image

Certificaatautoriteit DigiCert gaat 50.000 EV-certificaten intrekken

donderdag 9 juli 2020, 10:01 door Redactie, 20 reacties

Certificaatautoriteit DigiCert gaat naar schatting zo'n 50.000 EV-certificaten intrekken omdat ze niet in een recent auditrapport staan vermeld. Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties om te kijken of er van een getroffen certificaat gebruik wordt gemaakt en die voor 11 juli te vervangen, aangezien DigiCert op die dag de certificaten intrekt.

Naast de bekende tls-certificaten die websites gebruiken voor het aanbieden van een beveiligde verbinding en identificatie zijn er ook EV-certificaten. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV-certificaten werd de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven, maar inmiddels zijn de meeste browsers daarmee gestopt.

Voordat een EV-certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV-certificaten zijn dan ook duurder dan normale tls-certificaten en werden lange tijd anders door de browser weergegeven. Net als normale tls-certificaten worden EV-certificaten door intermediate certificaatautoriteiten uitgegeven.

Om het vertrouwen in certificaatautoriteiten te vergroten werd in 2000 de WebTrust-standaard opgesteld. Een verzameling regels waar certificaatautoriteiten aan moeten voldoen en die jaarlijks door een externe partij worden gecontroleerd. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van tls-certificaten aan hun klanten.

DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert.

Er is volgens het bedrijf geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen moet DigiCert al deze intermediate certificaten aankomende zaterdag 11 juli om 20:00 uur hebben ingetrokken, wat inhoudt dat 50.000 uitgegeven EV-certificaten ongeldig worden. Het gaat om EV-certificaten die door CertCentral, Symantec, Thawte en GeoTrust zijn uitgegeven. DigiCert en het NCSC adviseren organisaties om te controleren of ze van een getroffen certificaat gebruikmaken en dit te vervangen. "Gebeurt dit niet, dan wordt het DigiCert-certficaat ongeldig en is bijvoorbeeld een website niet meer bereikbaar", zo laat de overheidsinstantie weten.

Reacties (20)
09-07-2020, 10:27 door Anoniem
Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
09-07-2020, 10:56 door Anoniem
Ze gingen die EV certificaten toch uitfaseren? Waarom dan nu weer al die drukte.
Het worden steeds meer de pennelikkers die de macht krijgen, met hun theoretische problemen.
Laten ze al die moeite liever besteden aan een beter systeem.
09-07-2020, 11:01 door Anoniem
Wat ze vergeten bij WebTrust, is dat criminelen gewoon zich aan de standaard kunnen houden waardoor hun certificaten blijven werken. Terwijl vertrouwde certificaten ingetrokken moeten worden. Dus het lost niets op.

Het is wel goede werkverschaffing. Dat ontken ik niet.
09-07-2020, 11:31 door Anoniem
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Volgens mij spreek je jezelf wat tegen. Aan de ene kant vind je dus dat de standaard te hoog is en dat deze certificaten helemaal niet ingetrokken hoeven te worden, ondanks dat de regels dat wel voorschrijven. Aan de andere kant vind je dat het WebPKI maar een brok ellende en rommel, ondanks dat er een pak met regels is waardoor wij met zijn allen vertrouwen kunnen hebben in het systeem. Wat is het nu? Zijn de regels te streng of juist ondermaats?
09-07-2020, 13:20 door Anoniem
Door Anoniem:
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.
Volgens mij spreek je jezelf wat tegen. Aan de ene kant vind je dus dat de standaard te hoog is en dat deze certificaten helemaal niet ingetrokken hoeven te worden, ondanks dat de regels dat wel voorschrijven.
Nee, er blijkt een foutje in een certificaat elders te zitten en dat betekent dat hoewel het certificaat zelf prima is, je het toch moet vervangen. Want zo werkt PKI. Dus het probleem zit 'm in het idee van PKI.

