De Iraanse regering luistert met behulp van diensten van een Nederlands bedrijf het beveiligde verkeer van Gmail af. Door tussen de e-maildienst van Google en de eindgebruiker te gaan zitten is het mogelijk om erachter te komen waar dissidenten over discussiëren. GroenLinks gaat in de Tweede Kamer en het Europees Parlement vragen stellen over deze afluisterzaak.

Gebruikers waren in veronderstelling dat er een veilige verbinding met Google was. Om beveiligde verbindingen af te kunnen luisteren, misbruikte de Iraanse regering een door het Nederlandse Diginotar goedgekeurd certificaat. Zo’n certificaat verzekert een bezoeker van een website er normaal gesproken van dat hij daadwerkelijk verbonden is met de site die hij of zij bezoekt. Het internetverkeer is met zo’n certificaat bovendien versleuteld. Derden kunnen de verbinding tussen een gebruiker en een website door die versleuteling niet afluisteren.

Clandestien
De Iraanse regering gebruikt speciale apparatuur om al het internetverkeer te monitoren. Om ook beveiligde verbindingen af te luisteren is het mogelijk om een certificaat in die apparatuur te plaatsen. Dat moet dan wel een officieel goedgekeurd certificaat zijn. Een webbrowser geeft dan aan dat de verbinding goed beveiligd is. De Iraanse autoriteiten kochten hiervoor een certificaat in bij het Nederlandse Diginotar. Daarbij gaf de regering aan dat deze naar de domeinnamen van Google moest verwijzen, zo blijkt uit maandag uitgelekte gegevens.

Het Nederlandse bedrijf had dit certificaat nooit mogen verstrekken. Als het bedrijf een goede controle uitgevoerd zou hebben, zou het direct duidelijk zijn dat de aanvraag clandestien was. Google is immers al voorzien van een certificaat. Om die reden hebben de browsers Internet Explorer en Firefox de certificaten van Diginotar inmiddels verwijderd uit hun lijst van vertrouwde certificaten. Dit betekent dat websites met een certificaat van dit bedrijf niet langer als betrouwbaar aangemerkt worden. Gebruikers krijgen dan in hun browser te zien dat de website mogelijk onveilig is.

Diginotar wil nog niet reageren op de kwestie. Dat bedrijf beheert overigens ook de certificaten voor de Nederlandse overheid. Onder andere de echtheid van de certificaten van de Belastingdienst en DigiD worden door Diginotar gewaarborgd. Die websites worden door browsers overigens niet als onveilig bestempeld. De Nederlandse overheid gebruikt namelijk eigen certificaten.

Vragen
GroenLinks-Tweede Kamerlid Arjan El Fassed en Europarlementariër Judith Sargentini stellen vragen over de afluisterzaak - El Fassed aan minister van Buitenlandse Zaken Uri Rosenthal en Sargentini aan de Europese Commissie. 'Ik wil dat de minister deze zaak uitzoekt en Iran hierop aanspreekt', aldus El Fassed in een verklaring.