Vervanging Sectigo EV
Onlangs is bekend geworden dat er in een aantal EV certificaten van Sectigo niet-toegestane informatie is opgenomen, waardoor deze certificaten op zeer korte termijn vervangen moeten worden om vertrouwd te blijven door browsers. Deze ontwikkeling heeft geen impact op de veiligheid van de getroffen certificaten, wel zorgt het ervoor dat veel organisaties zeer snel hun certificaten moeten vervangen om foutmeldingen te voorkomen.
Hoe vervang ik mijn certificaten?
In je account staat op het Dashboard van het Control Panel een overzicht met de te vervangen certificaten. Je kunt deze direct downloaden en installeren. De certificaten worden ook per e-mail toegestuurd, en zijn voor API-gebruikers op te halen. Raadpleeg voor hulp bij installatie de installatiehandleidingen.
De te vervangen certificaten worden zo snel mogelijk door Sectigo heruitgegeven en beschikbaar gesteld ter download. Het kan voorkomen dat niet alle certificaten direct beschikbaar zijn, deze hebben in het Control Panel de status 'In behandeling bij Sectigo'. Zodra ze gereed zijn wijzigt deze status naar 'Downloaden'. Let op: Om verwarring en vertraging te voorkomen, is op reguliere wijze een heruitgifte aanvragen voor de te vervangen certificaten niet mogelijk.
Hoe worden de vervangende certificaten beschikbaar gesteld?
De vervangende certificaten worden zo snel mogelijk door Sectigo beschikbaar gesteld. De certificaten zijn heruitgegeven op basis van de oude CSR. Het bevestigen van de DCV is dus niet nodig, en de eindgebruiker van de certificaten zal niet opnieuw gecontacteerd worden voor validatie doeleinden. Dit houdt in dat ook de huidige private key gebruikt kan blijven worden. Wat mogelijk vertraging kan opleveren is de (vanaf 2017) verplichte controle van CAA records. Zolang deze niet goed zijn ingesteld is een heruitgifte niet mogelijk.
Vervanging op een IIS webserver
Gebruik je IIS en geeft de Certificate Wizard bij het importeren van het vervangende certificaat de foutmelding dat de Private Key niet wordt gevonden? Gebruik dan deze handleiding om het vervangende certificaat te koppelen aan de oude private key.
Wat is de aanleiding van deze vervanging?
Ondanks zeer strenge controles is er onlangs geconstateerd dat er in Sectigo EV certificaten gegevens zijn opgenomen die er niet in mogen staan. Specifiek gaat het om rechtsgebied van oprichting, dit is de regio (de plaats en provincie) waarin het voor de oprichting van de organisatie gebruikte handelsregister actief is. Omdat dit niet in lijn is met de EV-richtlijnen, is een correctie van belang. Sectigo zal de getroffen certificaten heruitgeven zonder deze informatie erin en gratis beschikbaar stellen ter installatie.
Hoe is deze situatie ontstaan?
De vestigingsgegevens van een organisatie worden gecontroleerd in een nationale database (in Nederland de Kamer van Koophandel), waarna de woonplaats automatisch is aangevuld met het rechtsgebied (de plaats - en provincie) van het handelsregister waar de organisatie is ingeschreven. Volgens de actuele richtlijnen moeten deze JOI (Jurisdiction of Incorporation) velden, zodra een handelsregister landelijk en niet regiogebonden opereert, leeg zijn.
In tegenstelling tot de Verenigde Staten, waar deze JOI-velden meestal wel van toepassing zijn, werken de handelsregisters in de meeste Europese landen tegenwoordig landelijk. Hierdoor is er informatie toegevoegd die volgens de EV richtlijnen van het CA/Browser Forum niet in het certificaat mogen staan. Helaas zijn deze velden ondanks regelmatige controles door Sectigo niet eerder aan het licht gekomen.
Moet ik zelf een heruitgifte aanvragen?
Nee, om de overlast zoveel mogelijk te beperken doet Sectigo de heruitgifte en worden de gratis vervangende certificaten zo snel mogelijk klaargezet als download in het Control Panel. Ook worden ze per e-mail verzonden. Er is dus alleen een nieuwe installatie nodig. Om verwarring en vertraging te voorkomen, is op reguliere wijze een heruitgifte aanvragen voor de te vervangen certificaten niet mogelijk.
Wat gebeurt er als een certificaat niet binnen de gestelde termijn vervangen wordt?
Om te blijven voldoen aan de EV richtlijnen van het CA/Browser Forum is Sectigo verplicht de getroffen certificaten zo snel mogelijk na melding van het incident in te trekken. Uiteraard werkt Xolphin hier volop aan mee.
Als het certificaat niet op tijd vervangen wordt, leidt het ingetrokken certificaat tot een onbereikbare website. Een voorbeeld hiervan: https://revoked.badssl.com/. Afhankelijk van het controlemechanisme dat een browser gebruikt, verschijnt deze melding direct na de certificaat intrekking tot uiterlijk een week later.
Heeft deze kwestie ook gevolgen voor andere merken certificaten?
Voor zover bekend is er geen impact voor EV certificaten van andere merken die via Xolphin zijn aangevraagd, maar omdat deze merken zelf de validatie uitvoeren is dit niet met zekerheid te zeggen. Bij EV certificaten uitgegeven door DigiCert speelt bijvoorbeeld een soortgelijk probleem met de JOI-velden. Alhoewel dit in dezelfde periode speelt en het specifiek om dezelfde certificaat velden gaat, wijken de details wel iets af: in dit geval is door menselijke fouten verkeerde informatie in deze velden terechtgekomen, zoals plaatsnamen die niet matchen met een provincie of spelfouten in een plaatsnaam.
Heeft deze kwestie ook gevolgen voor DV- en OV- certificaten?
Nee, deze kwestie heeft geen invloed op DV- en OV certificaten, omdat op deze certificaten de EV richtlijnen niet van toepassing zijn.
Waarom moet ik nu opeens mijn certificaat vervangen, mijn certificaat is al ruim een jaar oud?
Wij zijn hier pas onlangs op geattendeerd. Ondanks dat een certificaat al ouder is, zijn door een extra controle door Sectigo deze niet gecontroleerde gegevens nu pas ontdekt. En omdat dit in lijn is met de strikte EV-richtlijnen, is onmiddellijke actie nodig.
Is mijn oude certificaat hierdoor onveilig (geweest)?
Deze certificaten zijn vermeld als "verkeerd uitgegeven certificaten", dit heeft echter geen invloed op de technische werking (totdat het certificaat is ingetrokken), en in geen geval is er op frauduleuze wijze een certificaat aan een entiteit uitgegeven. De desbetreffende certificaten zijn niet onveilig, het gaat hier puur om een teveel aan gegevens dat is opgenomen in het certificaat. Om te blijven voldoen aan de strikte EV-richtlijnen, is een correctie echter noodzakelijk.
Zijn de gegevens in de certificaten nu onjuist?
In tegenstelling tot de Verenigde Staten, waar deze velden meestal wel van toepassing zijn, werken de handelsregisters in de meeste Europese landen tegenwoordig landelijk. Hierdoor is dus informatie toegevoegd die niet per se onjuist is, maar die volgens de EV richtlijnen van het CA/Browser Forum niet toegestaan zijn.
Heeft een vervangend certificaat invloed op de looptijd van het certificaat?
Nee, bij een heruitgifte ontvang je altijd een nieuw certificaat met dezelfde einddatum als het oude certificaat.
Moet ik de heruitgegeven certificaten opnieuw installeren?
Ja, het is van belang de certificaten direct te vervangen op de server. De oude certificaten worden namelijk op korte termijn ingetrokken en zullen dan niet meer vertrouwd worden. Raadpleeg voor hulp bij installatie de installatiehandleidingen.
Hoe weet ik of het nieuwe certificaat correct is geïnstalleerd?
Dit controleer je gemakkelijk via de SSLcheck door de domeinnaam van het certificaat in te vullen. Het correcte certificaat heeft dezelfde einddatum als het oude certificaat, maar is geldig vanaf '2020-01-22'.
Waar vind ik deze gegevens in een certificaat?
De velden zijn terug te vinden in het 'Subject' gedeelte van het EV certificaat, waarin alle organisatiegegevens ondergebracht zijn. Je vindt deze door via je browser het certificaat te openen door te klikken op het slotje in de adresbalk en vervolgens te klikken op Certificaat bekijken > details > certificaat velden > certificaathouder. Voorbeeld uit een certificaat:
Objectidentificator (1 3 6 1 4 1 311 60 2 1 1) = Plaats, bijvoorbeeld Alkmaar
Objectidentificator (1 3 6 1 4 1 311 60 2 1 2) = Provincie, bijvoorbeeld Noord-Holland
Objectidentificator (1 3 6 1 4 1 311 60 2 1 3) = Landcode, bijvoorbeeld NL
In bovenstaand voorbeeld zijn de velden Plaats en Provincie volgens de EV richtlijnen niet toegestaan.
Wat is de verhouding tussen Xolphin en Sectigo?
Als reseller levert Xolphin onder andere SSL certificaten van in de Verenigde Staten gevestigde CA (Certificaat Autoriteit) Sectigo, voorheen Comodo. Als RA (Registratie Autoriteit) verzorgt Xolphin de validatie van de bedrijfsgegevens voor Sectigo aanvragen. Dit concept combineert wereldwijd vertrouwde certificaten met lokale service en snelheid. Op deze wijze zijn er via Xolphin al ruim een miljoen certificaten uitgegeven.
Hulp nodig?
SSL Problemen Wizard
Bel ons op
+31 88 775 775 0
Stuur ons een bericht
SSLCheck
De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.
