Aantal certificaten voldoen niet aan de afgesproken richtlijnen
Er is een securityprobleem geconstateerd bij diverse Certificate Authority's (CA's), waaronder PKIoverheid, waardoor een deel van uw certificaten mogelijk niet voldoet aan een specifieke baseline requirement. Het beveiligingsprobleem kwalificeren wij als een laag risico. Toch moeten certificaten mogelijk vervangen worden vanwege de compliance. Of, wanneer en hoe dat moet hoort u van uw CA, maar u doet er verstandig aan nu te beginnen met uw inventarisatie.
Wat zijn de gevolgen?
Als certificaten niet aan de eisen voldoen moeten ze volgens de regels worden vervangen. Het gaat in dit geval wereldwijd om grote aantallen certificaten, die niet allemaal op korte termijn vervangen kunnen worden. Het is daarom belangrijk dat iedere getroffen CA een plan maakt dat haalbaar is, maar ook in de tussentijd het risico mitigeert. Mocht een CA hier niet voldoende in slagen, dan bestaat de kans dat browsers hun vertrouwen in de CA intrekken. Daarmee worden alle certificaten die deze CA heeft uitgegeven ongeldig, en kunnen die niet meer worden gebruikt voor het opzetten van beveiligde verbindingen of voor identificatie. Volgens de afspraken is de vervangingstermijn voor de CA's 7 dagen. Die termijn loopt op woensdag 8 juli af, maar een aantal browserfabrikanten heeft aangegeven hier in dit geval meer tijd voor te geven.
Advies NCSC
Het NCSC adviseert om in uw organisatie te inventariseren waar u encryptiecertificaten gebruikt en bij welke Certificate Authority (CA) u deze heeft afgenomen. Er bestaat een kans dat u deze certificaten moet gaan vervangen. Vergelijk uw inventaris met deze lijst van de CA’s die zijn getroffen. Onder de getroffen CA's bevindt zich ook PKIoverheid. Voor afnemers van PKIoverheid-certificaten is op dit moment geen actie nodig.
Wat zijn de vervolgstappen?
Logius, de aangewezen Policy Authority voor PKIoverheid, presenteert een plan voor het verhelpen van het securityprobleem aan het CA/B-forum, het overlegorgaan van CA's en browsermakers. Als het CA/B-forum er geen bezwaar tegen heeft, kan Logius het plan uitvoeren en is er geen verdere actie meer nodig van afnemers van PKIoverheid-certificaten. Het CA/B-forum kan Logius echter verzoeken om het plan aan te passen. Het is op dit moment nog niet in te schatten of, en zo ja op welk vlak eventueel aanpassingen nodig zijn, en wat dit dan betekent voor afnemers van PKIoverheid-certificaten.
Wat houdt het plan van Logius voor PKIoverheid in?
Logius wil de certificaten van alle intermediate CA's van PKIoverheid opnieuw uitgeven op basis van dezelfde sleutel, maar dan met de juiste instellingen om aan de voorschriften te voldoen. Dit verhelpt het securityrisico. Alle bestaande certificaten blijven geldig voor hun geplande levensduur.
Ik gebruik certificaten van een andere getroffen CA dan PKIoverheid. Wat moet ik doen?
Wacht op instructies van uw CA. Iedere CA onderneemt actie om het probleem aan hun kant op te lossen. Zodra zij een oplossing hebben, krijgt u van hen instructies of, wanneer en hoe u moet handelen.
Het NCSC adviseert Logius en draagt bij aan de gesprekken tussen Logius, de intermediate CA's onder PKIoverheid en het CA/B-forum.