Certificaatautoriteit DigiCert gaat naar schatting zo'n 50.000 EV-certificaten intrekken omdat ze niet in een recent auditrapport staan vermeld. Het Nationaal Cyber Security Centrum (NCSC) van de overheid adviseert organisaties om te kijken of er van een getroffen certificaat gebruik wordt gemaakt en die voor 11 juli te vervangen, aangezien DigiCert op die dag de certificaten intrekt.

Naast de bekende tls-certificaten die websites gebruiken voor het aanbieden van een beveiligde verbinding en identificatie zijn er ook EV-certificaten. Deze certificaten moeten gebruikers meer zekerheid geven over de identiteit van de website die ze bezoeken. Bij EV-certificaten werd de naam van de entiteit die het certificaat heeft aangevraagd in de adresbalk van de browser weergegeven, maar inmiddels zijn de meeste browsers daarmee gestopt.

Voordat een EV-certificaat wordt uitgegeven vindt er een uitgebreidere controle plaats dan bij normale tls-certificaten het geval is. EV-certificaten zijn dan ook duurder dan normale tls-certificaten en werden lange tijd anders door de browser weergegeven. Net als normale tls-certificaten worden EV-certificaten door intermediate certificaatautoriteiten uitgegeven.

Om het vertrouwen in certificaatautoriteiten te vergroten werd in 2000 de WebTrust-standaard opgesteld. Een verzameling regels waar certificaatautoriteiten aan moeten voldoen en die jaarlijks door een externe partij worden gecontroleerd. Deze audits omvatten ook de uitgegeven intermediate certificaten die certificaatautoriteiten gebruiken voor het uitgeven van tls-certificaten aan hun klanten.

DigiCert stelt dat intermediate certificaten in auditrapporten altijd stonden vermeld op basis van het geplande gebruik, in plaats van of deze intermediate certificaten in staat waren om EV-certificaten uit te geven. Hierdoor stonden niet alle intermediate certificaten die certificaten konden uitgeven in het auditrapport vermeld. DigiCert merkt op dat dit losstaat van de controle van de EV-certificaten zelf, aangezien daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. "Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate certificaat vermeldde", aldus DigiCert.

Er is volgens het bedrijf geen directe beveiligingsdreiging, maar vanwege de EV-richtlijnen moet DigiCert al deze intermediate certificaten aankomende zaterdag 11 juli om 20:00 uur hebben ingetrokken, wat inhoudt dat 50.000 uitgegeven EV-certificaten ongeldig worden. Het gaat om EV-certificaten die door CertCentral, Symantec, Thawte en GeoTrust zijn uitgegeven. DigiCert en het NCSC adviseren organisaties om te controleren of ze van een getroffen certificaat gebruikmaken en dit te vervangen. "Gebeurt dit niet, dan wordt het DigiCert-certficaat ongeldig en is bijvoorbeeld een website niet meer bereikbaar", zo laat de overheidsinstantie weten.