Instagram laat SSL-certificaat verlopen
De populaire fotodienst Instagram heeft vanmiddag het SSL-certificaat van de website laten verlopen, waardoor gebruikers bij het bezoeken een waarschuwing in hun browser te zien kregen. Het certificaat wordt onder andere gebruikt voor het identificeren van de website en het versleutelen van verkeer tussen de website en bezoekers. Ongeveer twee uur geleden verliep het SSL-certificaat, waardoor browsers het niet meer accepteerden en een waarschuwing lieten zien.
Op Twitter verschenen al gauw honderden meldingen van gebruikers, die ook screenshots met de waarschuwing online plaatsten. Veel gebruikers uiten ook hun verbazing dat een bedrijf als Instagram het SSL-certificaat kan laten verlopen. Toch staat de fotodienst niet alleen. Onlangs vergat Google voor een tweede keer het SSL-certificaat voor smtp.google.com te verlengen. Inmiddels heeft Instagram het certificaat verlengd en krijgen gebruikers geen waarschuwingen meer te zien.
Common name (CN) *.instagram.com
Organisation (O) Instagram LLC
Organisational Unit (OU) <Not Part Of Certificate>
Serial number 07:68:42:6D:2A:78:05:F9:A3:A4:B2:7B:AA:15:AB:EA
Issued by
Common name (CN) DigiCert High Assurance CA-3
Organisation (O) DigiCert Inc
Organisational Unit (OU) www.digicert.com
Period of Validity
Begins On 14-04-15 Week 16
Expires On 15-10-15 Week 42
Fingerprints
SHA1 Fingerprint C1:4A:84:EB:4C:E8:02:46:B6:24:6E:68:6D:BD:13:4B:71:70:D3:A1
MD% Fingerprint 66:D2:85:15:DF:32:8A:7D:34:5F:01:27:0B:98:67:E2
Met eindige licenties gebeurt dat ook nog wel eens. Als gevolg van het ontbreken van een goed stuk gereedschap is het vaak handwerk. Want ach dat stukje werk hoeft maar eens in, pak hem beet, 5 jaar gedaan te worden. Dat dat dan slechts voor één pakket of certificaat opgaat,vergeet men gemakshalve.
Plus dat op uur U er zich mensen achter de oren beginnen te krabben. Waar moesten we daarvoor ook al weer wezen en hoe ging dat vernieuwen nu in zijn werk. En waren er nog andere zaken waaraan we moesten denken bij het vernieuwen. ISO gecertificeerd of niet: "Het overkomt ze allemaal". En de sticky-note met het wachtwoord van de server was ook al lang van de monitor gevallen.
Met eindige licenties gebeurt dat ook nog wel eens. Als gevolg van het ontbreken van een goed stuk gereedschap is het vaak handwerk. Want ach dat stukje werk hoeft maar eens in, pak hem beet, 5 jaar gedaan te worden. Dat dat dan slechts voor één pakket of certificaat opgaat,vergeet men gemakshalve.
Er zijn CA's die tijdig naar hun contact adres een waarschuwing sturen, dat het certificaat verloopt. Dat levert bij langlopende certificaten alleen een probleem op, wanneer het contact adres het email adres is dat is vervallen i.v.m. vertrek van een persoon of reorganisatie binnen een bedrijf. Het lijkt me dus ook nuttig voor bedrijven, om voor dit soort meldingen een groepsadres te gebruiken, dat niet mag worden weggegooid.
Dat zou de redactie toch moeten weten? Waarom vermeld u het dan niet?
Er zijn CA's die tijdig naar hun contact adres een waarschuwing sturen, dat het certificaat verloopt. Dat levert bij langlopende certificaten alleen een probleem op, wanneer het contact adres het email adres is dat is vervallen i.v.m. vertrek van een persoon of reorganisatie binnen een bedrijf. Het lijkt me dus ook nuttig voor bedrijven, om voor dit soort meldingen een groepsadres te gebruiken, dat niet mag worden weggegooid.
Certificaten zijn configuration items/bedrijfsmiddelen die horen te worden opgeslagen in een CMDB http://en.wikipedia.org/wiki/Configuration_management_database, tezamen met hun geldigheidsperiode.
Op die manier heb je zelf in de hand wat de status is en of ze aan vervanging toe zijn, in plaats van afhankelijk te zijn van een externe instantie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
