Intrekken van PKI-O certificaten met verkeerde nummering

André Boom
10 jan 2020
twitterlinkedinmail

Het onderstaande is van belang voor BGT bronhouders die via automatisch berichtenverkeer met BRAVO verbonden zijn.

Veel rijksdiensten krijgen binnenkort een nieuw beveiligingscertificaat voor beveiligd internetverkeer via hun website en e-mails. In de komende veertien maanden laat Logius noodgedwongen maximaal 22.000 PKIoverheid-certificaten vervangen.
Dit is nodig omdat gebleken is dat deze certificaten verkeerd genummerd zijn. Logius meldt dat het probleem ook speelt bij één van de Trust Service Providers (TSP) die PKIoverheid-certificaten heeft uitgegeven. Het gaat om certificaten die van 30 september 2016 tot 5 maart 2019 zijn uitgegeven. Logius heeft deze TSP opgedragen de betreffende certificaten in te trekken. Volgens de overheidsdienst is er geen sprake van een beveiligingsrisico.

Alle foutief genummerde certificaten moeten worden vervangen door de verstrekkers. Om dit geordend, zonder uitval en met instemming van de internationale gemeenschap te doen, neemt Logius ruim de tijd. Over een periode van veertien maanden vindt de vervanging gefaseerd plaats.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid heeft recentelijk laten weten dat organisaties van wie het certificaat niet voldoet door hun certificaatautoriteit zullen worden benaderd.

U wordt verzocht om de communicatie over deze kwestie in de gaten te houden. Onlangs is gebleken dat KPN inmiddels een aantal PKI-O certificaten heeft ingetrokken waardoor het ABV bij enkele bronhouders is uitgevallen zodat zij daardoor abonnementsberichten hebben gemist.

Nadere informatie vindt u hier:
https://www.computable.nl/artikel/nieuws/security/6634023/250449/logius-vervangt-duizenden-pkioverheid-certificaten.html
https://www.security.nl/posting/601483/Logius+laat+mogelijk+duizenden+PKIoverheid-certificaten+intrekken

twitterlinkedinmail