Ruim drieduizend Nederlandse websites maken gebruik van verouderde Symantic SSL-certificaten en zijn vanaf vandaag niet meer bereikbaar via Google Chrome. Mozilla Firefox volgt binnenkort met een update waardoor ook deze browser de betreffende sites niet meer laat zien zonder beveiligingswaarschuwing. De sites blijven wel toegankelijk, maar pas na het wegklikken van een waarschuwing.
Dit blijkt uit onderzoek van de Open State Foundation. Deze organisatie heeft zowel publieke als private websites doorgelicht om te bekijken hoeveel websites deze oude certificaten nog gebruiken. Uit een scan van 16.085 Nederlandse private websites die gebruikmaken van Symantec SSL-certificaten, blijkt dat 3.106 websites nog verouderde certificaten gebruiken. Daarmee zal 19 procent van deze websites vanaf vandaag, 16 oktober 2018, niet meer standaard toegankelijk zijn met Google Chrome. Het gaat hierbij onder andere om sites van de supermarkten Ekoplaza en Emté en onderwijsinstelling LOI.
Bij publieke sites gaat het om één procent, namelijk 189 van de 20.996 gescande websites. Websites van de gemeente Heemskerk, Zutphen en waterschap Vechtstromen zijn bijvoorbeeld nog voorzien van verouderde veiligheidscitaten. De organisatie zegt hierover: ‘Het is opvallend dat zoveel websites nog niet geüpdatet zijn ondanks de tijdige aankondiging van Firefox en Chrome. Bij de publieke sector lijkt het echter een stuk beter te gaan met het updaten van de websites.’
Symantec vs. Google
De betreffende websites gebruiken certificaten van het beveiligingsbedrijf Symantec, dat door Google vorig jaar op de vingers werd getikt omdat het zijn zaken niet op orde zou hebben. Daarop besloot Google om het vertrouwen in het bedrijf op te zeggen en de certificaten van het bedrijf ongeldig te verklaren.
Vanaf release 66 van zijn browser Chrome weigert Google SSL/TLS-certificaten van Symantec die voor 1 juni 2016 zijn uitgegeven. Als surfers op een site terechtkomen met zo’n certificaat, krijgen ze de melding dat de leverancier ervan niet meer vertrouwd wordt. Vandaag is Chrome 70 gelanceerd, waarbij Google ook nieuwere certificaten op de zwarte lijst heeft gezet.
Met SSL-certificaten kan een beveiligde verbinding gemaakt worden met websites. Ze bevatten een code waarmee die connectie wordt versleuteld. Om te garanderen dat de sleutel correct is, moet het certificaat door een zogenaamd ‘root-certificaat’ getekend worden. Daarvoor kan Symantec zorgen. Het is dus dit root-certificaat dat Google niet langer vertrouwt.
Google en Symantec leven al een tijdje op gespannen voet omdat Symantec het niet zo nauw zou nemen met de regels rond veiligheidscertificaten. Zo heeft het bedrijf in 2016 zowat 2600 certificaten uitgegeven voor websitedomeinen zonder dat de eigenaren dat wisten. Eentje daarvan is Google.com. Geëncrypteerde verbindingen met zulke sites lijken veilig, maar kunnen toch gecompromitteerd zijn door partijen die valselijk afgegeven certificaten in handen hebben.
Er is nog meer slecht nieuws voor Symantec. Afgelopen zomer werd namelijk bekend dat het bedrijf 8 procent van het wereldwijde personeel ontslaat. De omzet staat onder druk en daarnaast speelt een onderzoek naar dubieuze boekhoudpraktijken.
