Probleem bij GlobalSign leidt tot certificaatwaarschuwingen

      Reacties uitgeschakeld voor Probleem bij GlobalSign leidt tot certificaatwaarschuwingen

GlobalSign had donderdag problemen met het Online Certificate Status Protocol. Hierdoor toonden browsers onterecht waarschuwingen bij veel sites wereldwijd dat certificaten die zijn uitgegeven door GlobalSign ingetrokken zijn.

GlobalSign waarschuwde donderdagmiddag dat er problemen waren met het OCSP. Enkele uren later gaf de certificaatautoriteit aan dat de problemen verholpen waren, maar ook hierna werden veel certificaten van klanten van het bedrijf als revoked beschouwd.

Dat komt omdat besturingssystemen de Certificate Revocation Lists in de cache bewaren om met behulp van deze lijsten snel te kunnen verifiëren of certificaten ingetrokken zijn of niet. GlobalSign geeft naar aanleiding van de problemen uitleg hoe Windows- en macOS-gebruikers de cache van OCSP en CRL kunnen legen zodat nieuwe lijsten opgehaald worden.

Niet voor iedereen werkt het legen van de cache en bij de laatste update stelt GlobalSign nog aan een oplossing te werken. Dat certificaten van websites en webwinkels als ingetrokken gedetecteerd worden kan grote impact hebben op website en webwinkels. Browsers geven internetters waarschuwingen dat het certificaat ongeldig is en dat het onverstandig is de website te bezoeken.

GlobalSign is in 1996 in België opgericht en levert certificaten voor duizenden grote en kleinere sites wereldwijd.

Update, 19.30: GlobalSign heeft een update geplaatst. De oorzaak lag bij het intrekken van een cross-certificate die twee roots met elkaar verbond: sommige browser dachten dat de cross-signed root intermediates had ingetrokken, wat niet het geval was. Het probleem is opgelost en nieuwe opvragingen van de certificaten zouden zonder problemen moeten verlopen maar bij internetters die hun cache niet legen zullen de waarschuwingen pas na vier dagen verdwijnen. GlobalSign wil klanten een alternatief via een certificaatautoriteit van een andere root aanbieden.

Update 2, vrijdag 14.30: GlobalSign heeft een nieuwe update geplaatste met de mogelijkheid voor klanten om hun certificaat te vervangen door een alternatieve intermediate-certificaat. Op zijn site publiceert het bedrijf onder andere die alternatieven voor Alpha SSL, Domain SSL en Cloud SSL. Klanten met Extended SSL zouden geen actie hoeven ondernemen. Klanten hoeven met de vervanging geen nieuwe certificaten aan te vragen om de problemen op te lossen.

Bron: Tweakers.net