Bepaalde verouderde Symantec SSL-certificaten worden binnenkort niet meer ondersteund door webbrowsers. Zo stopt Google Chrome vanaf versie 70, welke dinsdag 16 oktober uitkomt, met deze ondersteuning. Firefox volgt binnenkort met eenzelfde update. Open State Foundation heeft zowel publieke als private websites doorgelicht om te bekijken hoeveel websites deze oude certificaten nog gebruiken. Uit een scan van 16.085 Nederlandse websites die gebruik maken van Symantec SSL-certificaten, blijkt dat 3.106 websites nog verouderde certificaten gebruiken. Daarmee zal 19 procent van deze websites vanaf 16 oktober niet meer standaard toegankelijk zijn met Google Chrome.
Het bezoeken van websites met deze verouderde certificaten zal resulteren in een automatische foutmelding van de browser. De bezoeker wordt gewaarschuwd dat de verbinding onveilig is en krijgt het advies om de website te sluiten. De website is hiermee dus nog wel toegankelijk, maar pas na het wegklikken van deze waarschuwing. Zowel Google Chrome als Mozilla Firefox zouden deze verouderde certificaten deze week niet meer ondersteunen. Maar vanwege het aantal websites dat de oude certificaten nog gebruikte, heeft Firefox dit al uitgesteld. Uit de scan van Open State blijkt dat de omvang inderdaad groot is, wanneer een op de vijf websites vanaf 16 oktober een waarschuwing zal tonen.
Bijna 1 procent websites publieke sector nog geen update
Ieder kwartaal scant Open State Foundation met Pulse de hoeveelheid publieke organisaties (overheden, zorg- en onderwijsinstellingen) die hun website beveiligen met HTTPS. Een nieuwe scan van 20.996 websites die SSL gebruiken toont aan dat 189 van deze publieke websites nog gebruik maken van de de verouderde Symantec SSL-certificaten. Dit is bijna een procent van het aantal. Een aantal voorbeelden zijn www.heemskerk.nl, https://zutphen.nl, https://allerzorg.nl, https://www.vechtstromen.nl/, https://www.ziekmelden.nl/, https://www.amaris.nl en https://www.bsgw.nl.
Certificate Transparency Log scan
Uit een andere scan van 16.085 websites vanuit de Certificate Transparency Log, waarin alle uitgegeven Symantec-certificaten zitten, blijkt dat 3.106 websites nog de verouderde certificaten gebruiken. Hier gaat het om 19.3 procent van de websites. Het gaat in dit geval om bijv. https://www.ekoplaza.nl, https://www.emte.nl, https://loi.nl en anpfoto.nl. Het is opvallend dat zoveel websites nog niet geüpdatet zijn ondanks de tijdige aankondiging van Firefox en Chrome. Bij de publieke sector lijkt het echter een stuk beter te gaan met het updaten van de websites.
Volledig overzicht van de scan
Benieuwd welke websites de oude certificaten nog gebruiken? Bekijk hier de volledige dataset en hier de gevisualiseerde lijst met websites.
Disclaimer: De scan is door ons uitgevoerd op maandag 15 oktober en geeft die stand van zaken weer. Inmiddels kunnen websites de certificaten dus aangepast hebben. Verder gaat het specifiek om de hierboven genoemde URL’s met of zonder ‘www’ ervoor.
