Safari kan geen beveiligde verbinding krijgen met KPNVandaag

Hier gaat het wel goed (zie screenshot), kun je zien aan het certificaat waarom hij geen beveiligde verbinding kan opzetten?

verbinding is niet beveiligd

Hallo ​@Nouwt en ​@Vulpen ,

Ik heb sinds vandaag precies hetzelfde op mijn iMac met Safari. 

Alle cookies en de hele internetgeschiedenis verwijderd. 

Dit speelt alleen bij www.kpn.com. 

Niet bij :  community.kpn.com en apparatuurvoorthuis.kpn.com

Safari versie 16.6.1

Mac OS Big Sur 11.7.10

Op mijn iPhone kan ik www.kpn.com wel benaderen. 

Alle andere websites die ik probeer, leveren geen problemen op. 

​In veel (alle?) gevallen dat de melding van “geen beveiligde verbinding”  komt betekend dat dat het gebruikte certificaat door de server om een specifieke reden niet vertrouwd word door het systeem. Deze kan op veel manieren niet vertrouwd zijn de vraag is alleen… welke reden :)

via het menu “Safari → Connection security details → Show certificate” kun je zien welk certificaat er gebruikt word (en zo uit mijn hoofd ook staat er dan ook bij waarom het niet vertrouwd word.

Als je naar www.kpn.com gaat zou je het certificaat moeten krijgen die ik ook in mijn eerdere screenshot heb staan (onder details: SHA265 fingerprint 29 18 89 D4 83 D0 69 53 72 93 00 1F D0 5D B8 9B 5C AC 69 17 4F DB 97 76 65 5E 86 97 01 B1 3D D8) (welke wel vanaf 18 Augustus 2025 valide is) 

De community en de aparatuurvoorthuis hebben een certificaat die vanuit een andere Root CA komt, dus mijn educated guess is dat de root certificaten die voor www gebruikt zijn (“Sectigo Public Server Authentication Root R46” en of de “Sectigo Public Server Authentication CA DV R36” intermediate certificaat) zijn niet aanwezig op jullie macOS devices waardoor hij niet vertrouwd word. (dit kun je controleren in je keychain applicatie of de certificaten daar bestaan)

Mocht dat het geval zijn kun je kijken of er voor jou device een update beschikbaar is (aangezien deze publieke certificaten bij de meeste machines via de updates netjes binnen komen of een ander automatisch mechaniek van Windows/Linux/macOS/iOS/android). 

Mocht er geen update beschikbaar zijn (macOS 11 is al even geleden ;)) dan kun je altijd nog bij de uitgever van de certificaten (in dit geval Sectigo) de officiele root/intermediate certificaten ophalen en op je device installeren zodat de certificaten die door hun worden uitgegeven (in dit geval voor www.kpn.com) ook worden vertrouwd. (en ik vermoed dat zodra de andere certificaten aan vervanging toezijn hier dan ook geen last meer van hebben)

​@Vulpen 

Bedankt voor jouw reactie. Updates lukken al een aantal jaar niet meer. Mijn iMac is daarvoor te oud. 
 

Heb je voor ons een rechtstreekse link naar dat certificaat wat we kunnen downloaden? 
Ik heb ze denk ik uiteindelijk wel gevonden. 

Maar wat gebeurt er dan als je gaat downloaden? 

Moet ik er dan nog wat mee? 

Hoe installeer je zoiets? 

Wat een gedoe trouwens! Het kan toch niet waar zijn dat iedereen met Mac OS 11 ineens niet meer gebruik kan maken van de website www.kpn.com? 

​@Vulpen , 

Ook IPadOS versie 16.7.11 geeft de foutmelding op kpn.com:

“Safari kan de pagina niet openen omdat er geen veilige server verbinding mogelijk is”

iOS 16.7.11 and iPadOS 16.7.11

Released March 31, 2025

Niet heel oud als ik het zo zie….

