Update 5/11/2020:
Link naar de tool om de certificaten te verwijderen uit de Windows Certificate Store: Cert Clean Tool (rechter muisklik: openen in nieuw tabblad).
Link naar de tool om de certificaten te verwijderen uit de Windows Certificate Store: Cert Clean Tool MSI (rechter muisklik: openen in nieuw tabblad).
Script uit te voeren op MacOS:
#!/bin/bash ## Remove all root signed Belgian root CA's from the keychains, using the default search list security delete-certificate -Z CFFA9C01EC59C29E718D0DD0EF5479F09B51C95780AFB7BD69D3C8054AFE4D28 security delete-certificate -Z F75A4D49A52B043FC7324B8F263AC8A9B7BD22A328868588BDFC937D3C396EB6 security delete-certificate -Z 8460CCAEA91B0E805AB51C7CD46DDF2E8C1C494806D88B1FE2ED313D1D487E2E echo "certclean script completed"
3/11/2020:
Door een wijziging in het beleid van de belangrijkste browsers (CA/B-forum) zullen de Belgium Root CA 2, 3 en 4 niet meer automatisch vertrouwd worden door de browser. Wij hebben tijd gekregen tot 6 november 16u om mitigerende maatregelen te nemen.
We wensen te benadrukken dat deze certificaten geen deel uitmaken van de certificatenketting op de eID.
Alhoewel de wijziging in principe geen impact heeft op gebruik van eID, zijn neveneffecten mogelijk afhankelijk van de configuratie van de eindgebruiker en het gedrag van de webbrowser.
Om eventuele neveneffecten te vermijden dienen de volgende certificaten verwijderd te worden uit de “certificate stores” van het besturingssysteem waarmee de gebruiker werkt (Windows en Mac) en de Firefox browser (die in zijn eigen “certificate store” voorziet):
https://crt.sh/?id=6665598 Belgium Root CA4 -> Cybertrust Global Root, serial #: 04:00:00:00:00:01:41:a1:e1:3d:26
https://crt.sh/?id=4275055 Belgium Root CA3 -> Cybertrust Global Root, serial #: 04:00:00:00:00:01:41:a1:e1:39:3e
https://crt.sh/?id=2999247 Belgium Root CA2 -> Cybertrust Global Root, serial #: 04:00:00:00:00:01:41:a1:e1:34:ba
Het volstaat om vanaf 5 november de laatste versie van de eID Middleware te installeren en daarna opnieuw aan te melden.
Het manueel verwijderen van bovenstaande certificaten lost het probleem ook op. Indien je Firefox gebruikt, dient dit na het installeren van de meest recente versie van de Middleware ook manueel te gebeuren in de certificate store van Firefox.
Voor bedrijven is het mogelijk dat deze nieuwe versie van de Middelware door de ICT-afdeling dient gedistribueerd te worden.
Indien U een toepassing heeft met eID authenticatie die niet via de FAS (Federal Authentication Service) verloopt, vragen we u uw toepassing te controleren en desgevallend corrigerende maatregelen te treffen.
Momenteel werken wij aan tools voor de automatische verwijdering van deze certificaten uit de certificate stores en brengen U op de hoogte wanneer deze hier gepubliceerd zijn.