Nieuws

DigiCert trekt EV-certificaat in vanwege urgent probleem

Dinsdag 7 juli heeft DigiCert, de voormalige leverancier van SURFcertificaten, SURF en de instellingen geïnformeerd over een urgent probleem met de Extended Validation (EV)-certificaten. Deze blijken door een fout van DigiCert niet afdoende ge-audit te zijn en mogen daarom niet worden gebruikt. DigiCert trekt deze certificaten op 11 juli om 20.00 uur in.
Student achter laptop in bibliotheek vanaf verhoging met koptelefoon

DigiCert

DigiCert was tot 1 mei de dienstverlener van certificaten voor de dienst SURFcertificaten. Certificaten die voor 1 mei zijn uitgegeven, blijven werkzaam tot de geldigheidstermijn van het certificaat verstrijkt.

Instellingen direct geïnformeerd

SURF heeft na de bekendmaking direct alle contactpersonen van de dienst SURFcertificaten geïnformeerd, als ook voor de zekerheid de beveiligingscommunity’s SCIPR en SCIRT. Ook is er een pagina beschikbaar meer informatie en instructies hoe de certificaten zo snel mogelijk te vervangen en te installeren.

Verzoek om uitstel

SURF heeft gekeken naar mogelijkheden om samen met andere partijen een verzoek voor uitstel te doen bij DigiCert. De termijn waarop de certificaten vervangen en opnieuw geïnstalleerd moeten worden is krap. We achten de kans op uitstel klein, omdat DigiCert onder druk staat van grote browserleveranciers die - vanwege deze fout - ook andere certificaten van DigiCert niet meer willen accepteren.

Geen beveiligingsrisico

DigiCert trekt het EV-certificaat in vanwege een nalatigheid in de audit. Er is vooralsnog geen enkele concrete aanwijzing voor een beveiligings-issue.

Zie voor meer informatie de website van DigiCert