Velen van jullie ontvangen deze dagen een mail met als subject “ACTION REQUIRED: You must replace your certificate(s) before July 11”.

Er is naar aanleiding van een audit een probleem bij Digicert waardoor EV certificaten worden ingetrokken. Zie https://knowledge.digicert.com/alerts/DigiCert-ICA-Replacement

Omdat EV certificaten uitgegeven door intermediate "TERENA SSL High Assurance CA 3" (https://crt.sh/?id=5797998) hier onder vallen is er een probleem ontstaan.

Advies is om de getroffen certificaten te vervangen door OV certificaten uitgegeven door Sectigo.

Voor grote aantallen is dit te automatiseren (zie hieronder).

Zie ook de Frequently Asked Questions omtrent ingetrokken Digicert EV Certificaten.

Automatiseren

Via de APIs van Digicert en Sectigo is het opnieuw aanvragen van certificaten te automatiseren. Hieronder een stappenplan

De repo bevat een script om een certificaat bij Sectigo aan te vragen op basis van de CSR die oorspronkelijk naar Digicert is gestuurd.

Maak de volgende aanpassingen in de files uit te repo:

Vraag het certificaat aan voor Digicert order# 12345 en requester jdoe@example.edu met:

./replace.sh 12345 jdoe@example.edu

Opmerkingen

Alternatief: reissue door Digicert

GEANT laat 9 juli weten: