Hoe een typefout tienduizenden certificaten in gevaar bracht

Afgelopen week maakte DigiCert, de voormalige leverancier van certificaten van Belnet, bekend dat het op korte termijn moest overgaan tot de intrekking van EV-certificaten. Deze bekendmaking had een grote impact op tal van organisaties uit de Belnet-community, maar ook op Belnet zelf. Waarom moest DigiCert deze drastische maatregel nemen?

Een van de belangrijkste voordelen van het internet zoals we het nu kennen, is het quasi onbeperkte aantal mogelijkheden en de vrijheid van meningsuiting die het ons biedt. Door het democratische karakter van het internet, de mate van vrijheid en toegankelijkheid, kunnen veel mensen dagelijks het internet gebruiken. Dit verloopt zonder veel gedoe of administratie, maar ook zonder enige gestructureerde vorm van identificatie of authenticatie.

De anonimiteit die een gebruiker geniet wanneer hij op internet surft, heeft belangrijke gevolgen. Mensen zijn openhartig en uiten oprecht hun mening zonder zich zorgen te maken over de consequenties, terwijl anderen erop uit zijn om deze anonimiteit te misbruiken.

Certificering om vertrouwen te garanderen

Om er zeker van te zijn dat gebruikers niet worden misleid bij het bezoeken van een webservice, werd er een certificeringsmethode opgesteld. Deze certificaten kunnen worden verkregen via vertrouwde instellingen en hebben verschillende beveiligings- of validatieniveaus. Om het vertrouwen te behouden, moeten deze instellingen zelf regelmatig worden gecontroleerd.

Een van deze validatiestappen werd onjuist geregistreerd, waardoor bepaalde validatiemachines niet werden opgenomen in het auditproces. De fout werd opgemerkt door een medewerker van Google en werd openbaar gepubliceerd. Dit betekent in feite dat de certificaten, uitgegeven door deze niet-gevalideerde machines, niet langer vertrouwd zijn. Het ging meer bepaald om de certificaten van het type "Extended Validation".

Aanzienlijke gevolgen

Verschillende van de vertrouwde instellingen (ook certificeringsinstanties of CA genoemd) werden getroffen. DigiCert, de instantie die vroeger de certificaten voor de Belnet-klanten uitgaf, heeft onmiddellijk actie ondernomen en heeft op 8 juli een mededeling verstuurd waarin ze aangaven dat ze de betrokken EV-certificaten binnen de gedocumenteerde termijn, die 7 dagen bedraagt, gingen intrekken. De bittere ironie is dat vanwege de extra beveiligings- en validatiestappen deze maatregelen op zeer korte termijn worden genomen om een snelle bescherming tegen een vertrouwensbreuk te verzekeren.

Concreet moesten de gebruikers van dergelijke EV-certificaten een nieuw certificaat aanvragen ter vervanging van het oude EV-certificaat, dat op zaterdag 11 juli werd ingetrokken. Aangezien Belnet recent van leverancier is veranderd (van DigiCert naar Sectigo), hebben wij onze klanten verzocht om dringend hun nieuwe certificaten aan te vragen bij Sectigo. Hoewel we deze certificaten niet in hun plaats konden aanvragen, hebben we er alles aan gedaan om onze klanten zo goed mogelijk bij te staan.

Copyright © 2020 Belnet.