Ingetrokken EV-certificaten maakt ruim tweeduizend websites onbereikbaar

De afgelopen dagen waren ruim tweeduizendwebsites onbereikbaar omdat de websites geen nieuw certificaat geregeld hadden en DigiCert de certificaten heeft ingetrokken. Internetbedrijf Netcraft meldt dat het onder andere ging om websites van overheden, banken en webwinkels.

Zo’n 35.000 EV-certificaten werden door DigiCert ingetrokken omdat deze niet in de auditrapporten vermeld stonden. Certificaatautoriteiten geven tls- en EV-certificaten uit. Deze worden door websites gebruikt om zich te kunnen identificeren tegenover bezoekers en een beveiligde verbinding op te zetten. De certificaatautoriteiten moeten zich jaarlijks laten controleren door een externe partij, waarbij ook alle uitgegeven certificaten worden onderzocht. Deze zogeheten audits omvatten ook alle intermediate certificaten die zijn uitgegeven en door certificaatautoriteiten worden gebruikt voor het uitgeven van EV- en tls-certificaten aan hun klanten.

De fout

DigiCert meldt dat intermediate certificaten altijd in auditrapporten vermeld stonden op basis van het geplande gebruik, in plaats van of deze in staat waren om een EV-certificaat uit te geven. Op deze manier stonden niet alle intermediate certificaten in het auditrapport vermeld die certificaten konden uitgeven. Wel merkt DigiCert op dat dit losstaat van de controle van de EV-certificaten zelf, omdat er wel is gecontroleerd of ze aan de EV-eisen voldoen. “Het is een vreemde situatie waarbij alle certificaten zijn getest op EV-eisen, maar het rapport geen specifieke intermediate certificaten vermeldde”, aldus DigiCert.

Er is volgens het bedrijf geen directe beveiligingsdreiging, maar door de EV-richtlijnen besloot DigiCert alle intermediate certificaten in te trekken de komen de weken, waardoor er zo’n 35.000 uitgegeven EV-certificaten ongeldig zijn. De eerste batch certificaten is afgelopen zaterdag ingetrokken, meldt Netcraft. Het bedrijf ontdekte maandagochtend nog 3800 websites die een al ingetrokken EV-certificaat gebruikten en dus niet bereikbaar waren voor bezoekers. Onder andere websites van Wirecard, Rackspace, The State Bank of India, Authorize.net, Telegram en ANZ Bank waren onbereikbaar.

Er moeten nog 1500 certificaten worden ingetrokken. DigiCert rapporteerde in eerste instantie dat er zo’n 50.000 certificaten worden ingetrokken. Na wat dieper onderzoek gaat het om 35.000 geldige certificaten die in drie batches ingetrokken worden. Op 11 juli werd de eerst batch van zo’n 26.000 certificaten ingetrokken. Op 16 juli volgt de tweede batch van 4.000 certificaten. De derde batch met de laatste certificaten wordt op 30 juli ingetrokken.

Bron: Security.nl