Ruim tweeduizend websites met een EV-certificaat waren de afgelopen dagen onbereikbaar doordat certificaatautoriteit DigiCert de certificaten had ingetrokken en de websites geen nieuw certificaat hadden geregeld. Het ging onder andere om websites van banken, overheden en webwinkels, zo meldt internetbedrijf Netcraft.
DigiCert besloot zo'n 35.000 EV-certificaten in te trekken omdat die niet in de auditrapporten stonden vermeld. Certificaatautoriteiten geven EV- en tls-certificaten uit, die websites gebruiken om zich tegenover bezoekers te identificeren en het opzetten van een beveiligde verbinding. Jaarlijks moeten certificaatautoriteiten zich door een externe partij laten controleren, waarbij ook uitgegeven certificaten onder de loep worden genomen. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van EV- en tls-certificaten aan hun klanten.
DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert.
Volgens het bedrijf is er geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen besloot DigiCert al deze intermediate certificaten de komende weken in te trekken, waardoor zo'n 35.000 uitgegeven EV-certificaten ongeldig worden. Afgelopen zaterdag werd de eerste batch certificaten ingetrokken, zo meldt Netcraft. Maandagochtend ontdekte het bedrijf nog 3800 websites die van een EV-certificaat gebruikmaken dat door de getroffen intermediate certificaatautoriteiten is uitgegeven. Van deze websites maakten 2300 gebruik van een al ingetrokken EV-certificaat en waren zodoende onbereikbaar voor bezoekers. Het ging onder andere om websites van Wirecard, The State Bank of India, Rackspace, Authorize.net, ANZ Bank en Telegram. Sommige van de websites zijn op het moment van schrijven nog steeds onbereikbaar.
De overige 1500 certificaten moeten nog worden ingetrokken. In eerste instantie rapporteerde DigiCert dat het zo'n 50.000 certificaten ging intrekken. Na verder onderzoek blijkt het om 35.000 geldige certificaten te gaan, die in drie batches worden ingetrokken. De eerste batch van zo'n 26.000 certificaten werd op 11 juli ingetrokken. Op 16 juli volgt de tweede batch van zo'n 4.000 certificaten, gevolgd door een derde batch met een zelfde aantal op 30 juli.
Deze posting is gelocked. Reageren is niet meer mogelijk.