Er zijn sterke aanwijzingen dat TTP DigiNotar nog frauduleuze certificaten uitgaf na de ontdekking van de hack op zijn servers. Het gaat om zes certificaten, waarmee systemen zich als servers van het Tor-project konden voordoen.
De voorman van het Tor-project, Jacob Appelbaum, schrijft op het weblog van het project dat niet alleen een vals Google-certificaat is gegenereerd bij Diginotar; de hackers hebben ook twaalf nagemaakte certificaten voor de servers van Tor aangemaakt. Hoewel dat voor het gebruik van Tor zelf niet uitmaakt, omdat deze niet op certificatie is gebaseerd, zou iemand zich als de server van het Tor-project kunnen voordoen en (bijvoorbeeld) een valse versie van de Tor-software kunnen aanbieden. Die software is bedoeld om anoniem te kunnen surfen en wordt door journalisten en mensenrechtenactivisten in dictaturen gebruikt.
De makers van Tor hebben van DigiNotar beperkte informatie gekregen over de frauduleuze certificaten. Zo is bekend dat de helft van de valse Tor-certificaten op 18 juli is gegenereerd, en de andere helft op 20 juli. Dat laatste is verwonderlijk: de eigenaar van DigiNotar, Vasco Security, meldde eerder dat de hack op 19 juli is ontdekt. Als de informatie dus klopt, zijn er een dag na het ontdekken van de hack nog valse certificaten gegenereerd. Dat zou zeer kwalijk zijn.
Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten nadat de aanval werd ontdekt. Een andere verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server. Er is ook een zeer kleine kans dat er sprake is van verwarring over tijdszones: een van de twee hoofdkantoren van Vasco Security is gesitueerd in de Amerikaanse stad Chicago. Het was daar een paar minuten voor middernacht op 19 juli toen deze certificaten werden gegenereerd.
Zowel DigiNotar als Vasco Security onthouden zich van elk commentaar totdat een onafhankelijk onderzoek naar de zaak is afgerond. Waarschijnlijk worden de resultaten van dat onderzoek, dat door Fox-IT wordt uitgevoerd, binnenkort gepresenteerd. Overigens gaf DigiNotar tegenover Tor aan dat het geen bewijzen had dat de valse SSL-certificaten ook daadwerkelijk zijn ontvangen, maar Appelbaum zegt geen reden te hebben om die bewering te geloven.
Mogelijk wordt na het onderzoek ook duidelijk welke valse certificaten er precies zijn gegenereerd. DigiNotar wil alleen bevestigen dat hackers een vals certificaat voor alle subdomeinen van Google.com konden genereren, en dat niet uit te sluiten valt dat er nog andere valse certificaten in omloop zijn. Appelbaum schrijft dat de valse Tor-certificaten waarschijnlijk nog in omloop zijn, hoewel deze inmiddels alweer zouden zijn verlopen: alle valse Tor-certificaten waren geldig tot 17 of 19 augustus.
Er zijn sterke indicaties dat het probleem veel groter is dan aanvankelijk werd gedacht: mogelijk zijn er maar liefst 247 nepcertificaten aangemaakt. Dat claimt de topman van beveiligingsbedrijf F-Secure op basis van de broncode van een patch voor Google Chrome. Uit traceroutes die op Pastebin zijn verschenen, blijkt dat Iraanse internetters het slachtoffer werden wanneer ze naar servers van Google, YouTube, Bing, Facebook en Mozilla gingen. Mogelijk zijn DigiNotar-certificaten gebruikt om de aanval goed uit te kunnen voeren, maar of dat werkelijk zo is, blijft speculatie.
Mozilla heeft bekend gemaakt dat er vervalste certificaten zijn aangemaakt voor addons.mozilla.org. Het is niet duidelijk of deze actief zijn ingezet om dataverkeer af te luisteren. DigiNotar zou Mozilla in juli hebben medegedeeld dat er valse certificaten waren aangemaakt waarna deze enkele dagen later ongeldig werden gemaakt. Mozilla nam echter het zekere voor het onzekere en verwijderde alle certificaten van DigiNotar van zijn servers. Ook accepteert de laatste Firefox-versie geen certificaten meer van DigiNotar.
