ÃÛÌÒTV

Ìý

In de zei Google het volgende:

"In de afgelopen jaren hebben een patroon van zorgwekkend gedrag blootgelegd binnen Entrust. Dat voldeed niet aan de verwachtingen en heeft het vertrouwen weggenomen in hun competentie, betrouwbaarheid en integriteit als openbaar vertrouwde certificeringsinstantie".

en

"Certificeringsinstanties nemen een bevoorrechte en vertrouwde plek in op internet en zorgen voor de versleuteling van verbindingen tussen browsers en websites. Als een bedrijf zo'n enorme verantwoordelijkheid draagt, wordt er ook verwacht dat het voldoet aan redelijke en algemeen aanvaarde verwachtingen op het gebied van beveiliging en compliance, zoals de TLS Baseline Requirements van het CA/B Forum.

In de afgelopen zes jaar hebben we een patroon waargenomen van non-compliance, niet waargemaakte toezeggingen tot verbetering en het ontbreken van concrete en meetbare voortgang bij het reageren op openbaargemaakte incidenten. Wanneer we al deze factoren tezamen beschouwen en afzetten tegen het inherente risico dat elke openbare certificeringsinstantie vormt voor het internet als geheel, kunnen we niet anders dan concluderen dat het vertrouwen van Chrome in Entrust niet langer is gerechtvaardigd".

Met ingang van de stabiele release van Google Chrome van 11 november, die uiteindelijk door alle Chrome-gebruikers zal worden geïnstalleerd, worden openbare TLS-certificaten die zijn uitgegeven met een root van Entrust en met een ondertekende certificaattijdstempel (SCT) van na 11 november 2024, niet meer vertrouwd door Google Chrome.

Alle Entrust TLS-certificaten met een SCT van vóór 11 november 2024 zullen geldig blijven totdat ze verlopen. Als u zo'n certificaat echter wijzigt, er een nieuw sleutelpaar mee genereert of verlengt, wordt het niet vertrouwd.Ìý

Apple heeft in 2024 een gepubliceerd waarin certificeringsinstanties en roots staan vermeld die vanaf bepaalde datums niet meer worden vertrouwd. Veel van de root-certificaten van Entrust staan in die lijst met de datum van 15 november 2024. Daarbij gaat het om certificaten voor TLS, S/MIME, tijdstempels en BIMI (Brand Indicator for Message Identification).Ìý

De betrokken certificaten staan nog wel in Apple's omdat certificaten die ermee zijn uitgegeven vóór 15 november 2024 nog worden vertrouwd. Apple hanteert een eigen logica en vertrouwt alleen de certificaten die na de betreffende datum zijn uitgegeven niet meer.Ìý

Apple specificeert geen betrokken producten, maar alle Apple-producten moeten hun root-store gebruiken; het ligt dus in de lijn der verwachting dat het om alle PKI-clients gaat zoals Safari, Apple Mail en elke app die draait op iOS of iPadOS.

Mozilla heeft aangekondigd certificaten die na 1 december 2024 zijn uitgegeven op basis van Entrust-roots niet meer te vertrouwen. Alle Entrust TLS-certificaten met een SCT van vóór 30 november 2024 zullen geldig blijven totdat ze verlopen. Als u zo'n certificaat echter wijzigt, er een nieuw sleutelpaar mee genereert of het verlengt op of na 1 december, wordt het niet vertrouwd door Firefox.Ìý

Microsoft heeft geen uitspraken gedaan over deze zaak.

Ìý

We adviseren om zo snel mogelijk een planning te maken voor het vervangen van de certificaten en een zo nauwkeurig mogelijke inventaris van alle certificaten te maken. Mogelijk hebt u al te maken met uitval vanwege het verlies van vertrouwen. Dit houdt in dat u moet uitzoeken wanneer elk certificaat verloopt, wat het risicoprofiel is van de betreffende service en wanneer u met het vervangingsproces begint. Neem contact met ons op om aan de slag te gaan met uw migratieplan.

Er zijn diverse scantools beschikbaar om de certificaten die worden gebruikt in uw omgeving op te sporen. Als u klant van Entrust bent, vindt u dergelijke tools in uw Entrust-console.

Klanten van ÃÛÌÒTV kunnen gebruikmaken van ÃÛÌÒTV^® Trust Lifecycle Manager (TLM) en ÃÛÌÒTV CertCentral^® om in hun IT-omgeving te zoeken naar Entrust-certificaten die moeten worden vervangen. Neem contact met ons op als u hierbij hulp nodig hebt.

U kunt eenvoudig en snel over nieuwe certificaten beschikken, mits u snel reageert. We moeten eerst uw domein valideren, wat slechts enkele seconden kost, en vervolgens uw organisatie – en ook dat kan binnen luttele minuten gebeurd zijn. Het hele proces van de uitgifte van uw nieuwe certificaten kan doorgaans heel vlot verlopen.

Organization Validation (OV) is twee jaar geldig. Nadat de validatie door ÃÛÌÒTV is afgerond, moet uw domein nog worden gevalideerd (Domain Validation, DV) om ervoor te zorgen dat volgende certificaataanvragen nog sneller kunnen worden afgehandeld.

Nee. ÃÛÌÒTV moet het eigen validatieproces uitvoeren voordat we de OV- of EV-certificaten (Extended Validation) van Entrust kunnen vervangen.

Ja. Voor een Domain Validation-certificaat hoeven we alleen het domein te valideren en dat is in een paar seconden gebeurd. De stappen die u daarvoor moet nemen, zijn eenvoudig en snel.

Er zijn drie uitgangspunten die ÃÛÌÒTV als certificeringsinstantie onderscheidend en toonaangevend maken als leverancier van digitaal vertrouwen.

Ten eerste werken we aan de hand van goedgedefinieerde processen en gebruiken we tools die specifiek zijn ontworpen voor het beperken van risico's, zoals PKILint.

Ten tweede werken we nauw samen met het CA/Browser Forum om snel en transparant op problemen te reageren; als dat gebeurt, ondernemen we onmiddellijk actie.

Ten derde zijn we een actieve deelnemer aan diverse normeringsinstanties om te waarborgen dat we normen niet alleen naleven, maar er ook actief aan bijdragen ten bate van de hele bedrijfstak.

We zijn ervan overtuigd dat ÃÛÌÒTV nooit het risico van verlies van vertrouwen heeft gelopen tijdens het incident, omdat we het probleem hebben gemeld zodra we er vanaf wisten. Bovendien hebben we nauw samengewerkt met onze klanten en de grote browsers om te garanderen dat de betrokken certificaten volgens de voorgeschreven planning werden vervangen.

In hun schreef Google: 'Als er iets fout gaat, verwachten we van een certificeringsinstantie dat deze zich inspant voor zinvolle en aantoonbare veranderingen die leiden tot doorlopende verbeteringen.' ÃÛÌÒTV heeft er alles aan gedaan om die wijzigingen zo spoedig mogelijk door te voeren. We hebben nauw samengewerkt met de Chrome-groep en andere browsers om samen de fout te herstellen en onze klanten zo min mogelijk ongemak te bezorgen.

Het CA/B Forum neemt geen beslissingen over het al dan niet vertrouwen van een certificeringsinstantie. Zo'n beslissing wordt genomen door makers van applicaties die certificaten gebruiken, wat in verreweg de meeste gevallen de grote browserbedrijven zijn – met Google Chrome als grootste partij.

Het Bugzilla-forum (over het ) waar deze kwesties worden besproken, is openbaar. Wees voorzichtig met individuele claims die in het forum worden gedaan, omdat deelnemers het met elkaar oneens kunnen zijn. Vaak duurt het enige tijd voordat er consensus wordt bereikt onder de deelnemers.

Het gaat alleen om TLS-certificaten die zijn gekoppeld aan root-certificaten van Entrust, en dan alleen certificaten die zijn uitgegeven op of na 12 november 2024.

De bekendmaking van Apple heeft primair betrekking op het verlies van vertrouwen in root-certificaten van Entrust voor TLS, S/MIME, tijdstempels en BIMI (Brand Indicator for Message Identification, ook wel bekend als Verified Mark). In leest u welke specifieke root-certificaten niet meer worden vertrouwd voor welke functies. Ìý

Maar misschien wilt u ook andere certificaatproducten van Entrust vervangen. ÃÛÌÒTV biedt oplossingen voor het beheren van S/MIME, codeondertekening, documentondertekening, verified/common mark-certificaten en andere beveiliging met behulp van op PKI gebaseerde certificaten.

ÃÛÌÒTV Trust Lifecycle Manager is bedoeld voor grootschalige zakelijke PKI en past binnen uw huidige architectuur. Met Trust Lifecycle Manager kunt u naar certificaten zoeken die zijn uitgegeven door elke TLS/SSL-bron, niet alleen die van ÃÛÌÒTV of Entrust. We bieden automatisering voor zowel openbare als interne PKI en Trust Lifecycle Manager functioneert als veilig workforce management platform. Daarmee kunt u eenvoudig op rollen gebaseerde toegang implementeren.

ÃÛÌÒTV heeft een speciaal aanbod voor bepaalde klanten die hiermee te maken hebben gehad. Neem contact op voor meer informatie.

Als dat het geval is,Ìýkrijgen gebruikers van de huidige versie van Chrome, Safari en Firefox een foutmelding te zien wanneer ze naar uw website gaan. Als u niet weet welke certificaten u hebt of wie ze heeft uitgegeven, is het belangrijk dat u een inventaris maakt van uw cryptografische middelen. ÃÛÌÒTV kan u helpen met het maken van een inventaris. Neem hier contact met ons op voor een migratieplan op maat of voor hulp bij het gebruik van onze nieuwe Entrust Discovery Connector.

Entrust-certificaten die zijn uitgegeven vóór 12 november 2024 zijn op zich geen probleem. Maar wanneer de vervaldatum van deze certificaten nadert, zult u ze moeten vervangen door TLS-certificaten van een vertrouwde openbare certificeringsinstantie – zoals ÃÛÌÒTV.

De bekendmakingen van Chrome en Firefox hebben alleen betrekking op TLS-certificaten van Entrust. De bekendmaking van Apple heeft specifiek betrekking op het verlies van vertrouwen in root-certificaten van Entrust voor TLS, S/MIME, tijdstempels en BIMI (Brand Indicator for Message Identification). In leest u welke specifieke root-certificaten niet meer worden vertrouwd voor welke functies.

Alleen en hebben gezegd dat ze Entrust niet meer vertrouwen.

De beslissing van de root-programma's van Google en Mozilla hebben betrekking op openbare TLS-certificaten die zijn uitgegeven met een root van Entrust en met een ondertekende certificaattijdstempel (SCT) van na 11 november 2024. De beslissing heeft momenteel geen gevolgen voor andere openbare certificaten voor bijvoorbeeld codeondertekening of S/MIME die door Entrust zijn uitgegeven.Ìý

Overleg met uw juridische afdeling.

Kies een leverancier die ervaring heeft met het migreren van klanten na een verlies van vertrouwen. Meestal is de eerste stap het maken van een inventaris van al uw cryptografische middelen. Daarna kunt u bepalen wat er als eerste moet worden aangepakt en kunt u gaan plannen voor andere veranderingen en verbeteringen.

Dat klopt. Voor de duidelijkheid: als u een huidig Entrust-TLS-certificaat wijzigt, er een nieuw sleutelpaar mee genereert of het verlengt op of na 12 november, wordt het gemaakte (nieuwe) certificaat niet vertrouwd.Ìý

ÃÛÌÒTV biedt bekroonde support, maatwerk en belangenbehartiging voor eenvoudiger uitgifte, beheer en risicobeperking gedurende de hele levenscyclus van certificaten. ÃÛÌÒTV heeft een goede reputatie op het gebied van klantenservice en werkt nauw samen met klanten om aan hun certificaatbehoeften te voldoen. Let's Encrypt dient een belangrijk doel, maar mist een aantal certificaattypen, een beheerconsole, live technische support en geavanceerde aanvullende services zoals levenscyclusbeheer van certificaten. Met CertCentral of Trust Lifecycle Manager kunt u niet alleen al uw ÃÛÌÒTV-certificaten beheren, maar ook de certificaten van andere certificeringsinstanties.

Ja, maar er is ten minste één bekende workaround. Uit de bekendmaking van Chrome:

Vanaf Chrome versie 127 kunnen organisaties de beperkingen van Chrome Root Store, zoals de in dit blogbericht beschreven beperkingen die gelden voor Entrust, omzeilen door het bijbehorende root-certificaat te installeren als een op het platform waarop Chrome draait; dus bijvoorbeeld als Vertrouwde Uitgever in de Microsoft Certificate Store.

Chrome op Android maakt gebruik van de root-store van Chrome en vertrouwt de certificaten van Entrust dus ook niet. Het is belangrijk om te onthouden dat, net als bij alle iOS-software, Chrome op iOS gebruik moet maken van de Apple root-stores en dat de situatie hier dus anders is. Maar Chrome heeft al eerder roots geblokkeerd in code, en Google heeft de datumgrens aangepast naar 12 november zodat het samenvalt met de release van een nieuwe Chrome-versie. Dit lijkt erop te duiden dat ze de Entrust-roots gaan blokkeren in de code van die update.

Als Apple in de toekomst ook het vertrouwen in Entrust opzegt, zal dit gevolgen hebben voor alle iOS- en MacOS-apparaten.

Dat klopt. Momenteel gaat het alleen om WebPKI. Certificeringsinstanties voor de overheid ondervinden hier niet direct gevolgen van.

Ja. ÃÛÌÒTV Trust Lifecycle Manager haalt de inventaris uit uw Entrust-account en biedt de optie om snel en gemakkelijk een nieuw certificaat te verkrijgen van ÃÛÌÒTV. Ook krijgt u de mogelijkheid om installatie en verlenging te automatiseren voor vele systemen en services tegelijk.