Certificaatautoriteit DigiCert zal certificaten die door vitale organisaties worden gebruikt en wegens een probleem bij de domeinvalidatie moeten worden ingetrokken op een later moment intrekken. Dit moet verstoring aan vitale processen voorkomen. DigiCert heeft daarvoor overleg gehad met deze vitale organisaties en browserleveranciers. Ook verschillende andere klanten hebben de afgelopen dagen uitstel aangevraagd.

DigiCert maakte maandag bekend dat het binnen 24 uur certificaten ging intrekken waarvan de controle of de ontvanger van het certificaat ook de eigenaar van het domein was niet volgens de regels is verlopen. Voordat DigiCert een certificaat aan een klant uitgeeft controleert de certificaatautoriteit eerst of de klant ook de eigenaar is van de domeinnaam waarvoor het certificaat is aangevraagd. Deze validatie kan op verschillende manieren plaatsvinden. Bij één van de manieren moet een klant een DNS CNAME record toevoegen dat is voorzien van een willekeurige waarde die door DigiCert is verstrekt. DigiCert doet vervolgens een DNS-lookup voor het domein en kijkt of de waardes overeenkomen.

Er zijn verschillende manieren om een DNS CNAME record met de willekeurige waarde toe te voegen. Eén daarvan betreft dat de willekeurige waarde wordt voorafgegaan door een underscore karakter. De underscore prefix zorgt ervoor dat de willekeurige waarde niet kan botsen met een echte domeinnaam die dezelfde willekeurige waarde gebruikt. Onlangs ontdekte DigiCert dat het willekeurige waardes zonder underscore prefix heeft verstrekt terwijl dat wel had gemoeten. Domeinvalidaties waarbij de underscore ontbrak terwijl die wel aanwezig had moeten zijn, en waarbij het certificaat toch werd uitgegeven, zijn daardoor non-compliant.

83.000 certificaten

Doordat deze certificaten niet voldoen aan de regels die voor de uitgifte van certificaten gelden moeten die zonder uitzondering binnen 24 uur worden ingetrokken. Volgens Mozilla gaat het om ruim 83.000 certificaten van meer dan 6800 klanten. DigiCert stelt dat de meeste klanten hun certificaten inmiddels hebben vervangen. Een aantal klanten in vitale sectoren heeft dat echter nog niet kunnen doen.

Om verstoringen aan deze vitale diensten te voorkomen heeft DigiCert overleg gehad met browserleveranciers en klanten en zegt het in staat te zijn om de betreffende certificaten later in te trekken. Dit zal uiterlijk zaterdag 3 augustus zijn. In een update over het incident stelt de certificaatautoriteit verder dat het geen nieuwe uitstelaanvragen meer zal behandelen.