Impactanalyse wereldwijd issue rond CA-certificaatprofielen
Update 13 juli 2020
Logius heeft in samenwerking met de andere certificaat verstrekkers (TSP’s) en het Nationaal Cyber Security Centrum (NCSC) een actieplan opgesteld. Uit de gezamenlijke analyse komt naar voren dat de kans op misbruik van de eerder genoemde foutieve instelling voor het PKIoverheid stelsel nagenoeg nihil is.
Het plan dat is voorgelegd, bestaat uit het implementeren van technische en procedurele maatregelen waarmee het vermeende risico volledig wordt afgedekt. Hiermee hoeven er geen eindgebruikerscertificaten vervangen te worden. Daarnaast worden er 4 intermediate certificaten die niet meer in gebruik zijn ingetrokken.
De impact op gebruikers van Cleverbase is vooralsnog onveranderd laag.
Update 8 juli 2020
Zoals aangegeven op de website van Logius is Cleverbase, als een van de TSP’s onder PKIoverheid, de afgelopen dagen betrokken geweest bij het opstellen van het actieplan voor het in lijn brengen van de certificaatprofielen van PKIoverheid met de richtlijnen. Zodra dit actieplan voorgelegd is aan de community, zullen wij een korte samenvatting geven op deze site. Hierbij kunt u er vooralsnog vanuit gaan dat de impact op Cleverbase gebruikers laag zal zijn.
Donderdag 2 juli 2020 werd bij Policy Authority Logius bekend dat meerdere CA’s (wereldwijd), en helaas PKIoverheid ook, sinds 2015 een veld in de CA-certificaten hebben gebruikt welke volgens nieuwe inzichten niet voldoet aan de afgesproken richtlijnen. Hierdoor is een mogelijke kwetsbaarheid geïntroduceerd. Dit levert in de praktijk een (zeer klein) veiligheidsrisico op.
De consensus binnen de (internationale) community is dat hierop evenwel actie dient te worden ondernomen.
Logius doet samen met de PKIoverheid partners zoals Cleverbase en het Nationaal Cyber Security Centrum onderzoek naar de Nederlandse situatie en de oplossingsrichting om de certificaten in kwestie weer aan de richtlijn te laten voldoen.
Zodra er een definitieve oplossingsrichting is, maakt Logius hierover algemene informatie bekend op www.logius.nl.
U hoeft nu niets te doen. Mocht de oplossing toch consequenties hebben voor u als gebruiker treden wij actief met u in contact.
Wij geven sowieso uiterlijk op woensdagmiddag 8 juli 2020 15:00 uur een nieuwe update rond dit issue op deze website. Mocht u eerder vragen hebben, dan kunt u contact met ons opnemen via de contactpagina.