DigiNotar certificaten binnenkort niet meer vertrouwd

30 augustus 2011

Naar aanleiding van het nieuws dat DigiNotar op 10 juli onterecht een Wildcard SSL Certificaat heeft uitgegeven voor *.google.com, zullen vrijwel alle browsers alle DigiNotar certificaten niet langer meer vertrouwen.

Voor bedrijven met websites met DigiNotar certificaten heeft dit grote consequenties, al deze certificaten worden ongeldig en zullen op korte termijn vervangen moeten worden. 

Aanleiding

Gisteren werd bekend dat DigiNotar op 10 juli onterecht een SSL Certificaat heeft uitgegeven voor *.google.com. Dit certificaat werd ontdekt door een gebruiker van Google diensten in Iran, en werd hier waarschijnlijk gebruikt door de Iraanse overheid bij een zogenaamde man-in-the-middle attack.

Dat er certificaten verkeerd worden uitgegeven komt vaker voor, en is in principe geen aanleiding om een heel root ongeldig te maken. De reden dat dit bij het DigiNotar certificaat toch gebeurt is komt doordat google.com als een "high risk" domein wordt gezien waar CA's niet zomaar een certificaat meer voor mogen uitgegeven. Een nog groter probleem is dat er geen enkele actie is ondernomen direct na het uitgeven van het google.com certificaat. Het zowel niet intrekken als het niet publiek maken van het onjuist uitgegeven certificaat wordt DigiNotar zeer streng aangerekend en is de directe aanleiding dat browsers DigiNotar op korte termijn niet meer zullen ondersteunen.

Reacties browsers

Alle grote browsers hebben aangekondigd het DidigNotar certificaten op korte termijn niet meer te vertrouwen. Firefox zal binnenkort met een update komen waarin alle DigiNotar certificaten niet meer ondersteund worden, en ook Google Chrome en Internet Explorer zullen met updates uitkomen en het DigiNotar certificaat niet meer ondersteunen.

Microsoft Security Advisory
Google Blog
Mozilla Blog

Naar verwachting zullen ook andere browsers stoppen met het ondersteunen van de DigiNotar root certificaten. U kunt bij de eigenschappen van het certificaat in de browser, en op onze SSLCheck controleren of uw certificaat uitgegeven is door DigiNotar.

Gevolgen voor DigiNotar certificaten

De gevolgen voor het intrekken van het vertrouwen in DigiNotar certificaten zijn zeer groot. Alle certificaten die door DigiNotar zijn uitgegeven zullen binnenkort niet meer vertrouwd worden, en zullen foutmeldingen geven in browsers die zijn geupdate.

Xolphin adviseert bedrijven die DigiNotar certificaten gebruiken deze certificaten op zeer korte termijn te vervangen omdat steeds meer gebruikers de updates zullen gaan gebruiken, en een foutmelding zullen krijgen bij het bezoeken van de website dat het certificaat niet vertrouwd wordt.

Gevolgen bij Xolphin

DigiNotar is geen leverancier van Xolphin en Xolphin heeft geen certificaten van DigiNotar uitgegeven. Klanten van Xolphin zullen geen hinder ondervinden bij het intrekken van de root certificaten van DigiNotar.

Xolphin draait na het bekend worden van dit nieuws op een volledige bezetting om klanten te assisteren met het vervangen van DigiNotar certificaten voor certificaten van andere leveranciers. Waar mogelijk zullen certificaten die door het intrekken van het vertrouwen in DigiNotar op korte termijn als ongeldig worden gezien, met spoed moeten worden vervangen. CA's proberen deze certificaten zo snel mogelijk te verwerken, maar uiteraard zal bij al onze leveranciers blijven gelden dat de controle vooral zorgvuldig dient te moeten gebeuren.