TLS-certificaten overheidsdomeinen lijken verlopen door fout certSIGN - update

In dit artikel:

Een fout bij de Roemeense certificaatautoriteit certSIGN heeft ertoe geleid dat de Certificate Revocation List (CRL) onterecht aangeeft dat TLS‑certificaten van meerdere overheidswebsites zijn ingetrokken, onder andere logius.nl en diverse gemeenteportalen. Volgens certSIGN‑medewerker Gabriel Petcu ontstond het probleem bij voorbereidingen om certificaten met de Extended Key Usage (EKU) clientAuth in te trekken — een EKU waarmee servers clientidentiteit kunnen verifiëren.

Technisch speelt hier een mismatch tussen twee controlesystemen: de CRL (een periodiek bijgewerkte lijst met ingetrokken certificaten) en OCSP (een real‑time statuscontrole). certSIGN wilde klanten tijd geven om niet‑conforme certificaten te vervangen en had daarom gepland de CRL pas 24 uur na intrekking te publiceren. Door een fout in de geautomatiseerde workflow werden de bijgewerkte CRL‑lijsten echter al gepubliceerd vóórdat de OCSP‑database was gesynchroniseerd, waardoor CRL‑ en OCSP‑checks verschillende uitkomsten kunnen geven.

Achtergrond is dat Google in zijn Chrome Root Program heeft vastgelegd dat openbare TLS‑certificaten vanaf 15 juni geen clientAuth‑EKU meer mogen bevatten; browsers zullen certificaten met die EKU na die datum niet langer vertrouwen. certSIGN had klanten geïnformeerd dat zij hun oude certificaten moesten vervangen om aan die eis te voldoen. In Nederland levert KPN certificaten van certSIGN aan klanten; KPN bevestigt dat een leverancier per abuis een lijst publiceerde waarin enkele sites onterecht als onveilig werden aangeduid en zegt dat de leverancier het probleem heeft aangepakt. Toch tonen sommige certificaatcontrole‑diensten nog steeds problemen voor sites zoals logius.nl en eherkenning.nl.

Praktische consequentie is dat gebruikers tijdelijk beveiligingswaarschuwingen kunnen zien of dat automatische checks tegenstrijdige resultaten geven, afhankelijk van of een applicatie CRL of OCSP gebruikt. Voor beheerders is de belangrijkste stap het vervangen van verouderde certificaten en het controleren van zowel CRL‑ als OCSP‑responses totdat alle systemen zijn gesynchroniseerd. Noot: het oorspronkelijke bericht corrigeerde later een fout — de beperking van clientAuth‑EKU is onderdeel van Googles Chrome‑beleid, niet van het CA/Browser Forum.