Apple, GoDaddy, Google en verschillende andere certificaatautoriteiten hebben een fout gemaakt bij de uitgifte van honderdduizenden certificaten, waarop ook Logius, de ict-organisatie van het ministerie van Binnenlandse Zaken, een onderzoek heeft aangekondigd.

De fout deed zich voor in de software die voor de uitgifte van certificaten wordt gebruikt. Uitgegeven certificaten, die websites gebruiken voor het opzetten van een beveiligde verbinding, horen over een 64-bit serienummer te beschikken. Deze entropie in het serienummer moet voorkomen dat zogeheten hash collisions zijn te gebruiken om certificaten te vervalsen.

ECJBA, een programma waarmee certificaatautoriteiten certificaten genereren, zorgde ervoor dat het serienummer in werkelijkheid 63-bit was. Dit lijkt een klein verschil, maar het verschil tussen 2^64 en 2^63 is meer dan 9 quintiljoen, legt beveiligingsonderzoeker Adam Caudill uit. In eerste instantie werd gedacht dat er meer dan 2 miljoen foutieve certificaten waren uitgegeven, maar dat aantal is inmiddels naar beneden bijgesteld.

Volgens GoDaddy zijn er van de foutieve certificaten die het heeft uitgegeven nog 12.000 in omloop, terwijl Apple het op 558.000 actieve certificaten houdt. Google denkt dat er sinds 2016 iets meer dan 100.000 certificaten met een 63-bit serienummer zijn uitgegeven. Apple en Google gebruiken de certificaten met name intern en voor partners.

De richtlijnen voor certificaatautoriteiten stellen dat foutieve certificaten na ontdekking binnen vijf dagen moeten worden ingetrokken. Google stelt dat de meeste certificaten inmiddels zijn ingetrokken en de resterende 400 certificaten later deze maand zullen verlopen of worden ingetrokken. GoDaddy is van plan om alle certificaten in kwestie binnen de komende 30 dagen opnieuw uit te geven. Apple zal naar aanleiding van het voorval ook verschillende maatregelen doorvoeren, zo laat het aan Ars Technica weten.

Logius, dat PKIoverheid-certificaten uitgeeft waar overheidsdiensten gebruik van maken, kwam vandaag met de volgende verklaring: “Vanuit de stelselverantwoordelijkheid van Logius als Policy Authority (PA) voor PKIoverheid is een onderzoek gestart naar de uitgifte van servercertificaten. Dit naar aanleiding van een discussie omtrent een verduidelijking van de interpretatie van een bepaalde eis, waarbij mogelijk niet wordt voldaan aan internationaal geldende eisen. Wij houden u op de hoogte.”