A NETLOCK Arany (Class Gold) gyökértanúsítvány megbízhatóságának várható megszűnése
2025 júniusában a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) közzétett egy jelentést, amelyben figyelmeztet arra, hogy 2025. augusztus 1-jétől a Google platformjai (Chrome, Android) nem tekintik megbízhatónak a NETLOCK Arany (Class Gold) Főtanúsítványt. Ez a döntés széleskörűen érinti a magyarországi köz- és magánszektor SSL/TLS tanúsítványait, amelyek erre a gyökértanúsítványra épülnek.
1. A gyökértanúsítvány adatai
· Név: NetLock Arany (Class Gold) Főtanúsítvány
· Kibocsátó: NetLock Kft.
· Érvényes: 2028.12.06.
· Sorozatszám: 80544274841616
· SHA2 GOLD jelöléssel szerepel a Netlock CA-hierarchiában
A tanúsítvány egy Root CA, amely alatt közbenső CA-k és végfelhasználói tanúsítványok találhatók. A Google döntése értelmében minden olyan tanúsítvány, amelyet ez a lánc ír alá 2025. július 31. után, megbízhatatlannak minősül.
2. A bizalomvesztés okai
A Google hivatalosan nem részletezte a bizalomvesztés konkrét okát, azonban a Mozilla által végzett vizsgálatok alapján az alábbi problémák vetődtek fel:
a) Lejárt tanúsítvány kiszolgálása tesztoldalon
A „valid.ev.tanusitvany.hu” oldalon 2025. április 5-étől egy lejárt EV TLS tanúsítvány futott.
Ez sértette a CA/Browser Forum Baseline követelményeit.
A tanúsítványt csak 2025. április 28-án cserélték, a monitoring hiányosságai miatt.
b) Közbenső tanúsítványok be nem jelentése
A NETLOCK 2024 májusában négy új közbenső CA-t adott ki, de nem jelentette be időben a CCADB-ben (Common CA Database).
A hiba oka: adminisztrációs tévedés, a keresztaláírt és nem keresztaláírt tanúsítványok felcserélése.
c) Heti jelentések elmaradása
A CCADB előírásai szerint nyitott incidensek esetén heti státuszjelentéseket kell küldeni.
A NETLOCK 2025-ben több alkalommal elmulasztotta ezt, ami a belső folyamatok bonyolultságára és képzési hiányosságokra vezethető vissza.
3. Érintettség
A vizsgálat szerint a megbízhatóság elvesztése elsősorban Magyarországot érinti:
· Tanúsítványok összesen: 1 581 db
· Ebből kormányzati (gov.hu): 166 db
· Nemzetközi tanúsítványok: 135 db
A NETLOCK gyakorlatilag hazai tanúsítványkiadóként működik, külföldi jelenléte marginális.
4. Várható következmények
A 2025. július 31. után kiadott tanúsítványokat a Chrome és Android platformok megbízhatatlannak fogják tekinteni.
A felhasználók figyelmeztetést kapnak, ami negatív felhasználói élményt és üzleti reputációs kárt okozhat.
A Google-höz hasonlóan az Apple már 2024. július 30-án visszavonta bizalmát a kérdéses CA-val szemben.
5. Ajánlott intézkedések
a) Tanúsítványcsere
A NETLOCK-tól származó tanúsítványokat, amelyek 2025. augusztus 1-je után járnak le, célszerű más, nemzetközileg elismert CA-ra cserélni.
Ez a legbiztonságosabb módja annak, hogy elkerülje a böngészői figyelmeztetéseket.
b) Belső hálózaton való használat
Ha a tanúsítványok csak belső használatra szolgálnak (pl. intranet, belső alkalmazások), lehetőség van helyi megbízhatóság beállítására.
A Chrome 127-es verziójától a root tanúsítvány manuálisan telepíthető a rendszer tanúsítványtárolójába (pl. Windows „Trusted Root Certification Authorities”).
6. Záró megjegyzés
A PKI rendszerek biztonsága a szigorú szabályozáson és megfelelésen alapul. Még kisebb adminisztratív hibák is a gyökértanúsítványok megbízhatóságának elvesztéséhez vezethetnek. Ez nem a rendszer hibája, hanem épp az egyik fő erénye – a magas szintű bizalom fenntartása érdekében.
Kapcsolat
További információkért vagy technikai segítségért forduljon az NBSZ-NKI-hoz:
Forrás:
Lépjen velünk kapcsolatba
https://alairom.hu/kapcsolat.html
