TLS-certificaten van overheidsdomeinen lijken verlopen door fout certSIGN

vrijdag, 12 juni 2026 (15:14) - Tweakers

In dit artikel:

De Roemeense certificaatautoriteit certSIGN heeft door een fout in zijn automatisering per abuis TLS-certificaten van meerdere overheidswebsites als ingetrokken aangemerkt. In de door certSIGN gepubliceerde Certificate Revocation List (CRL) stonden onder andere certificaten van logius.nl en diverse gemeentewebsites als ingetrokken, waardoor sommige controles aangeven dat die sites onveilig zouden zijn.

De fout ontstond tijdens voorbereidingen om certificaten zonder de clientAuth-uitbreiding (een Extended Key Usage voor clientauthenticatie) in te trekken. Het CA/Browser Forum had bepaald dat openbare TLS-certificaten vanaf 15 juni geen clientAuth-EKU meer mogen bevatten; certSIGN had klanten daarom verzocht hun oude certificaten te vervangen. Om klanten overgangstijd te geven, wilde certSIGN CRL- en OCSP-status pas 24 uur na intrekking aanpassen, maar door een probleem in de geautomatiseerde workflow werden de bijgewerkte CRL-lijsten eerder gepubliceerd, voordat synchronisatie met de OCSP-database klaar was.

Dat leidt tot inconsistenties: CRL-controles (een publiekslijst van ingetrokken certificaten) kunnen nu een andere uitslag geven dan OCSP-controles (realtime-opvragen van de certificaatstatus). Nederlandse partijen lopen ook tegen gevolgen aan omdat KPN certSIGN als leverancier gebruikt; KPN meldt dat een leverancierslijst een aantal sites onterecht als onveilig liet zien en dat de leverancier het probleem heeft verholpen. Toch tonen sommige certificaat-checkdiensten nog steeds problemen voor sites zoals logius.nl en eherkenning.nl, vermoedelijk door caching of vertraagde synchronisatie.

Kortom: het was geen massale, opzettelijke intrekking, maar een technische fout bij publicatie die tijdelijk voor verwarring en onterechte waarschuwingen zorgde. Gebruik van OCSP blijft doorgaans betrouwbaarder dan CRL omdat het realtime werkt; problemen zouden verdwijnen zodra CRL- en OCSP-gegevens volledig gesynchroniseerd en gecachet door externe diensten zijn bijgewerkt.

Lees het volledige artikel

BEKIJK OOK:

Het Oranje Café: Arnaut Danjuma vertelt over Abdelhak Nouri: 'Ik ben eergisteren nog bij hem thuis geweest'