Niet vanwege een beveiligingsissue maar als gevolg van muggenzifterij. Geldverspilling, introduceert onnodige risico's (onder meer door weghalen van resources voor belangrijke zaken) en slecht voor het (al slechte) imago van de certificatenbranche.

of omdat het niet de standaard voldoet?

Wat zou je denken als er een bericht kwam dat alle witte lijnen op de wegen vervangen worden omdat gebleken is
dat ze .000000000000000005 mm te smal zijn?

Dat is waar het hier over gaat.

Inderdaad, maar niet zodanig dat er een beveiligingsrisico bestaat. Muggenzifterij dus.

Is dat wel zo?

Stel een directeur van een financiële instelling heeft een fors maandsalaris waar hij meer dan riant van kan leven.
Maar door een fout van de administratie zou hij gedurende enkele jaren opeens nog maar een half salaris ontvangen.
Nu heeft de directeur momenteel ook met een half salaris nog steeds ruimschoots meer dan zat om goed van te leven.
Maar de administratie ontdekt de fout, en belt de directeur dat er een fout is gemaakt, en dat het meteen gecorrigeerd wordt.

Wat gaat de directeur antwoorden. Zou het volgende antwoord dan de meest gangbare optie zijn?

"Muggenzifterij! Je verdoet momenteel mijn en jouw tijd (=geld).
Want ook al krijg ik voorlopig maandelijks een half salaris, voor nu is dit nog altijd ruimschoots meer dan zat!
En mocht het zo zijn dat ik er niet genoeg aan zou hebben,
dan zou ik ook niet genoeg hebben gehad aan een heel salaris. Dus geen punt.
Wacht daarom gewoon een jaar of wat met corrigeren, totdat het weer tijd is voor mijn volgende salarisronde.".

Moet je nou in elk topic hierover blijven drammen met je technische oogkleppen op ?

In een hardhat area zet je die hardhat op. Ook als je nog een kilometer in de open lucht staat voordat je bij de plant bent.
Je mag meteen wieberen als je dat niet doet - en niet discuzeuren dat er pas een veiligheidsrisico is in de buurt van werklocaties.

Op een lege rechte vierbaanssnelweg moet je je nog steeds aan maximum snelheid houden.
Bij een stoplicht op een leeg kruispunt in de middle of nowhere moet je ook stoppen bij rood.
Natuurlijk kom je er soms mee weg - maar niet wanneer je betrapt wordt en dan ook nog een voorbeeldfiguur of prominent bent.

In het poltieke speelveld van het CAB forum is achteraf je reet afvegen met BRs omdat vervangen vanwege een bitje te weinig je slecht uitkomt geen optie.
Pech gehad voor jou en andere supernerds - er zijn meer dan alleen technische redenen die keuzes bepalen.

Iets met tangen en varkens?

Werkelijk?
Als ik trouwens officieel voor een certificaat met 64 bit serienummer entropie had betaald dan wil ik het ook hebben
ipv maar de helft oid van de security op dit ene punt te krijgen.
(als een spiksplinternieuwe auto een overduidelijk krasje in de lak heeft, neem ik daar geen genoegen mee)

Niet in elk topic, maar wel met als onderwerp certificaten met 63 i.p.v. 64 bit random serienummer. Prima als je het niet met mij eens bent, zielig dat je mij beticht van drammen en technische oogkleppen - zonder goede argumenten te noemen die mijn ongelijk zouden bewijzen. Want in tegenstelling tot mensen zoals jij, sta ik daar best voor open.

Wat is de relatie met het onderwerp?

Ah, toch een argument dat wel iets met het onderwerp te maken heeft:
Wie staat hier in dienst van wie?

Zoals (andere redenen dan een stelletje niet voor rede vatbare ego's en/of mensen wiens bonus afhangt van het aantal uitgegeven certificaten)?

En waarom laat Logius alleen webservercertificaten vervangen - en daarvan uitsluitend de "publieke" (niet interne en B2B)?

Ben je niet vreselijk bang dat er een enorme rel zal ontstaan zodra de grotere media dit oppikken en de eerste de beste nitwit (zoals de anoniem hierboven die deze issue vergelijkt met een kras op een nieuwe auto) roept dat de Nederlandse overheids-ICT hartstikke lek is hierdoor?

Allebei hebben hier gelijk. Bitwiper en zijn oponent in deze draad-discussie.

