Intrekking Quo Vadis G4 CA

Intrekking Quo Vadis G4 CA

ZorgTTP maakt voor het beveiligen van het berichtenverkeer gebruik van digitale certificaten. Deze certificaten worden afgenomen bij een hiervoor gekwalificeerde leverancier; Quo Vadis Trustlink B.V.
Maandag 24 februari heeft Quo Vadis ons meegedeeld dat de “QuoVadis Issuing Certificate Authority (CA) G4” op 31 maart 2020 wordt ingetrokken. Er is bij audits gebleken dat deze niet meer aan de recente beveiligingseisen voldoet. Voor de duidelijkheid; er is geen sprake van een beveiligingsincident.

Update: De intrekkingsdatum is in verband met de COVID-19 crisis uitgesteld tot uiterlijk 29 april 2020.

Zie de technische toelichting onder dit bericht voor de technische details.

Impact

Een eerste inventarisatie heeft uitgewezen dat momenteel 134 certificaten actief zijn die zullen worden ingetrokken. Een beperkt deel van de certificaten die geraakt worden door het intrekken van de CA wordt gebruikt als zogenaamd route certificaat. Dit type certificaat wordt binnen onze verwerkingen gebruikt om berichten bestemd voor onze opdrachtgevers te versleutelen vanaf de verzendende organisatie en heeft daarmee een belangrijke rol in de pseudonimisatie ketens. Na het intrekken van de CA zal zonder verdere actie het aanleveren van gegevens onmogelijk worden voor routes die een Quo Vadis G4 certificaat gebruiken.

Acties

Wij stellen met spoed nieuwe versies van onze software met nieuwe certificaten beschikbaar en hebben de partijen die het betreft hierover gericht geïnformeerd. Wij proberen daarbij de overlast waar mogelijk te beperken door de aanpassing te combineren met reeds geplande updates.

De ervaring leert dat na het beschikbaar stellen van nieuwe softwareversies door ZorgTTP de tijd die nodig is voor installatie van de software in gebruikersomgevingen sterk uiteen kan lopen.

Voor met name grotere organisaties kan het weken tot maanden duren voordat de software aan gebruikers beschikbaar is gemaakt. Voor deze organisaties stellen we een work-around beschikbaar waarbij het certificaat handmatig kan worden vervangen in de bestaande installatie. Wij leveren hiervoor technische ondersteuning in de vorm van documentatie en beschikbaarheid van onze servicedesk voor begeleiding op afstand.

Tot slot

Wij hadden hier uiteraard eerder door Quo Vadis van op de hoogte gebracht willen worden en hebben onderzocht of uitstel mogelijk is. Dat is helaas niet het geval. Daarom moeten we noodgedwongen actie ondernemen. We doen ons uiterste best om de gebruikers optimaal te ondersteunen bij het installeren van de nieuwe software.

Onze welgemeende verontschuldigingen voor de ontstane situatie.

Technische toelichting:

De Quo Vadis G4 Issuing CA zal worden ingetrokken omdat deze technisch gezien in staat is om TLS certificaten aan te maken die gebruikt kunnen worden voor het beveiligen van browsers. In het toepassingsgebied voor de CA had deze optie uitgeschakeld moeten worden door QuoVadis. Grote browser leveranciers verenigd in het CA/Browser forum hebben besloten dat dit een onaanvaardbaar beveiligingsrisico is en daarom het intrekken afgedwongen.