Certificaten van Let’s Encrypt worden ingetrokken

De organisatie Let’s Encrypt laat weten een groot aantal uitgegeven certificaten te moeten intrekken vanwege een fout in de validatie van domeinnamen.

Het gaat hier alleen om certificaten van domeinen die gevalideerd zijn via de TLS-ALPN-01-methode*.

Het intrekken van deze certificaten zal op 28 januari 2022 om 17:00 uur Nederlandse tijd plaatsvinden. Het gevolg hiervan is dat domeinen die deze certificaten gebruiken niet meer vertrouwd zullen worden door bijvoorbeeld de webbrowsers Chrome, Safari, Edge en Firefox. Let’s Encrypt heeft gebruikers die deze certificaten gebruiken geïnformeerd via het e-mailadres dat is opgegeven tijdens de registratie bij Let’s Encrypt.

Wat is Let’s Encrypt?

Let's Encrypt is een certificaatautoriteit waar gratis certificaten kunnen worden aangevraagd voor een domein om de privacy en integriteit van bijvoorbeeld een website of webapplicatie te beschermen. Zo’n certificaat is noodzakelijk om een website of webapplicatie te kunnen versleutelen. Doordat Let’s Encrypt gratis is en breed ondersteund wordt, hebben deze certificaten de afgelopen jaren bijgedragen aan de grote toename van versleutelde websites.

Wat is het risico?

Als je voor je bedrijf gebruik maakt van webapplicaties met een Let’s Encrypt-certificaat die via “TLS-ALPN-01” domeinvalidatie is aangemaakt, dan zal dit certificaat niet meer vertrouwd worden na de intrekking. Je website, webapplicatie, CRM-pakket of webshop zal hierdoor niet meer toegankelijk zijn voor bezoekers.

Wat kan ik doen?

Een Let’s Encrypt-certificaat is maximaal 3 maanden geldig en het is daarom gebruikelijk dat deze (automatisch) binnen deze periode worden vernieuwd. Omdat Let’s Encrypt de getroffen certificaten op 28 januari 2022 17:00 uur intrekt, is het belangrijk om certificaten zo snel mogelijk te vernieuwen. De organisatie heeft een lijst opgesteld met certificaten die ingetrokken worden. Hier kun je nagaan of jouw webdomein hier tussen staat.

Let op

  • Weet je niet of je gebruik maakt van certificaten die zijn gevalideerd via de “TLS-ALPN-01”-methode? Doe dan navraag bij je webhost of IT-dienstverlener.
  • Let’s Encrypt stelt gebruikers van deze certificaten via e-mail op de hoogte. Wanneer je zelf niet de certificaten aanvraagt en dit laat verzorgen door een webhostingbedrijf of een IT-dienstverlener, dan is de kans aanwezig dat de e-mail van Let’s Encrypt jou niet (direct) bereikt.

* Wat is domeinvalidatie methode?

Om een certificaat voor een domeinnaam te mogen aanvragen, moet je kunnen aantonen dat dit domein van jouw organisatie is. Zo’n domeinvalidatie gebeurt vaak automatisch en kan in het geval van Let’s Encrypt plaatsvinden op 3 verschillende manieren. Namelijk HTTP-01, DNS-01 en TLS-ALPN-01. Afhankelijk van wensen of technische inrichting kan er een voorkeur zijn voor een methode.

Wanneer je zelf Let’s Encrypt aanvraagt, dan kun je zelf een keuze maken voor een methode. Staat jouw website of webapplicatie bij een andere partij zoals een webhosting bedrijf, dan ben je vaak afhankelijk van de methode die zij hiervoor intern hebben ingericht.

 

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.