Certificaatautoriteit Let’s Encrypt trekt vanaf 4 maart 0:00 UTC meer dan 3 miljoen certificaten in. Het gaat om Let’s Encrypt-certificaten die zijn uitgegeven vóór 29 februari 2020 03:10 UTC.
Reden is een fout bij de uitgifte van TLS-certificaten. Deze werd op 29 februari 2020 ontdekt in de door hen gebruikte CA-software.
Nederlandse domeinnamen
Websites die gebruikmaken van certificaten die ingetrokken worden, zullen vanaf 4 maart 0:00 UTC een melding tonen van een ongeldig certificaat. Gebruikers zien een bericht waardoor ze de betreffende website mogelijk niet vertrouwen. Dergelijke certificaten worden ook gebruikt voor andere processen. Het Nationaal Cyber Security Centrum (NCSC) heeft geconstateerd dat ook Nederlandse domeinen gebruikmaken van dergelijke Let’s Encrypt-certificaten.
Wat te doen?
Inventariseer waar in uw organisatie gebruik wordt gemaakt van Let’s Encrypt-certificaten. Voer zo snel mogelijk onderstaande twee controles uit:
1. Controleer in het bestand caa-rechecking-incident-affected-serials.txt.gz of de certificaten van uw organisatie in de lijst staan.
2. Test uw domeinen op https://checkhost.unboundtest.com/ om te zien of deze certificaten zijn ingetrokken
Iedere organisatie met getroffen domeinen wordt met klem aangeraden om deze certificaten zo snel mogelijk te vernieuwen. De certificaten zullen geforceerd vernieuwd moeten worden op de systemen waar het om gaat. (certbot renew –force-renewal)