Vervanging Sectigo EV certificaten

21 January 2020

Onlangs is bekend geworden dat er in een aantal EV certificaten van Sectigo niet-toegestane informatie is opgenomen, waardoor deze certificaten op zeer korte termijn vervangen moeten worden om vertrouwd te blijven door browsers. Deze ontwikkeling heeft geen impact op de veiligheid van de getroffen certificaten, wel zorgt het ervoor dat veel organisaties zeer snel hun certificaten moeten vervangen om foutmeldingen te voorkomen.

Wat is er precies aan de hand?

Recent hebben we van Sectigo vernomen dat er abusievelijk informatie over het rechtsgebied van oprichting in EV SSL certificaten is opgenomen, namelijk de plaats - en provincie van het handelsregister waar de organisatie is ingeschreven. Het CA/Browser Forum stelt in de EV richtlijnen vast wat er wel en niet opgenomen mag worden in een EV certificaat. Volgens deze regels moeten deze JOI (Jurisdiction of Incorporation) velden, zodra een handelsregister landelijk en niet regiogebonden opereert, leeg zijn. Hierdoor is er informatie toegevoegd die volgens de richtlijnen niet in een certificaat mogen staan. Deze velden zijn ondanks regelmatige controles door Sectigo niet eerder aan het licht gekomen. De richtlijnen zijn helaas niet altijd eenduidig waardoor deze situaties vaker voorkomen, zo speelde bij EV certificaten uitgegeven door DigiCert eind 2019 ook een vervangingstraject vanwege de de JOI-velden.

Zijn deze certificaten dan niet veilig?

De certificaten zijn vermeld als "verkeerd uitgegeven certificaten", dit heeft dus geen invloed op de technische werking en veiligheid van de certificaten, ook is er in geen geval op frauduleuze wijze een certificaat aan een entiteit uitgegeven. Echter om te blijven voldoen aan de EV richtlijnen van het CA/Browser Forum is Sectigo verplicht de getroffen certificaten zo snel mogelijk na melding van het incident in te trekken. Uiteraard werkt Xolphin hier volop aan mee en worden de certificaten zo snel mogelijk kosteloos vervangen.

Wat zijn de gevolgen?

Als een certificaat niet op tijd vervangen wordt, leidt het ingetrokken certificaat tot een onbereikbare website. Een voorbeeld: https://revoked.badssl.com/. Afhankelijk van het controlemechanisme dat een browser gebruikt, verschijnt deze melding direct na de certificaat intrekking tot uiterlijk een week later.

Na bekendmaking van de getroffen certificaten, moeten deze volgens de richtlijnen binnen maximaal 5 dagen vervangen worden. Om de impact zoveel mogelijk te beperken worden de te vervangen certificaten zo snel mogelijk kosteloos ter beschikking gesteld, en is alleen een nieuwe installatie nodig. Uiteraard worden alle getroffen partijen hier actief over geïnformeerd, en begeleid tijdens het vervangingstraject.

Vanwege de korte omruilperiode kunnen de support wachttijden bij Xolphin hierdoor helaas ook wat langer zijn dan normaal. Meer informatie lees je in onze FAQ. Op onze statuspagina plaatsen we updates over de laatste ontwikkelingen en de actuele wachttijden.

point up