Door Benjamin W. Broersma, sinds juli 2018 developer in het team van Open State Foundation.
Met Pulse monitoren we van de stand van zaken rondom HTTPS in de publieke sector. In onze laatste update van augustus zagen we weinig verschuivingen. Echter gisteren kreeg ik een SSL error op zowel sidn.nl als beta.overheid.nl (SIDN heeft het certificaat enkele uren na het melden vervangen). Dit heeft te maken met wijzigingen in Chrome en Firefox welke de komende weken de SSL certificaten van Symantec niet meer gaan vertrouwen (waaronder ook de merknamen GeoTrust, RapidSSL en thawte). Dit besluit is reeds lang van tevoren aangekondigd en is tot op heden niet doorgebroken tot het reguliere nieuws, in tegenstelling tot bijv. het DigiNotar incident, ondanks dat het deze keer een veel grotere partij betreft.
De code
Naar aanleiding van deze SSL errors werd ik benieuwd hoeveel websites in de publieke sector nog een oud Symantec SSL certificaat gebruiken. Met behulp van de Pulse domeinnaam lijsten is het makkelijk een snelle (poor-man’s Pulse) scan uit te voeren:
curl -sSf 'https://pulse.openstate.eu/data/domains/https.csv' | csvjson | jq '.[].URL|select(.[0:8]=="https://")|.[8:]' -r | xargs -P 20 -I% bash -c 'echo|timeout 5 openssl s_client -connect "%" -servername "%" -port 443 2>/dev/null | grep -E "^issuer=.*/O=(GeoTrust|thawte|Symantec)"|sed "s/^/%\t/"' # benodigde packages: curl jq python3-csvkit openssl
Quick Scan resultaten
Hieronder de lijst met 100 domeinnamen waarvan het SSL certificaat nog moet worden vervangen, en komende week zullen de beta gebruikers van Chrome & Firefox browsers al tegenkomen dat deze sites niet meer bereikbaar zijn. De lijst is een momentopname van maandagmiddag 27 augustus 2018, het kan zijn dat inmiddels sites omgezet zijn naar een nieuw SSL certificaat. Zowel SSL Labs Server Test als Chrome Developer tools geven een melding over Symantec SSL certificaten, of test de website in Firefox nightly of Chrome canary.
Overheid
hetzorgverhaal.nl lintjes.nl rudnhn.nl www.ameland.nl www.bsgw.nl www.bsr.nl www.bunnik.nl www.capelleaandenijssel.nl www.heemskerk.nl www.ikdoemee.nl* www.kansspelautoriteit.nl www.landerd.nl* www.mijnnfi.nl www.portofamsterdam.com www.schiermonnikoog.nl* www.staatsbosbeheer.nl www.vechtstromen.nl
Zorg
advisium.sheerenloo.nl allerzorg.nl de-tandarts.net* dental-center.nl dietistenmetsmaak.nl dietisthilversum.nl empathon.nl huisartsenijsselmuiden.nl huisartspraktijkmozaiek.nl libranet.nl medischcentrumaj.nl natuurlijkbeter.com nl.boots.com psychopraktijkdronten.nl rijndam.nl spaarnegasthuis.nl www.amaris.nl www.bergmanclinics.nl www.burgenvanriel.nl www.davincikliniek.nl www.fysio-debleek.nl www.fysiotherapiehavenstraat.nl www.fysiotherapierijnmond.nl www.fysiotherapiewaldeck.nl www.herlaarhof.nl www.jeugdformaat.nl www.kinderfysiotherapie-emmen.nl www.noorderbrug.nl www.pkzkraamzorg.com www.pro-f.nl www.revant.nl www.sheerenloo.nl www.sintlucasandreasziekenhuis.nl www.spierziekten.nl www.tandinzicht.nl www.travelclinic.com www.vosonline.net www.vvaa.nl www.zorggroepreinalda.nl www.zuidzorg.nl www.zuwehofpoort.nl zeelandcare.com
Onderwijs
hotelschool.nl vanlodenstein.nl www.csdehoven.nl www.derooipannen.nl delinde.dse.nl kameleon.dse.nl www.dse.nl diamant.pcboapeldoorn.nl emma.pcboapeldoorn.nl gong.pcboapeldoorn.nl ichthus.pcboapeldoorn.nl kompas.pcboapeldoorn.nl kring.pcboapeldoorn.nl kws.pcboapeldoorn.nl ploeg.pcboapeldoorn.nl terebint.pcboapeldoorn.nl antoniusaxel.ogperspecto.nl bsclinge.ogperspecto.nl debrug.ogperspecto.nl degeule.ogperspecto.nl dekameleon.ogperspecto.nl dekreeke.ogperspecto.nl deschakel.ogperspecto.nl destatie.ogperspecto.nl dewereldboom.ogperspecto.nl heidepoort.ogperspecto.nl hetmozaiek.ogperspecto.nl inghelosenberghe.ogperspecto.nl irisschool.ogperspecto.nl laureyn.ogperspecto.nl marijkeschool.ogperspecto.nl meerpaal.ogperspecto.nl oostvogel.ogperspecto.nl opweg.ogperspecto.nl stjozef.ogperspecto.nl terdoest.ogperspecto.nl tgetij.ogperspecto.nl tgeuzennest.ogperspecto.nl tvogelnest.ogperspecto.nl twijn.ogperspecto.nl vlaswiek.ogperspecto.nl
* tussen de initiële scan en de controle van het commando hebben deze websites het certificaat reeds vervangen (4 van de 100)
Datum | Release |
2018-06-25 | Eerste Nightly Firefox 63 |
2018-08-14 | Eerste Canary Chrome 70 (dev-channel) |
2018-09-05 | Eerste Beta Firefox 63 |
2018-09-13 | Eerste Beta Chrome 70 |
2018-10-16 | Chrome 70 release |
2018-10-23 | Firefox 63 release |