Aan de andere kant vind je dat het WebPKI maar een brok ellende en rommel, ondanks dat er een pak met regels is waardoor wij met zijn allen vertrouwen kunnen hebben in het systeem. Wat is het nu? Zijn de regels te streng of juist ondermaats?
Het is ook een brok ellende en rommel, kijk maar wat bijvoorbeeld Peter Gutmann erover schreef ("Everything you never wanted to know about PKI but were forced to find out") en dat zijn structurele problemen die je niet met wat regeltjes kan weggummen. Die regeltjes zijn dus zeer beperkt nuttige oplapmiddelen, ook wel bekend als "make believe" of met een technische term uit het wereldje, "snake oil".

De muur is niet te hoog of te laag, de fundering is rot en er zitten scheuren in het beton. Daar helpt sauzen met regelverf niet tegen.
09-07-2020, 13:23 door Anoniem
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars")

Nee, klanten moeten in dit soort gevallen niet betalen normaal gesproken, het is de fout de CA.
09-07-2020, 13:25 door Anoniem
Door Anoniem: Ze gingen die EV certificaten toch uitfaseren? Waarom dan nu weer al die drukte.
Het worden steeds meer de pennelikkers die de macht krijgen, met hun theoretische problemen.
Laten ze al die moeite liever besteden aan een beter systeem.

Omdat het te makkelijk was om EV certs te verkrijgen met de zelfde naam.

Zoals: Company A, LLC in US state X en ook Company A, LLC in US state Y.
09-07-2020, 15:37 door Anoniem
Lang niet iedereen heeft dit geautomatiseerd. Je kunt wel snel aan een OV-certificaat komen, maar zijn alle systeembeheerders beschikbaar in vakantietijd om ze te installeren voor zaterdag? Ik verwacht dat er heel wat (overheid)sites om gaan vallen dit weekend.. Lekkere actie van DigiCert.
09-07-2020, 15:50 door botbot
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.

Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.
09-07-2020, 16:07 door Briolet
Door Anoniem:…Omdat het te makkelijk was om EV certs te verkrijgen met de zelfde naam.

Zoals: Company A, LLC in US state X en ook Company A, LLC in US state Y.

Dat heeft niet met "te makkelijk" te maken. Mensen moeten naar de volledige naam kijken, dus ook vestigingsplaats en land. Kijk maar naar de bedrijfsnaam "corona". Er zijn heel veel bloemenzaken met die naam ingeschreven, dus is de plaatsnaam ook onderdeel ven de entiteit

Dat de browserbalk niet alle adresgegevens kan tonen wegens ruimtegebrek, is een goede reden om een wel unieke domeinnaam te tonen. Maar dat is geen reden om te stoppen met een EV certificaat. Als je op het slotje klikt, kun je alsnog de volledige adresgegevens uit het certificaat opvragen en zien dat het om een extra gecontroleerd certificaat gaat.
09-07-2020, 16:21 door Anoniem
Door botbot:
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.

Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.

EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.

Dus ja - bij EV heb je moeten betalen omdat je iets extra's wilde hebben - en kun je terecht boos zijn als je dat nog een keer moet doen . Een gratis LE cert is niet equivalent.

Het lijkt me overigens dat je heel terecht je leverancier kunt aanspreken dat je een 'defect' certificaat gekregen hebt en recht hebt op een nieuwe. De operationele kosten (admin uren in de nacht) zullen waarschijnlijk niet verhaalbaar zijn.
09-07-2020, 17:30 door Anoniem
Door Anoniem:
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars")

Nee, klanten moeten in dit soort gevallen niet betalen normaal gesproken, het is de fout de CA.

Ik denk dat je vergeet dat "kosten voor nieuwe certficaten" niet beperkt blijft tot wat de CA daar voor in rekening brengt, maar dat ze ook nog op de juiste manier geinstalleerd moeten worden. En dat wellicht op een "buiten productie uren" tijdstip. Dat kost ook allemaal geld, wellicht zelfs veel meer geld.
09-07-2020, 20:21 door Briolet
Door Anoniem:…Ik denk dat je vergeet dat "kosten voor nieuwe certficaten" niet beperkt blijft tot wat de CA daar voor in rekening brengt, maar dat ze ook nog op de juiste manier geinstalleerd moeten worden. En dat wellicht op een "buiten productie uren" tijdstip. Dat kost ook allemaal geld, wellicht zelfs veel meer geld.

