Verlopen certificaten

Op zaterdag 30 mei zijn er twee certificaten verlopen. Het gaat om de 'AddTrust External CA Root' en de 'COMODO RSA Certification Authority' intermediate certificaten die wereldwijd gebruikt worden. Volgens de vooraankondiging van de CA-authoriteit zouden 'moderne clients', zoals up-to-date browsers en Java-clients, hier geen moeilijkheden van ondervinden. Helaas heeft het koppelingen verkeer hier wel degelijk last van gehad.

Er is gebleken dat de configuratie van de software, die de validatie doet van deze certificaten, niet tijdig was bijgewerkt. Na aanpassing van deze configuratie door MCX werken alle koppelingen weer zoals het hoort.

Normaal gesproken komt het niet voor dat de verlopen certificaten zorgen voor problemen. Alleen in dit geval zat het probleem in de ‘certificate chain’. Certificaten worden, net als paspoorten, uitgegeven door organisaties die daarvoor geautoriseerd zijn. Door de groei van het Internet is ervoor gekozen om een deel van de uitgifte van certificaten bij ‘intermediates’ te beleggen. Onderstaand plaatje toont, op hoog niveau, de relatie tussen de diverse soorten certificaten inclusief de gemiddelde levensduur.

Zoals al aangegeven was het probleem terug te vinden in de server software die onvoldoende was bijgewerkt. Hierdoor konden verbindingen tussen servers voor koppelingenverkeer niet tot stand worden gebracht.

Voor verdere informatie kunt u terecht op: https://nakedsecurity.sophos.com/2020/06/02/the-mystery-of-the-expiring-sectigo-web-certificate (NB. Sectigo is de nieuwe naam van Comodo).