Grote terugroepactie voor EV-certificaten Sectigo

Sectigo (voorheen bekend als Comodo) is een van de grootste leveranciers van certificaten. Dergelijke certificaten worden gebruikt om internetverkeer naar websites en mailservers te coderen. Sectigo roept nu bijna 6000 certificaten terug, allemaal uitgegeven aan Nederlandse bedrijven. De terugroepactie werd woensdag aangekondigd. Betrokken klanten hebben minder dan een week om een ​​nieuw certificaat te installeren. Op 28 januari worden de oude certificaten ingetrokken en websites waarop het certificaat niet is vervangen, zullen niet langer laden.

Alle klanten van bNamed wiens certificaat werd teruggeroepen zijn door ons gecontacteerd. We volgen ze nauwlettend op om ervoor te zorgen dat de installatie binnen de deadline is voltooid.

De terugroepactie is alleen van kracht voor Extended Validation (EV) -certificaten en wordt veroorzaakt door een feitelijk zeer kleine fout in de oorspronkelijke certificaten. Sectigo omvatte de provincie van de certificaathouder als “rechtsgebied”. In veel landen zou dit juist zijn, maar volgens de Nederlandse wetgeving wordt Nederland gezien als één groot rechtsgebied voor bedrijven. In theorie had het rechtsgebied dus gewoon “Nederland” moeten zijn.

Sectigo kwam zelf achter de fout en is spontaan begonnen met deze terugroepactie. Dat zo’n kleine fout zo’n grote terugroepactie met een korte deadline kan veroorzaken, lijkt misschien vreemd. Maar de hele certificaatbusiness loopt op de toppen van zijn tenen sinds Symantec ongeveer 2 jaar geleden de duimschroeven werd aangedraaid. Symantec werd oorspronkelijk beschouwd als “te groot om te mislukken”, maar nadat een aantal fouten niet snel waren opgelost, werden ze niet langer als betrouwbaar gezien door de belangrijkste browserverkopers en werden ze zelfs gedwongen hun certificaatbedrijf volledig te verkopen.