Tout a commencé le 29 août quand il a été découvert qu'un faux certificat de google.com permettait au gouvernement iranien d'espionner le courrier électronique de ses ressortissants. Le certificat avait été émis le 10 juillet 2011 par Diginotar, société bassée à Beverwijk, qui n'a apparemment pas vérifié l’identité du demandeur pour délivrer ce certificat de google.com.

Le 5 septembre, on apprenait que cette affaire était plus grave que prévue, Diginotar a été piraté et plusieurs centaines de certificats ont été émis à son insu. Parmi ceux-ci, les certificats organisant la certification des sites gouvernementaux et le chiffrement des données personnelles des citoyens. Le site de l'année 2010, DigID a du rapidement mettre à jour ses certificats tandis que le service gouvernemental Logius, chargé du projet de e-gouvernement tente d'expliquer le problème à la population inquiète.

Ce n'est pas la première autorité de certification à se faire pirater mais la durée pendant laquelle Diginotar a été compromise étonne. Le gouvernement reproche à cette compagnie de ne pas avoir installé d'antivirus sur les ordinateurs de leurs employés et autres négligences indignes d'un tiers de confiance. Dascritch va plus loin et explique que le business modèle empèche d'avoir vraiment confiance. Les éditeurs de navigateurs ont tous mis à jour leurs produits pour qu'ils n'acceptent plus les clés certifiées par Diginotar. Certains travaillent à mettre des parades au cas où une autre autorité de certification serait corrompue. Essayer de réintroduire la confiance. Pour Diginotar, c'est trop tard...