En wat denk je van de kosten voor het niet bereikbaar zijn. De 50.000 certificaten worden al over 2 dagen ingetrokken. Ik verwacht niet dat de bedrijven ingericht zijn voor zo'n piek in de vernieuwingen. En ook hier moet goede controle plaats vinden. Een groot deel zal toch even zonder certificaat zitten.
09-07-2020, 20:32 door Anoniem
Door Anoniem:
Door botbot:
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.

Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.

EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.

Dus ja - bij EV heb je moeten betalen omdat je iets extra's wilde hebben - en kun je terecht boos zijn als je dat nog een keer moet doen . Een gratis LE cert is niet equivalent.

Het lijkt me overigens dat je heel terecht je leverancier kunt aanspreken dat je een 'defect' certificaat gekregen hebt en recht hebt op een nieuwe. De operationele kosten (admin uren in de nacht) zullen waarschijnlijk niet verhaalbaar zijn.

Maar je vergeet dat de hele doelstelling van een dergelijke externe PKI structuur, en meer bepaalde de RA, juist is om te vermijden dat niet iedereen zomaar een HTTPS certificaat kan krijgen.
Het doel van dat certificaat is niet zozeer om communicatie te versleutelen, maar om ervoor te zorgen dat jij zekerheid hebt om met de juiste partij te spreken.

EV certificaten zijn een marketing truuk omdat er juist bleek dat er bijna geen controle gebeurde op wie certificaten aanvroeg en of daar een recht toe was. Het is perfect mogelijk om een publiek certificaat aan te vragen voor een interne domeinnaam, vb: domain.local. Hoe heeft de CA geverifieerd dat ik dat mag?

Ik zou zelfs durven zeggen dat vandaag de gratis LE certificaten meer zekerheid bieden omdat je daar tenminste enig bewijs moet leveren dat je het domein in het certificaat beheert. En je moet dat bewijs elke 3 maanden leveren.
10-07-2020, 07:03 door Anoniem
Het gebruik van LetsEncrypt gaat gepaard met een flaw; wat als de OCSP responder of CRL down is? Oei, dan ligt in eens half het interwebs plat.
10-07-2020, 09:54 door Briolet
Door Anoniem: Het gebruik van LetsEncrypt gaat gepaard met een flaw; wat als de OCSP responder of CRL down is? Oei, dan ligt in eens half het interwebs plat.

Dat zal wel meevallen. Veel (de meeste ?) systemen zullen het certificaat accepteren als ze geen connectie met de CRL of OCSP server kunnen maken.

In elk geval is de default instelling voor deze controle bij de mac "beste poging" en de meeste mensen zullen dit niet aanpassen. (Sleutelhanger toegang -> Voorkeuren -> Certificaten) Ik heb geen idee hoe dat bij andere systemen zit, maar dat zal vergelijkbaar zijn.
10-07-2020, 11:44 door Anoniem
Door Anoniem: Het gebruik van LetsEncrypt gaat gepaard met een flaw; wat als de OCSP responder of CRL down is? Oei, dan ligt in eens half het interwebs plat.
Naar mijn weten is er geen enkele webbrowser die nog CRL's download, anders dan de samengestelde CRL vanuit de browsermaker. OCSP is iets wat Firefox nog wel (standaard) doet, maar Chrome heeft hier ook al lak aan. Daarnaast is dit ook een soft-fail, waardoor een website niet gelijk onbereikbaar is als de OCSP responder dat is. Een hard-fail wordt pas afgedwongen met de must-staple extensie.

