Certificaatautoriteit DigiCert gaat op 11 juli circa 50.000 EV-certificaten intrekken. De reden is dat deze niet in een recent auditrapport staan vermeld.
Het Nationaal Cyber Security Centrum (NCSC) van de overheid raadt organisaties aan om te controleren of ze een getroffen certificaat gebruiken. Als dat het geval is, dan luidt het advies om dit tijdig te vervangen.
Intermediate-certificaatautoriteit
Een EV-certificaat wordt aan een uitgebreidere controle onderworpen dan een TLS-certificaat. Beide certificaten worden door intermediate-certificaatautoriteiten uitgegeven. DigiCert wijst erop dat intermediate-certificaten in auditrapporten altijd werden vermeld op basis van het geplande gebruik, in plaats van het feit of deze intermediate-certificaten EV-certificaten konden uitgeven. Het gevolg hiervan is dat niet alle intermediat- certificaten die certificaten konden uitgeven, in het auditrapport staan.
50.000 EV-certificaten ongeldig
DigiCert benadrukt dat dit losstaat van de controle van de EV-certificaten zelf, omdat daarvan wel is gecontroleerd of ze aan de EV-eisen voldoen. “Het resultaat is een vreemde situatie waar alle certificaten op de EV-eisen zijn getest, maar het rapport niet het specifieke intermediate-certificaat vermeldde”, verklaart DigiCert. Vanwege de EV-richtlijnen dient DigiCert al deze intermediate-certificaten op zaterdag 11 juli om 20:00 uur in te trekken. Daarmee worden in een keer 50.000 uitgegeven EV-certificaten ongeldig. Het betreft EV-certificaten die door CertCentral, Symantec, Thawte en GeoTrust zijn uitgegeven.
Klik hier voor het bericht van Digicert.