Certificaatautoriteit DigiCert heeft klanten gewaarschuwd dat het bepaalde tls-certificaten gaat intrekken waarvan de controle of de ontvanger van het certificaat ook de eigenaar van het domein was niet volgens de regels is verlopen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en bezoekers en het identificeren van de website. Ze spelen dan ook een belangrijke rol en certificaatautoriteiten die certificaten uitgeven moeten aan allerlei regels van het CA/Browser Forum voldoen.
Voordat DigiCert een certificaat aan een klant uitgeeft controleert de certificaatautoriteit eerst of de klant ook de eigenaar is van de domeinnaam waarvoor het certificaat is aangevraagd. Deze validatie kan op verschillende manieren plaatsvinden. Bij één van de manieren moet een klant een DNS CNAME record toevoegen dat is voorzien van een willekeurige waarde die door DigiCert is verstrekt. DigiCert doet vervolgens een DNS-lookup voor het domein en kijkt of de waardes overeenkomen.
Er zijn verschillende manieren om een DNS CNAME record met de willekeurige waarde toe te voegen. Eén daarvan betreft dat de willekeurige waarde wordt voorafgegaan door een underscore karakter. De underscore prefix zorgt ervoor dat de willekeurige waarde niet kan botsen met een echte domeinnaam die dezelfde willekeurige waarde gebruikt. Onlangs ontdekte DigiCert dat het willekeurige waardes zonder underscore prefix heeft verstrekt terwijl dat wel had gemoeten. Domeinvalidaties waarbij de underscore ontbrak terwijl die wel aanwezig had moeten zijn, en waarbij het certificaat toch werd uitgegeven, zijn daardoor non-compliant.
Daarmee voldoen deze certificaten niet aan de regels die voor de uitgifte van certificaten gelden en moeten zonder uitzondering binnen 24 uur worden ingetrokken. Het gaat om 0,4 procent van de domeinvalidaties, aldus DigiCert. Klanten kunnen via hun online DigiCert-omgeving een nieuw certificaat laten uitgeven. DigiCert stelt dat de bug waardoor de underscore prefix ontbrak vijf jaar geleden bij het moderniseren van de validatiesystemen is geïntroduceerd en niet tijdens de controles is ontdekt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.