1024 bit Entrust root certificaat niet meer vertrouwd door browsers

12 March 2014

Door een vandaag uitgebrachte update heeft Microsoft het gebruik van 1024 bit certificaten op zowel servers als clients geblokkeerd. Onder andere het Comodo MobileSSL certificaat, welke gebruik maakte van het 1024 bit Entrust.Net Secure Server CA rootcertificaat, wordt hierdoor niet meer vertrouwd. Bezoekers die na het installeren van deze update een website bezoeken die gebruik maakt van deze 1024 bits rootcertificaten krijgen een foutmelding te zien. Het probleem is op te lossen door het installeren van nieuw 2048 bit rootcertificaat op de server, zonder dat het certificaat zelf vervangen hoeft te worden.

Waarom is deze update plotseling uitgebracht?

De browser fabrikanten hebben enkele jaren geleden al aangekondigd dat 1024 bit root certificaten dit jaar niet langer meer ondersteund zouden worden. In 2012 schreven we al over het verdwijnen van het Comodo MobileSSL certificaat.

Mozilla heeft specifiek aangekondigd dat de 1024 certificaten in de komende versie van Firefox niet langer meer ondersteund zullen worden. De verwachting van onze leveranciers was dat Microsoft pas na Firefox zou stoppen met het ondersteunen van 1024 bit certificaten, en nog een specifieke datum zou communiceren waarop de update uit zou komen. Desondanks is de update zonder voorgaande communicatie onverwacht doorgevoerd. Inmiddels heeft Microsoft, nadat de implicaties duidelijk werden, de update deels ingetrokken en opgeschort. Aangezien de update grotendeels wel al is uitgerold is het noodzakelijk dat er toch direct actie wordt ondernomen.

Wat zijn de gevolgen?

Alle applicaties op een Windows machine, die gebruik maken van de Windows Certificate Store, zullen certificaten met een 1024 bits key niet meer vertrouwen nadat de Microsoft update is geïnstalleerd. De bezoekers van uw website hebben hierbij niet de optie om alsnog verder te gaan naar uw website.

Waarom zijn de certificaten niet eerder vervangen?

De Comodo MobileSSL certificaten werden voornamelijk gebruikt voor websites waarbij ook de ondersteuning voor oudere mobiele telefoons (zoals Windows Mobile 2003 en Windows Mobile 2005) belangrijk is. Doordat deze telefoons alleen oudere 1024 bit root certificaten kennen, kunnen deze niet overweg met certificaten uitgegeven met 2048 bit root certificaten.

Hoe is het probleem te verhelpen?

Het probleem is voor Comodo MobileSSL certificaten met Entrust root certificaten te verhelpen door de root certificaten op de server bij te werken

Vervangen van de root certificaten voor IIS / Exchange servers

Vergeet na het toevoegen van de nieuwe root certificaten op uw server niet te controleren of deze correct worden doorgegeven door het gebruik van onze SSLCheck.

Mocht u nog vragen hebben over de installatie van bovenstaande certificaten dan kunt u uiteraard altijd telefonisch contact met ons opnemen, wij helpen u dan graag verder.

Meer informatie

Microsoft KB931125

Entrust Technote

Comodo Advisory

 

 

point up