image

Ruim tweeduizend websites onbereikbaar door ingetrokken EV-certificaten

dinsdag 14 juli 2020, 09:49 door Redactie, 5 reacties

Ruim tweeduizend websites met een EV-certificaat waren de afgelopen dagen onbereikbaar doordat certificaatautoriteit DigiCert de certificaten had ingetrokken en de websites geen nieuw certificaat hadden geregeld. Het ging onder andere om websites van banken, overheden en webwinkels, zo meldt internetbedrijf Netcraft.

DigiCert besloot zo'n 35.000 EV-certificaten in te trekken omdat die niet in de auditrapporten stonden vermeld. Certificaatautoriteiten geven EV- en tls-certificaten uit, die websites gebruiken om zich tegenover bezoekers te identificeren en het opzetten van een beveiligde verbinding. Jaarlijks moeten certificaatautoriteiten zich door een externe partij laten controleren, waarbij ook uitgegeven certificaten onder de loep worden genomen. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van EV- en tls-certificaten aan hun klanten.

DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert.

Volgens het bedrijf is er geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen besloot DigiCert al deze intermediate certificaten de komende weken in te trekken, waardoor zo'n 35.000 uitgegeven EV-certificaten ongeldig worden. Afgelopen zaterdag werd de eerste batch certificaten ingetrokken, zo meldt Netcraft. Maandagochtend ontdekte het bedrijf nog 3800 websites die van een EV-certificaat gebruikmaken dat door de getroffen intermediate certificaatautoriteiten is uitgegeven. Van deze websites maakten 2300 gebruik van een al ingetrokken EV-certificaat en waren zodoende onbereikbaar voor bezoekers. Het ging onder andere om websites van Wirecard, The State Bank of India, Rackspace, Authorize.net, ANZ Bank en Telegram. Sommige van de websites zijn op het moment van schrijven nog steeds onbereikbaar.

De overige 1500 certificaten moeten nog worden ingetrokken. In eerste instantie rapporteerde DigiCert dat het zo'n 50.000 certificaten ging intrekken. Na verder onderzoek blijkt het om 35.000 geldige certificaten te gaan, die in drie batches worden ingetrokken. De eerste batch van zo'n 26.000 certificaten werd op 11 juli ingetrokken. Op 16 juli volgt de tweede batch van zo'n 4.000 certificaten, gevolgd door een derde batch met een zelfde aantal op 30 juli.

Image

Reacties (5)
14-07-2020, 13:03 door Briolet
Het ging onder andere om websites van ... The State Bank of India...

Deze heeft heel veel verschillende domeinen. Het originele bericht is een Amerikaans artikel en dat verwijst naar de Amerikaanse vestiging va de Bank. Daarvan is het certificaat ongeldig. Maar door het te vertalen naar een Nederlands artikel, veranderd de context en verwacht je dat de hoofdvestiging in India bedoeld wordt. Die heeft nog steeds een geldig certificaat.

De vestiging van de SBI in België gebruikt wel een heel vreemd top level domein: "statebank". Die kende ik nog niet. Het lijkt er op dat die bank zijn eigen TLD heeft met "be" als domein voor de Belgische vestiging. Vreemd genoeg wordt dat TLD in India of de VS niet gebruikt. Als je zo'n duur eigen TLD lanceert, ga je dat toch ook gebruiken?
Volgens de IANA registratie is dat TLD van deze Indiase bank.
14-07-2020, 13:49 door Anoniem
Lekker je doel voorbij streven met je PKI....
14-07-2020, 15:43 door Anoniem
Door Briolet: Als je zo'n duur eigen TLD lanceert, ga je dat toch ook gebruiken?
Nu betaal ik zelf geen tonnen per jaar voor een custom gTLD, maar je ziet wel vaker dat bedrijven deze niet altijd gebruiken. KPN heeft bijvoorbeeld '.kpn' en de politie heeft '.politie'. Wanneer je ergens schrijft 'www.kpn.com' dan is voor iedereen vrij duidelijk dat het gaat om een website adres. Echter als je zou schrijven 'www.kpn', dan is dat voor mij ieder geval een stuk onduidelijker. Ik zou eerder denken dat iemand een paar letters vergeten is dan dat het om een website zou gaan. Ik vermoed zo dat buiten eventuele interne systemen die cTLD's dus weinig gebruikt gaan worden, met name vanwege dit communicatie probleem. Of iedereen moet weer https:// voor zijn websites gaan zetten...
14-07-2020, 16:49 door Anoniem
Door Briolet:
Het ging onder andere om websites van ... The State Bank of India...

Deze heeft heel veel verschillende domeinen. Het originele bericht is een Amerikaans artikel en dat verwijst naar de Amerikaanse vestiging va de Bank. Daarvan is het certificaat ongeldig. Maar door het te vertalen naar een Nederlands artikel, veranderd de context en verwacht je dat de hoofdvestiging in India bedoeld wordt. Die heeft nog steeds een geldig certificaat.

De vestiging van de SBI in België gebruikt wel een heel vreemd top level domein: "statebank". Die kende ik nog niet. Het lijkt er op dat die bank zijn eigen TLD heeft met "be" als domein voor de Belgische vestiging. Vreemd genoeg wordt dat TLD in India of de VS niet gebruikt. Als je zo'n duur eigen TLD lanceert, ga je dat toch ook gebruiken?
Volgens de IANA registratie is dat TLD van deze Indiase bank.

Je wilt niet _weten_ hoeveel dingen er verweven zitten in een beetje grote enterprise - en met externe partijen, en op hoeveel plekken erg zelfstandige beheerorganisaties zitten.

Dat ze eventueel een wens en plan hebben om alles onder hun toplevel domein te zetten kan wel, maar zo'n operatie is enorm veel ingrijpender dan alleen een DNS record en een vhost config "ff aanpassen" .
16-07-2020, 17:43 door Anoniem
Dat heb je als je afhangkelijk wordt van één of andere onbetrouwbare certificaat server , er zijn er wel 100 in een dozijn gratis.
Echter is het niet verstandig om bedrijfsomgeving te werken met gratis rotzooi , zo zie je ook netdna ... als je niet oplet kan een derde partij er zo js scripts in je afbeelding steken en dit is echt niet wenselijk voor bedrijven.

Certificaten gebruik je ook enkel als mensen kunnen inloggen , zo weet ik van enkele sites die uitdienst gingen bij het vervalen van het certificaat . Ooit was het opgesteld want het moest veilig lijken werknemer die het kon werkte ergens anders en de opvolger wist niet wat een certificaat was dus faling ....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.