image

Logius komt met oplossing voor PKIoverheid-certificaten die niet aan de regels voldoen

vrijdag 10 juli 2020, 15:49 door Redactie, 4 reacties

Logius, de automatiseringsdienst van de rijksoverheid, is met een oplossing gekomen voor PKIoverheid-certificaten die niet aan de Baseline Requirements van het CA/Browser (CAB) Forum voldoen. In plaats van de certificaten in te trekken is ervoor gekozen om die opnieuw uit te geven op basis van dezelfde sleutel, maar dan met de juiste instellingen om aan de voorschriften te voldoen.

Vorige week werd bekend dat er wereldwijd 293 intermediate certificaten niet aan de Baseline Requirements van het CAB Forum voldoen. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Intermediate certificaten worden gebruikt door certificaatautoriteiten om de tls-certificaten van hun klanten te ondertekenen. Een probleem met de 293 certificaten is dat ze een extensie missen die volgens de richtlijnen wel aanwezig moet zijn.

Certificaten kunnen voor verschillende redenen worden ingetrokken, zoals in het geval van DigiNotar werd gedaan. Het intrekken van certificaten kan via Certificate Revocation Lists (CRL) en het Online Certificate Status Protocol (OCSP). Bij OCSP ontvangt bijvoorbeeld de browser het certificaat van een website. De browser verstuurt vervolgens een OCSP-request met het serienummer van het certificaat naar een OCSP-responder (server). De OCSP-responder geeft vervolgens een antwoord terug aan de client of het certificaat goed, ingetrokken of onbekend is. Zo weet de browser of het certificaat is te vertrouwen en de beveiligde verbinding kan worden opgezet.

Aangezien de OCSP-responder statusinformatie over één of meerdere certificaatautoriteiten geeft moet een OCSP-client wel weten dat het certificaat van de OCSP-responder zelf niet is ingetrokken. Een certificaatautoriteit kan via de extensie "id-pkix-ocsp-nocheck" opgeven dat de client de responder voor de levensduur van het certificaat van de responder kan vertrouwen. In het geval van de 293 certificaten ontbreekt deze extensie.

Het ging onder andere om 29 PKIoverheid intermediate certificaten. Overheidsdiensten gebruiken PKIoverheid-certificaten voor verschillende zaken, zoals versleutelde verbindingen voor websites, authenticatie op afstand, elektronische handtekeningen en versleuteling van elektronische berichten. Logius is verantwoordelijk voor de uitgifte van het rootcertificaat en de tussenliggende certificaten. Eindgebruikerscertificaten worden door certificaatverstrekkers uitgegeven.

Volgens Logius zou het intrekken van alle getroffen intermediate certificaten binnen de gestelde deadline van zeven dagen voor grootschalige uitval in veel delen van de Nederlandse digitale infrastructuur zorgen, waaronder de gezondheidszorg. Onder de betreffende intermediate certificaten vallen namelijk 600.000 certificaten van eindgebruikers, die door het intrekken van de intermediate certificaten ook ongeldig zouden worden.

In plaats daarvan wil Logius alle intermediate certificaten van PKIoverheid opnieuw uitgeven op basis van dezelfde sleutel, maar dan met de juiste instellingen om aan de voorschriften te voldoen. "Dit verhelpt het securityrisico. Alle bestaande certificaten blijven geldig voor hun geplande levensduur", zo meldt het Nationaal Cyber Security Centrum.

"Uit onze analyse komt naar voren dat de kans op misbruik van de eerdergenoemde foutieve instelling voor het PKIoverheid stelsel nagenoeg nihil is", laat Logius in een update over het incident weten. "Het Nederlandse plan dat aan het CA/Browser Forum is voorgelegd, bestaat uit het implementeren van technische en procedurele maatregelen waarmee het vermeende risico volledig wordt afgedekt." Vier intermediate certificaten die niet meer in gebruik zijn, zijn inmiddels wel ingetrokken.

Reacties (4)
10-07-2020, 17:49 door Anoniem
"Uit onze analyse komt naar voren dat de kans op misbruik van de eerdergenoemde foutieve instelling voor het PKIoverheid stelsel nagenoeg nihil is"

Je mening doet er niet meer toe tegenwoordig als die niet in overeenstemming is met de zienswijze van de feitelijke machthebber.
Dus ik schat de kans dat ze hier mee weg komen gering.
Mozilla liep net nog te verkondigen dat bij her-uitgave van een certificaat beslist de key moet worden gewijzigd...
11-07-2020, 10:51 door Anoniem
Het is weer eens niet consequent. Dit is het antwoord van QuoVadis.
https://www.quovadisglobal.nl/Bedrijfsinformatie/Nieuws/20200710_ocsp_eku.aspx

IMPACT
For Customers using one of the affected Certificates, a replacement Subscriber Certificate will be required. This replacement is free of charge

Maar dan bij Logius:
Certificates issued by QuoVadis and other CAs under PKIoverheid will remain valid for now; remediation actions for those Certificates will be determined by Logius at a later date.

Waarom de ene wel wordt vervangen en de andere niet is mij volstrekt onduidelijk.
12-07-2020, 17:41 door Anoniem
Door Anoniem: Waarom de ene wel wordt vervangen en de andere niet is mij volstrekt onduidelijk.
De keuze voor het tijdig intrekken (en daarmee voldoen aan de Baseline Requirements) is voorbehouden aan de CA zelf. QuoVadis besluit om de regels te volgen, Logius niet. Dat laatste heeft niet direct consequenties, al wordt er wel verwacht dat er duidelijk beschreven wordt waarom de certificaten niet tijdig worden ingetrokken, wanneer deze wel ingetrokken worden en hoe ze in de toekomst deze situatie gaan voorkomen. Althans, zo werkt het ongeveer binnen het beleid van Mozilla waar dit proces transparant is.

Ik kan mij niet voorstellen dat het PKIOverheid stelsel gelijk op een blocklist komt door deze actie. Echter kan je bij de volgende keer dat Logius/PKIOverheid een CA wil toevoegen afvragen of je dat nog wilt. Immers ga je dan jezelf weer jaren lang opzadelen met een partij waarvan je weet dat ze een loopje nemen met de regels en/of niet leert van de fouten die gemaakt worden.

Feit is dat men er nu achter komt dat de regels voor het WebPKI strenger zijn dan ze aan kunnen voldoen en een grote hoeveelheid certificaten uitgegeven binnen het PKIOverheid stelsel helemaal geen web toepassing hebben. Achteraf gezien is het dus dom geweest om deze niet-web certificaten uit te geven binnen het WebPKI. Ik begrijp dat ze al bezig zijn om de overstap te maken naar private roots, maar dat kost uiteraard tijd. Tijd waarvan nu blijkt dat die er eigenlijk niet is.
02-09-2020, 19:21 door Anoniem
Door Anoniem: Het is weer eens niet consequent. Dit is het antwoord van QuoVadis.
https://www.quovadisglobal.nl/Bedrijfsinformatie/Nieuws/20200710_ocsp_eku.aspx

Maar dan bij Logius:
Certificates issued by QuoVadis and other CAs under PKIoverheid will remain valid for now; remediation actions for those Certificates will be determined by Logius at a later date.

Waarom de ene wel wordt vervangen en de andere niet is mij volstrekt onduidelijk.

Toch actie voor 1 oktober uitgezet door Logius.
Onder de zogenoemde G3 Root hangen publieke en private certificaten. Op 1 oktober moeten de publiek gebruikte certificaten uit de G3 Root zijn vervangen door certificaten die gebruik maken van de nieuwe EV Root.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.