Vergeet daarnaast niet dat OCSP gesponses gecached kunnen worden, zowel door de responder (evt. via CDN) als door de website via OCSP stapling. Zelfs wanneer je OCSP must-staple gebruikt en de downtime beperkt blijft is enkele uren, is nog niets aan de hand.
10-07-2020, 13:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door botbot:
Door Anoniem: Dus weer vijftigduizend keer Grote Paniek (en dus ook de kosten voor nieuwe certificaten, leuk doucheurtje voor de "vertrouwenshandelaars"), niet omdat er iets mis is met jouw certificaat, maar met een certificaat bij een ander bedrijf dan dat waar je je certificaten haalt. Volg je het nog?

Certificatenhandel is gouden business. Lever rommel en nog extra betaald krijgen ook nog. En dat allemaal omdat PKI zo'n triest brok ellende is.

Mmm mijn Let'sEncrypt certificaten zijn gratis. Dus ik snap de ophef van mensen die klagen over het geld niet zo.

EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.

Dus ja - bij EV heb je moeten betalen omdat je iets extra's wilde hebben - en kun je terecht boos zijn als je dat nog een keer moet doen . Een gratis LE cert is niet equivalent.

Het lijkt me overigens dat je heel terecht je leverancier kunt aanspreken dat je een 'defect' certificaat gekregen hebt en recht hebt op een nieuwe. De operationele kosten (admin uren in de nacht) zullen waarschijnlijk niet verhaalbaar zijn.

Maar je vergeet dat de hele doelstelling van een dergelijke externe PKI structuur, en meer bepaalde de RA, juist is om te vermijden dat niet iedereen zomaar een HTTPS certificaat kan krijgen.
Het doel van dat certificaat is niet zozeer om communicatie te versleutelen, maar om ervoor te zorgen dat jij zekerheid hebt om met de juiste partij te spreken.

Ze zijn er voor beiden : zorgen dat je met de bedoelde site praat, en de versleuteling met _die_ site (en niet een mitm) doet .


EV certificaten zijn een marketing truuk omdat er juist bleek dat er bijna geen controle gebeurde op wie certificaten aanvroeg en of daar een recht toe was. Het is perfect mogelijk om een publiek certificaat aan te vragen voor een interne domeinnaam, vb: domain.local. Hoe heeft de CA geverifieerd dat ik dat mag?

Die publieke certificaten worden dus niet (mee) uitgegeven - precies omdat een lokaal domein geen eigenaar heeft.
Gestopt met uitgeven per 2012 , en revoked per 2016 .
Beetje bijblijven ...

Er is wel meer marketing (of 'brand image' ) in de wereld, en 'groen slotje is beter' is erin geramd bij het publiek.
Partijen hebben alle reden om een voorkeur te hebben voor 'groen slotje' - wat het merendeel van je bezoek denkt is veel belangrijker dan wat een heel kleine minderheid van techneuten vindt.


Ik zou zelfs durven zeggen dat vandaag de gratis LE certificaten meer zekerheid bieden omdat je daar tenminste enig bewijs moet leveren dat je het domein in het certificaat beheert. En je moet dat bewijs elke 3 maanden leveren.

Een 'gewoon certificaat gevalideerd via check op technisch beheer van domein zoals LE doet ' is bijna niet te onderscheiden van 'gewoon certificaat gevalideerd met natte vinger'.
10-07-2020, 16:10 door Anoniem
Door Anoniem:

EV = 'groen slotje' (extra goed gecontroleerd) . Dat zijn jouw gratis LE certificaten niet.


Dit is ook al best wel achterhaald:

https://www.bleepingcomputer.com/news/software/chrome-and-firefox-changes-spark-the-end-of-ev-certificates/
11-07-2020, 20:16 door Anoniem
Door Anoniem: Ze gingen die EV certificaten toch uitfaseren?
Nah, EV certificaten hebben een beperkt nut, vooral omdat de controle een lachertje.
Daarnaast zie je het in de browser niet meer (tenzij je doorklikt, maar wie doet dat).
EV certs zijn nog wel een goudmijn voor de leveranciers en een statussymbool voor de bezitter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.