De ict-afdeling van het ministerie van Binnenlandse Zaken, Logius, laat meerdere PKIoverheid-certificaten intrekken omdat ze niet aan de vastgestelde eisen voldoen. Overheidsdiensten gebruiken PKIoverheid-certificaten voor verschillende zaken, zoals versleutelde verbindingen voor websites, authenticatie op afstand, elektronische handtekeningen en versleuteling van elektronische berichten.

Onlangs werd bekend dat certificaatautoriteiten een fout hebben gemaakt bij het genereren van certificaten. De standaarden voor certificaten verplichten dat die over een 64-bit serienummer moeten beschikken. Een probleem met de uitgiftesoftware EJBCA zorgt ervoor dat er certificaten met 63-bit serienummers zijn uitgegeven. Het gaat onder andere om certificaten die door Apple, GoDaddy en Google zijn uitgegeven.

Logius meldt dat het probleem ook speelt bij één van de Trust Service Providers (TSP) die PKIoverheid-certificaten heeft uitgegeven. Het gaat om certificaten die van 30 september 2016 tot 5 maart 2019 zijn uitgegeven. Logius heeft deze TSP opgedragen de betreffende certificaten in te trekken. Volgens de overheidsdienst is er geen sprake van een beveiligingsrisico.

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid roept organisaties op om certificaten die niet voldoen aan de uitgifte-eisen te controleren en indien nodig te vervangen. Hiervoor moeten organisaties contact opnemen met hun certificaatautoriteit. “Als deze certificaten niet tijdig worden vervangen, dan kan er een beschikbaarheidsprobleem ontstaan omdat deze certificaten binnenkort niet meer worden geaccepteerd door bijvoorbeeld webbrowsers”, zo waarschuwt het NCSC.