Oracle heeft het certificaat dat beveiligde verbindingen met Java.com valideert, laten verlopen. Het SSL-certificaat (secure sockets layer) voor een https-connectie met de website is niet langer geldig, wat in diverse browsers waarschuwingen oplevert en (semi-)blokkades van bezoek aan die site voor de programmeertaal annex platformonafhankelijke platform.

Sinds zaterdag

Dat Java.com niet langer door een valide certificaat wordt ondersteund, is ontdekt door it-securitytester Marc Smeets. Hij maakte er zondag melding van op Twitter. Beveiligingsexpert Mikko Hypponen van antivirusleverancier F-Secure heeft ook het Twitter-account van Oracle gewaarschuwd, maar daar vandaan is geen (openlijke) reactie gekomen.

De geldigheid van Oracle's VeriSign-certificaat is zaterdagavond Amerikaanse tijd (Pacific Time) verlopen. Zondagavond (Nederlandse tijd) bleek de situatie nog ongewijzigd. Het laten verlopen van certificaten is een klassieke beveiligingsfout.

De waarschuwing voor browsergebruikers plus de details over het verlopen SSL-certificaat voor Java.com: Klik voor groot

Beveiligingswantoestand

Het downloaden van Java kan nog wel gewoon, zonder browserwaarschuwingen over het verlopen SSL-certificaat. De timing van deze nieuwste Oracle-fout met betrekking tot Java is echter nogal ongelukkig. De softwarereus kampt met kritieke beveiligingsgaten in Java, waarvan het al maanden op de hoogte blijkt te zijn, en waarvan enkele kwetsbaarheden al actief misbruikt worden - ook in Nederland - door malware, én de met spoed uitgebrachte patch blijkt zelf weer een nieuw gat te bevatten.