Logius, de automatiseringsdienst van de rijksoverheid, is met een oplossing gekomen voor PKIoverheid-certificaten die niet aan de Baseline Requirements van het CA/Browser (CAB) Forum voldoen. In plaats van de certificaten in te trekken is ervoor gekozen om die opnieuw uit te geven op basis van dezelfde sleutel, maar dan met de juiste instellingen om aan de voorschriften te voldoen.
Vorige week werd bekend dat er wereldwijd 293 intermediate certificaten niet aan de Baseline Requirements van het CAB Forum voldoen. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Intermediate certificaten worden gebruikt door certificaatautoriteiten om de tls-certificaten van hun klanten te ondertekenen. Een probleem met de 293 certificaten is dat ze een extensie missen die volgens de richtlijnen wel aanwezig moet zijn.
Certificaten kunnen voor verschillende redenen worden ingetrokken, zoals in het geval van DigiNotar werd gedaan. Het intrekken van certificaten kan via Certificate Revocation Lists (CRL) en het Online Certificate Status Protocol (OCSP). Bij OCSP ontvangt bijvoorbeeld de browser het certificaat van een website. De browser verstuurt vervolgens een OCSP-request met het serienummer van het certificaat naar een OCSP-responder (server). De OCSP-responder geeft vervolgens een antwoord terug aan de client of het certificaat goed, ingetrokken of onbekend is. Zo weet de browser of het certificaat is te vertrouwen en de beveiligde verbinding kan worden opgezet.
Aangezien de OCSP-responder statusinformatie over één of meerdere certificaatautoriteiten geeft moet een OCSP-client wel weten dat het certificaat van de OCSP-responder zelf niet is ingetrokken. Een certificaatautoriteit kan via de extensie "id-pkix-ocsp-nocheck" opgeven dat de client de responder voor de levensduur van het certificaat van de responder kan vertrouwen. In het geval van de 293 certificaten ontbreekt deze extensie.
Het ging onder andere om 29 PKIoverheid intermediate certificaten. Overheidsdiensten gebruiken PKIoverheid-certificaten voor verschillende zaken, zoals versleutelde verbindingen voor websites, authenticatie op afstand, elektronische handtekeningen en versleuteling van elektronische berichten. Logius is verantwoordelijk voor de uitgifte van het rootcertificaat en de tussenliggende certificaten. Eindgebruikerscertificaten worden door certificaatverstrekkers uitgegeven.
Volgens Logius zou het intrekken van alle getroffen intermediate certificaten binnen de gestelde deadline van zeven dagen voor grootschalige uitval in veel delen van de Nederlandse digitale infrastructuur zorgen, waaronder de gezondheidszorg. Onder de betreffende intermediate certificaten vallen namelijk 600.000 certificaten van eindgebruikers, die door het intrekken van de intermediate certificaten ook ongeldig zouden worden.
In plaats daarvan wil Logius alle intermediate certificaten van PKIoverheid opnieuw uitgeven op basis van dezelfde sleutel, maar dan met de juiste instellingen om aan de voorschriften te voldoen. "Dit verhelpt het securityrisico. Alle bestaande certificaten blijven geldig voor hun geplande levensduur", zo meldt het Nationaal Cyber Security Centrum.
"Uit onze analyse komt naar voren dat de kans op misbruik van de eerdergenoemde foutieve instelling voor het PKIoverheid stelsel nagenoeg nihil is", laat Logius in een update over het incident weten. "Het Nederlandse plan dat aan het CA/Browser Forum is voorgelegd, bestaat uit het implementeren van technische en procedurele maatregelen waarmee het vermeende risico volledig wordt afgedekt." Vier intermediate certificaten die niet meer in gebruik zijn, zijn inmiddels wel ingetrokken.
Deze posting is gelocked. Reageren is niet meer mogelijk.