Door een fout bij de certificaatautoriteit certSIGN lijken de TLS-certificaten van verschillende overheidswebsites ingetrokken. In de Certificate Revocation List (CRL) van het Roemeense bedrijf staat dat de certificaten van onder meer logius.nl en meerdere gemeentewebsites zijn ingetrokken.
De bug is onder meer gedeeld op Bugzilla. De fout ontstond volgens Gabriel Petcu van certSIGN tijdens de voorbereiding op het intrekken van certificaten die nog gebruikmaken van een clientAuth Extended Key Usage. Deze sleuteluitbreiding gebruiken servers om de identiteit van clients te controleren.
Er zijn twee manieren om de status van webcertificaten te controleren. De Certificate Revocation List (CRL) is een lijst van alle ingetrokken certificaten die de uitgever publiceert. Het Online Certificate Status Protocol (OCSP) werkt gerichter: de browser stuurt een verzoek naar de OCSP-server van de certificaatautoriteit met de vraag of het certificaat van de website nog geldig is. Deze methode is vaak betrouwbaarder, omdat hij in real time werkt, terwijl de certificaatautoriteit de CRL-lijst op specifieke momenten updatet.
Het CA/Browser Forum, een consortium van browsermakers en certificaatautoriteiten, heeft bepaald dat openbare TLS-certificaten vanaf 15 juni geen EKU meer mogen bevatten voor clientauthenticatie. Browsers vertrouwen certificaten die zo'n uitbreiding nog wel hebben na 15 juni niet meer. CertSIGN had klanten op de hoogte gesteld dat ze hun oude certificaat moesten vervangen door een nieuw exemplaar dat wel voldoet aan de nieuwe regels.
Om klanten tijd te geven om hun certificaat te wijzigen, besloot certSIGN zijn CRL-lijsten en de status van het Online Certificate Status Protocol 24 uur na de intrekking te wijzigen. Tijdens het plannen van die publicatie trad een fout op 'bij de aanpassing van de geautomatiseerde workflow'. Daardoor werden de bijgewerkte CRL-lijsten al gepubliceerd voordat de synchronisatie met de OCSP-database was voltooid. Daardoor kunnen CRL- en OCSP-checks nu andere reacties geven.
Dat treft ook Nederlandse websites, omdat KPN daar leverancier is van certSIGN-certificaten. KPN bevestigt dat er vanuit 'een leverancier' een lijst is gepubliceerd waarin 'een aantal websites' onterecht als onveilig wordt aangemerkt. Volgens een woordvoerder heeft de leverancier dat probleem opgelost. Certificaatcheckdiensten tonen nog wel problemen met verschillende websites, waaronder logius.nl en eherkenning.nl.
Source: Tweakers.net