Men heeft iets ontdekt in een poging een stok te vinden om een hond te slaan, dat bleek een algehele onvolkomenheid te zijn, die nu rechtgetrokken wordt. Terecht, fout is fout, of het maar geringe tot geen veiligheidsimplicaties heeft of niet, doet er niet toe. De regels luiden nu eenmaal zo, dat het aangepast dient te worden. Bij certificeringen zijn abberaties niet toegestaan. Protocol is protocol. Afspraken bindend. Iemand heeft roeiboten losgemaakt en moet nu roeien.

Gelijk en ongelijk verdelen vervolgens in deze draad de kaas en eten die vervolgens op, zie mijn moeder. Wat leert men hiervan, dat elke fout kostbaar is, zeker als men er bewust naar op zoek gaat, maar men steeds van zulke exercities leert.

Dit is niet de laatste revocatie, folks. Elke gemiste is er 1 teveel. Ik leerde weer het een en ander, bedankt daarvoor.

luntrus

Volgens mij om alle ongeruste telefoontjes en ellenlange discussies met niet door kennis gehinderde kritische
en bange gebruikers (burgers) te vermijden, die met zovelen van deze servers gebruik maken.
Door die certificaten te vervangen nemen ze alle twijfel en discussie weg. Scheelt veel tijd en moeite.

En misschien ook een beetje omdat het bij deze servers een brede impact heeft als er later ten gevolge van dit akkefietje
opeens toch een belangrijk onvoorzien risico aan het licht mocht komen,
waardoor opeens met spoed en met lange downtijd (omdat het ongepland is) de server plat moet.
Vervolgens krijg je van de baas op je kop dat je het nog niet had vervangen, want achteraf weet iedereen het beter.
Dus misschien ook een stukje "let's cover my ass - policy, just to be sure" zullen we maar zeggen. ;)

Kunnen ze gelijk hun oudere certificaten een upgrade geven naar EV.

EV? Met welk doel? Recente browsers geven er geen extra waarde meer aan
https://www.troyhunt.com/extended-validation-certificates-are-dead/

In al die andere threads verliep de discussie precies hetzelfde.
Jij post telkens dat er geen technisch security risico is, en daar is niemand het mee oneens.

Jij roept telkens dat er *DUS* helemaal niets gedaan hoeft te worden, omdat je blijkbaar vindt dat alleen echte technische risico's ingrijpen vereisen.
En je negeert consequent het cab-politieke aspect dat nu eenmaal speelt wanneer je CA bent.


Snap je werkelijk de analogie niet ?
Allemaal situaties waarin de regel volgt uit 'veiligheid' , op dat moment en in die situatie geen veiligheidsrisico mitigeert, en toch gehandhaafd wordt/mag worden.


Al een paar keer eerder gemaakt in de verwante threads, en heb je toen ook genegeerd.


Wie zijn welke wie's ?
Als je wou zeggen dat het cab-forum in dit geval de BR zou moeten of kunnen aanpassen is dat een valide punt.
Daar kan voor gepleit worden. (net zoals gepleit kan worden voor hogere maximum snelheden, of het weghalen van zinloze stoplichten)
Ik heb de indruk dat het cab forum nogal stroperig is, en nogal verpolitiekt.

Maar zolang daar geen duidelijke support voor bestaat in het cab forum is het voor een individuele (en vrij kleine ) CA als PKI Overheid geen optie om solo te bepalen welke BRs men de moeite waard vindt om zich aan te houden. Noch minder als houden aan de betreffende BR in alle requirements gestaan heeft.


? Een re-issue tellen als extra certificaat lijkt me sterk - als klant zou ik gewoon gratis vervanging eisen, want 'defect' .


Logius stuurt blijkbaar op de kleinste/ minst impacting vervanging waar ze mee weg kunnen komen qua CA-reputatie/requirement. Ik heb niet recent de cab discussie threads bekeken, maar waarschijnlijk is er groeiend begrip voor het beperkt en niet super acuut vervangen van dit soort certificaten.

Persoonlijk verwacht ik geen mediastorm (die was er al niet toen het 'issue' eerst opdook met grote aantallen 'defecte' certificaten bij , OMG google en apple ).
M.i. is de enige echte prioriteit de blijvende acceptatie van PKI Overheid als CA in de browsers. De impact van een beetje NL media aandacht of desnoods kamervragen kun je inschatten en managen.