Certificaten voldoen mogelijk niet aan uitgifte-eisen

14-03-2019

Onlangs werd bij het NCSC bekend dat bepaalde digitale certificaten niet voldoen aan de uitgifte-eisen voor certificaten. Dit probleem is ontstaan bij het gebruik van bepaalde uitgiftesoftware (ECJBA). Deze software wordt door veel certificaatautoriteiten gebruikt voor het genereren van certificaten. Hierdoor zijn er mogelijk certificaten gegenereerd die niet voldoen aan de eisen. Als deze certificaten niet tijdig worden vervangen, dan kan er een beschikbaarheidsprobleem ontstaan omdat deze certificaten binnenkort niet meer worden geaccepteerd door bijvoorbeeld webbrowsers.

De uitgifte-eisen voor certificaten schrijven voor dat uitgegeven certificaten, die websites gebruiken voor het opzetten van een beveiligde verbinding, over minimaal een 64-bit serienummer horen te beschikken. In dit geval heeft een fout in ECJBA, open source software waarmee certificaatautoriteiten certificaten genereren, ervoor gezorgd dat het serienummer in werkelijkheid 63-bit is.

Controleer uw certificaten
Het NCSC adviseert organisaties om certificaten die niet voldoen aan de uitgifte-eisen te controleren en indien nodig te vervangen. Om uit te zoeken of certificaten voldoen aan de uitgifte-eisen, kunt u contact opnemen met uw certificaatautoriteit. Dit is uw leverancier van certificaten.

Functie certificaten
Certificaten worden onder andere gebruikt om verkeer naar webpagina’s, e-mails, documenten of verbindingen te beveiligen en vormen hiermee een onmisbare schakel in beveiligd (internet)verkeer.

NCSC volgt ontwikkelingen
Het NCSC volgt de ontwikkelingen nauwgezet en onderhoudt hierover contact met haar partners. Zodra hierover meer bekend is informeert het NCSC u via de website en twitter.

Dit artikel is ook te vinden in het dossier Informatiebeveiliging

bron: NCSC

Van onze partners

Cursus: datalekken en cybersecurity

U wilt weten hoe u het beste data kan beveiligen, maar een datalek is vaak het gevolg van menselijk handelen en daarmee niet volledig te voorkomen. Weten hoe te reageren bij een datalek is dus minstens net zo belangrijk als een goed beleid. Deze cursus leert u voorkomen én genezen.

→ Lees meer

Cursus: werken aan een privacybewuste organisatie

Na deze afwisselende en interactieve cursus kunnen deelnemers een privacybewustzijnsproces in hun eigen organisatie initiëren.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer