SSL-fout Java.com slechts deels hersteld

Oracle heeft de beveiliging van zijn website Java.com gedeeltelijk weer op orde. Het SSL-certificaat voor die website is vernieuwd, maar blijkt niet goed dekkend.

Het certificaat voor beveiligde verbindingen met Java.com is afgelopen zaterdag verlopen. Java-eigenaar Oracle heeft niet op tijd een nieuw certificaat aangevraagd en gekregen, ontdekte een Nederlandse security-expert. Dinsdagnamiddag blijkt bezoek via https aan java.com nog altijd een waarschuwing op te leveren dat de beveiligde verbinding niet in orde is.

Site versus eigen subsites
Het door Oracle gebruikte SSL-certificaat (secure sockets layer) is nu wel geldig, tot 11 september 2013, maar toch slaan browsers als Internet Explorer, Chrome, Safari en Firefox alarm. De Mozilla-browser waarschuwt: "Java.com gebruikt een ongeldig beveiligingscertificaat", en de standaard Windows-browser meldt: "Het beveiligingscertificaat dat door deze website wordt gebruikt, is verleend aan een adres voor een andere website".

Het gebruikte certificaat is namelijk alleen geldig voor subsites van java.com (dus *.java.com) en niet voor direct java.com. Bezoek aan www.java.com via https levert gelijk een redirect op naar die site via regulier http. Het nieuwe certificaat is maandag 10 september aangemaakt, dus direct nadat afgelopen zaterdag het eerder gebruikte certificaat is verlopen.