de certificados confiables con sus navegadores en todas las versiones compatibles de Microsoft Windows. ^{[34] [35]} Chromium / Google Chrome pudo detectar el *.google.comcertificado fraudulento, debido a su función de seguridad de " fijación de certificado "; ^[36] sin embargo, esta protección se limitó a los dominios de Google, lo que resultó en que Google eliminara a DigiNotar de su lista de emisores de certificados confiables. ^[24] Opera siempre verifica la lista de revocación de certificados del emisor del certificado y, por lo tanto, inicialmente declaró que no necesitaba una actualización de seguridad. ^{[37] [38]} Sin embargo, más tarde también eliminaron la raíz de su almacén de confianza. ^[39] El 9 de septiembre de 2011, Apple emitió la Actualización de seguridad 2011-005 para Mac OS X 10.6.8 y 10.7.1, que elimina a DigiNotar de la lista de certificados raíz confiables y autoridades de certificación EV. ^[40] Sin esta actualización, Safari y Mac OS X no detectan la revocación del certificado y los usuarios deben usar la utilidad Keychain para eliminar manualmente el certificado. ^[41] Apple no parcheó iOS hasta el 13 de octubre de 2011, con el lanzamiento de iOS 5. ^[42]

DigiNotar también controlaba un certificado intermedio que se utilizaba para emitir certificados como parte del programa de infraestructura de clave pública "PKIoverheid" del gobierno holandés , encadenado a la autoridad de certificación oficial del gobierno holandés ( Staat der Nederlanden ). ^[43] Una vez que los navegadores revocaban este certificado intermedio o lo marcaban como no confiable, se rompía la cadena de confianza de sus certificados y era difícil acceder a servicios como la plataforma de gestión de identidad DigiD y la Administración de Impuestos y Aduanas . ^[44] GOVCERT.NL  [nl] , el equipo de respuesta a emergencias informáticas holandés , inicialmente no creía que los certificados PKIoverheid se hubieran visto comprometidos, ^[45] aunque los especialistas en seguridad no estaban seguros. ^{[30] [46]} Como inicialmente se pensó que estos certificados no estaban comprometidos por la brecha de seguridad, a petición de las autoridades holandesas, se los mantuvo exentos de la eliminación de la confianza ^{[43] [47]} – aunque uno de los dos, el certificado raíz activo "Staat der Nederlanden - G2", fue pasado por alto por los ingenieros de Mozilla y accidentalmente se desconfió de ellos en la compilación de Firefox. ^[48] Sin embargo, esta evaluación fue rescindida después de una auditoría por parte del gobierno holandés, y los intermediarios controlados por DigiNotar en la jerarquía "Staat der Nederlanden" también fueron incluidos en la lista negra de Mozilla en la siguiente actualización de seguridad, y también por otros fabricantes de navegadores. ^[49] El gobierno holandés anunció el 3 de septiembre de 2011 que cambiarían a una empresa diferente como autoridad de certificación. ^[50]

Medidas adoptadas por el gobierno holandés

Tras la afirmación inicial de que los certificados bajo el certificado intermedio controlado por DigiNotar en la jerarquía PKIoverheid no se vieron afectados, una investigación posterior por parte de una entidad externa, la consultora Fox-IT, mostró evidencia de actividad de hackers también en esas máquinas. En consecuencia, el gobierno holandés decidió el 3 de septiembre de 2011 retirar su declaración anterior de que no había ocurrido nada malo. ^[51] (Los investigadores de Fox-IT llamaron al incidente "Operación Tulipán Negro". ^[52] ) El informe de Fox-IT identificó 300.000 cuentas de Gmail iraníes como las principales víctimas del ataque. ^[6]

DigiNotar era solo una de las CA disponibles en PKIoverheid, por lo que no todos los certificados utilizados por el gobierno holandés bajo su raíz se vieron afectados. Cuando el gobierno holandés decidió que había perdido su confianza en DigiNotar, recuperó el control del certificado intermedio de la empresa para gestionar una transición ordenada y reemplazó los certificados no confiables por otros nuevos de uno de los otros proveedores. ^[51] La plataforma DigiD, muy utilizada, ahora ^{[ ¿cuándo? ]} utiliza un certificado emitido por Getronics PinkRoccade Nederland BV ^[53] Según el gobierno holandés, DigiNotar les brindó su total cooperación con estos procedimientos.

Tras la eliminación de la confianza en DigiNotar, ahora hay ^{[ ¿cuándo? ]} cuatro proveedores de servicios de certificación (CSP) que pueden emitir certificados bajo la jerarquía PKIoverheid : ^[54]

• Identidad digital ^[55]
• ESG o De Electronische Signatuur ^[56]
• QuoVadis ^[57]
• Certificación KPN

Las cuatro empresas han abierto servicios de asistencia especiales y/o han publicado información en sus sitios web sobre cómo las organizaciones que tienen un certificado PKIoverheid de DigiNotar pueden solicitar un nuevo certificado a uno de los cuatro proveedores restantes. ^{[55] [56] [57] [58]}

Véase también

• Comodo Cybersecurity § Hackeo de certificados
• Operación Shady RAT
• Unidad 61398 del Ejército Popular de Liberación
• Stuxnet
• Operaciones de acceso personalizadas

Referencias

1. "VASCO Data Security International, Inc. anuncia la adquisición de DigiNotar BV, líder del mercado de servicios de confianza en Internet en los Países Bajos" (Nota de prensa). VASCO . 10 de enero de 2011. Archivado desde el original el 17 de septiembre de 2011 . Consultado el 31 de agosto de 2011 .
2. van der Meulen, Nicole (junio de 2013). "DigiNotar: Disección del primer desastre digital holandés". Journal of Strategic Security . 6 (2): 46–58. doi : 10.5038/1944-0472.6.2.4 . ISSN  1944-0464.
3. Sitio web Govcert Factsheet discovery fraud certificates Archivado el 8 de octubre de 2011 en Wayback Machine . Consultado el 6 de septiembre de 2011.
4. "VASCO Announces Bankruptcy Filing by DigiNotar BV" (Nota de prensa). VASCO Data Security International. 20 de septiembre de 2011. Archivado desde el original el 23 de septiembre de 2011. Consultado el 20 de septiembre de 2011 .
5. Wolff, Josephine (21 de diciembre de 2016). "Cómo un ataque informático de 2011 del que nunca habías oído hablar cambió la infraestructura de Internet". Slate . ISSN  1091-2339 . Consultado el 30 de junio de 2023 .
6. Gregg Keizer (6 de septiembre de 2011). «Hackers espiaron a 300.000 iraníes usando un certificado falso de Google». Computerworld . Archivado desde el original el 2 de febrero de 2014. Consultado el 24 de enero de 2014 .
7. "Nueva filtración de la NSA muestra ataques de intermediarios contra importantes servicios de Internet". 13 de septiembre de 2013. Archivado desde el original el 20 de septiembre de 2013 . Consultado el 14 de septiembre de 2013 .
8. Rouwhorst, Koen (14 de septiembre de 2013). "No, la NSA no estuvo detrás del ataque a DigiNotar". Archivado desde el original el 20 de noviembre de 2013. Consultado el 19 de noviembre de 2013 .
9. "Hacker de Comodo se atribuye el ataque a DigiNotar". PC World Australia. 2011-09-06. Archivado desde el original el 2 de febrero de 2014. Consultado el 24 de enero de 2014 .
10. Bright, Peter (6 de septiembre de 2011). "Hacker de Comodo: también hackeé DigiNotar; otras CA fueron violadas". Ars Technica . Archivado desde el original el 17 de abril de 2012. Consultado el 29 de abril de 2019 .
11. "Operación Tulipán Negro: Las autoridades de certificación pierden autoridad". www.enisa.europa.eu . Archivado desde el original el 22 de abril de 2014 . Consultado el 24 de enero de 2014 .
12. "El eslabón más débil de la cadena: vulnerabilidades en el sistema de autoridad de certificación SSL y qué se debe hacer al respecto. Un informe sobre políticas de acceso en relación con las consecuencias de la violación de DigiNotar para la sociedad civil y las empresas comerciales" (PDF) . Archivado (PDF) del original el 6 de octubre de 2018. Consultado el 20 de febrero de 2019 .
13. "Overzicht actuele rootcertificaten" [Encuesta de certificados raíz actuales] (en holandés). DigiNotar. Archivado desde el original el 31 de agosto de 2011 . Consultado el 12 de septiembre de 2011 .
14. "Entrust en relación con Diginotar". Ssl.entrust.net. 14 de septiembre de 2011. Archivado desde el original el 2 de abril de 2012. Consultado el 1 de febrero de 2012 .
15. Una captura de pantalla de un certificado Diginotar bajo la cadena Entrust
16. "Microsoft Security Advisory 2607712". technet.microsoft.com . Archivado desde el original el 10 de junio de 2016. Consultado el 16 de junio de 2016 .
17. "Actualización sobre intentos de ataques de intermediarios". Blog de seguridad en línea de Google . Archivado desde el original el 10 de junio de 2016. Consultado el 16 de junio de 2016 .
18. "Certificado *.google.com fraudulento". Blog de seguridad de Mozilla . Archivado desde el original el 25 de mayo de 2022. Consultado el 16 de junio de 2016 .
19. Sitio web Diginotar en TTP Notarissen Archivado el 31 de agosto de 2011 en Wayback Machine .
20. Informe provisional de FOX-IT, v1.0 Archivado el 21 de abril de 2015 en Wayback Machine (pero antes de que se emitieran certificados incorrectamente), Cronología, página 13. Consultado el 5 de septiembre de 2011.
21. "VASCO aborda el mercado global de certificados SSL". MarketWatch . 20 de junio de 2011.
22. Comunicado de prensa del Tribunal de Haarlem sobre DigiNotar Archivado el 24 de septiembre de 2011 en Wayback Machine , 20 de septiembre de 2011. Consultado el 27 de septiembre de 2011.
23. Sitio de noticias nu.nl: El receptor teme más reclamaciones Archivado el 30 de junio de 2012 en Wayback Machine . (en holandés), 22 de junio de 2012. Consultado: 25 de junio de 2012.
24. Heather Adkins (29 de agosto de 2011). "Una actualización sobre los intentos de ataques de intermediarios". Archivado desde el original el 13 de septiembre de 2011. Consultado el 30 de agosto de 2011 .
25. Elinor Mills. "Un certificado fraudulento de Google apunta a un ataque en Internet". Archivado el 8 de octubre de 2011 en Wayback Machine CNET , 29/8/2011.
26. Charles Arthur (30 de agosto de 2011). «Un certificado web falso podría haber sido utilizado para atacar a los disidentes iraníes». The Guardian . Archivado desde el original el 26 de agosto de 2017. Consultado el 30 de agosto de 2011 .
27. "Certificado fraudulento provoca bloqueo por parte de empresas de software". Heise Media UK Ltd. 30 de agosto de 2011. Archivado desde el original el 28 de abril de 2012.
28. "DigiNotar informa de un incidente de seguridad". VASCO Data Security International. 30 de agosto de 2011. Archivado desde el original el 31 de agosto de 2011. Consultado el 1 de septiembre de 2011 .
29. "Mogelijk nepsoftware verspreid naast después de Gmail". Grupo Sanoma Media Holanda. 31 de agosto de 2011. Archivado desde el original el 4 de diciembre de 2011 . Consultado el 31 de agosto de 2011 .
30. "DigiNotar: mogelijk nog valse certificado en omloop". IDG Holanda. 31 de agosto de 2011. Archivado desde el original el 10 de febrero de 2012 . Consultado el 31 de agosto de 2011 .
31. Keizer, Gregg (31 de agosto de 2011). «Los piratas informáticos pueden haber robado más de 200 certificados SSL». F-Secure. Archivado desde el original el 3 de septiembre de 2011. Consultado el 1 de septiembre de 2011 .
32. Markham, Gervase (4 de septiembre de 2011). «Lista actualizada de CN de DigiNotar». Archivado desde el original el 21 de octubre de 2011. Consultado el 20 de septiembre de 2011 .
33. Hypponen, Mikko (30 de agosto de 2011). «DigiNotar hackeado por Black.Spook y hackers iraníes». Archivado desde el original el 25 de septiembre de 2011. Consultado el 31 de agosto de 2011 .
34. "Los certificados digitales fraudulentos podrían permitir la suplantación de identidad". Aviso de seguridad de Microsoft (2607712) . Microsoft. 29 de agosto de 2011. Consultado el 30 de agosto de 2011 .
35. Johnathan Nightingale (29 de agosto de 2011). «Certificado fraudulento *.google.com». Blog de seguridad de Mozilla . Mozilla . Archivado desde el original el 21 de septiembre de 2011. Consultado el 30 de agosto de 2011 .
36. "Lo que la violación de seguridad de DigiNotar significa para los usuarios de Qt". Expertos de MeeGo . 10 de septiembre de 2011. Archivado desde el original el 24 de marzo de 2012. Consultado el 13 de septiembre de 2011 .
37. "Opera 11.51 lanzada". Opera Software. 30 de agosto de 2011. Archivado desde el original el 5 de octubre de 2011. Consultado el 1 de septiembre de 2011 .
38. Vik, Sigbjørn (30 de agosto de 2011). «Cuando las autoridades de certificación son atacadas». Opera Software. Archivado desde el original el 8 de octubre de 2011. Consultado el 1 de septiembre de 2011 .
39. "Segundo paso de DigiNotar: poner en lista negra el directorio raíz". Opera Software. 8 de septiembre de 2011. Archivado desde el original el 11 de noviembre de 2011. Consultado el 20 de septiembre de 2011 .
40. "Acerca de la actualización de seguridad 2011-005". Apple. 9 de septiembre de 2011. Archivado desde el original el 25 de septiembre de 2011. Consultado el 9 de septiembre de 2011 .
41. "Los usuarios de Safari siguen siendo susceptibles a ataques que utilizan certificados falsos de DigiNotar". Ars Technica . 1 de septiembre de 2011. Archivado desde el original el 12 de octubre de 2011 . Consultado el 1 de septiembre de 2011 .
42. "Acerca del contenido de seguridad de la actualización de software de iOS 5". Apple. 13 de octubre de 2011. Archivado desde el original el 5 de febrero de 2009. Consultado el 13 de octubre de 2014 .
43. Johnathan Nightingale (2 de septiembre de 2011). "Seguimiento de la eliminación de DigiNotar". Blog de seguridad de Mozilla . Archivado desde el original el 21 de septiembre de 2011. Consultado el 4 de septiembre de 2011 .
44. Schellevis, Joost (30 de agosto de 2011). "Firefox no tiene más certificación DigiD". Tweakers.net (en holandés). Archivado desde el original el 28 de septiembre de 2011 . Consultado el 30 de agosto de 2011 .
45. "Frauduleus uitgegeven beveiligingscertificaat". 30 de agosto de 2011. Archivado desde el original el 6 de octubre de 2011 . Consultado el 31 de agosto de 2011 .
46. Schellevis, Joost (31 de agosto de 2011). "Overheid vertrouwt error garrafal ssl-autoriteit". Tweakers.net (en holandés). Archivado desde el original el 28 de septiembre de 2011 . Consultado el 31 de agosto de 2011 .
47. Schellevis, Joost (31 de agosto de 2011). "Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid". Tweakers.net (en holandés). Archivado desde el original el 28 de septiembre de 2011 . Consultado el 31 de agosto de 2011 .
48. "Bugzilla@Mozilla – Error 683449 - Eliminar las exenciones para la raíz del Estado de los Países Bajos". Archivado desde el original el 2 de mayo de 2012 . Consultado el 5 de septiembre de 2011 .
49. Gervase Markham (3 de septiembre de 2011). «DigiNotar Compromise». Archivado desde el original el 25 de septiembre de 2011. Consultado el 3 de septiembre de 2011 .
50. "La seguridad de los sitios web del gobierno holandés en peligro". Radio Netherlands Worldwide . 3 de septiembre de 2011. Archivado desde el original el 27 de septiembre de 2011. Consultado el 3 de septiembre de 2011 .
51. Comunicado de prensa del gobierno holandés: Overheid zegt vertrouwen in de certificadon van Diginotar op Archivado el 17 de octubre de 2011 en Wayback Machine , 3 de septiembre de 2011. Consultado el 5 de septiembre de 2011.
52. Charette, Robert (9 de septiembre de 2011). "La violación de la autoridad de certificación DigiNotar afecta al gobierno electrónico en los Países Bajos - IEEE Spectrum". IEEE . Archivado desde el original el 3 de febrero de 2014 . Consultado el 24 de enero de 2014 .
53. Ver certificado en Request DigiD account ^{[ vínculo muerto permanente ]} . Consultado el 5 de septiembre de 2011.
54. Sitio web Logius: Reemplazo de certificados. Consultado el 5 de septiembre de 2011.
55. "PKIoverheid SSL". Archivado desde el original el 12 de julio de 2012.
56. PKIOverheids certificates Archivado el 10 de octubre de 2011 en Wayback Machine . Consultado el 5 de septiembre de 2011.
57. Sitio web de la oficina holandesa de Quovadis sobre PKIOverheid Archivado el 10 de octubre de 2011 en Wayback Machine . Consultado el 5 de septiembre de 2011.
58. Sitio web de Getronics sobre cómo solicitar un certificado PKIOverheid Archivado el 10 de octubre de 2011 en archive.today . Consultado el 5 de septiembre de 2011.

Lectura adicional

• Fox-IT (agosto de 2012). Black Tulip: Informe de la investigación sobre la violación de la autoridad de certificación DigiNotar .

Enlaces externos

• Sitio web oficial (en inglés, sin mencionar la quiebra)
• Sitio web oficial (en holandés, mencionando la quiebra)
• Certificados fraudulentos: lista de nombres comunes Archivado el 18 de octubre de 2011 en Wayback Machine
• DigiNotar informa de un incidente de seguridad
• Publicaciones de Pastebin :
  • ATAQUE MITM A gmail.com SSL POR PARTE DEL GOBIERNO IRANÍ - 27/8/2011
  • ¡Sentencia de muerte en Internet para la CA raíz de DigiNotar!
• Aviso de seguridad 2011-34 de la Fundación Mozilla: Protección contra certificados fraudulentos de DigiNotar
• Aviso de seguridad de Microsoft (2607712): Los certificados digitales fraudulentos podrían permitir la suplantación de identidad
• Compromiso de DigiNotar: el relato de Gervase Markham de Mozilla sobre cómo y por qué Mozilla incluyó a DigiNotar en la lista negra.
• Johnathan Nightingale (2 de septiembre de 2011). "Seguimiento de la eliminación de DigiNotar". Blog de seguridad de Mozilla . Consultado el 4 de septiembre de 2011 .Explicación del Director de Ingeniería de Firefox en Mozilla Corporation sobre por qué la eliminación de DigiNotar de la lista de confianza de Mozilla no es una suspensión temporal, sino una revocación completa de la confianza.
• Vídeo en YouTube de Fox-IT, que muestra las posteriores solicitudes OCSP por parte de usuarios iraníes de certificados DigiNotar (probables ataques).