Firefox geeft een vergelijkbare foutmelding:

“The certificate for this server is invalid. You might be connecting to a server that is pretending to be “www.kpn.com” which could put your confidential information at risk.”

Ik heb Mac OS 12.7.6.  Ik krijg ook geen updates meer.

Ik had al besloten binnenkort een nieuwe Mac te kopen.

Hopelijk is het probleem dan verholpen.

Ik vind het een rare actie van KPN. Dit probleem heb ik tot nu toe bij geen enkele andere website en zoals eerder vermeld is IOS 16.7.11 nog niet zo oud. Gaat KPN dit ook met Android 13 doen? Zou weliswaar consequent zijn maar ik denk dat er best een hoop mensen gaan klagen. Via MijnKPN wordt je bij diverse functies omgeleid naar kpn.com. Deze werken nu ook niet meer heb ik gezien.

Apple lijkt hier en daar toch een probleemkindje te zijn bij KPN zoals de problemen met de iPhones 11 en 12 die niet goed op internet werkten en ook bijv. de KPN TV+ app op de Apple TV die er niet is.

Dag ​@Noordzee , ik had hetzelfde destijds met safari in Mac OS 10.15 (Catalina) op een oude iMac eind 2012, certificaten updaten was een gebed zonder end.

Had dat opgelost door i.p.v. Safari de Firefox browser te installeren en gebruiken.

Dankje, maar ik lees ook: 

Firefox op iOS of iPadOS is slechts een schil om webkit (zoals ook Safari gebruikt), het is daar niet een op zich zelf staande browser zoals Firefox voor MacOS, zoals ik begrijp.

Ja, dat is voor jou dan de oplossing. En dat zou ik ook kunnen doen, maar het is idioot dat (alleen)  KPN zomaar even een grote groep klanten onaangekondigd in de kou zet. 

Ik zou het op prijs stellen als iemand van KPN hieronder een stap-voor-stap oplossing neerzet die voor iedereen te begrijpen is en uit te voeren is. 

En nee, ik ga geen Firefox installeren voor alleen de KPN-website. Safari werkt veel prettiger.

Dit heeft op zich niets met KPN te maken, er zijn bijv. ook  gemeentes die een Roemeense “Certificate Authority” hebben die in een oudere Safari problemen geeft. Ieder besturingssysteem of browser heeft lijst van vertrouwde “Certificate Authorities”, die  regelmatig geupdated moet worden. 

Voorbeeld uit Noord-Holland: 

Werkt niet op oude Iphone/Safari, ook niet in firefox/ios15.8.4

Als voor een oudere versie geen updates meer geleverd worden, staan de leveranciers graag klaar om de allernieuwste versie te verkopen, in geval van iPhone dus een nieuwe telefoon. dat is hoe het tegenwoordig werkt. En dan is Apple nog een van de betere wat betreft updates...

Even uitgaande van dat het daadwerkelijk het ontbreken van (1 van) de 2 certificaten betreft. Een certificaat kan namelijk meerdere redenen hebben om niet vertrouwd te zijn maar vanuit de reacties deed ik een educated guess. Onderstaande heeft alleen effect als je het ontbreken van de 2 certificaten gecontroleerd hebt en geconstateerd hebt dat je en van beide of allebei mist.

Eerst even een stukje techniek:

Een certificaat word aangevraagd voor een website bij een Certificaat leverancier. (bijvoorbeeld Sectigo maar dat kan natuurlijk ook een Verisign zijn en voor persoonlijke zaken kun je ook bij een LetsEncrypt terecht)

Deze bedrijven geven een “garantie” dat als je de website benaderd niet de website zelf hoeft te geloven dat hij zegt wie hij is maar dat het via het certificaat “bewezen” word.

om dit “bewijs” (certificaat) te controleren moeten er op een computer de publieke Root en Intermediate (redelijk standaard constructie) certificaat geinstalleerd zijn. 

Die publiek vertrouwde CA certificaten verlopen ook en of systemen bij de leveranciers wijzigen en dus kan het zijn dat als je bij een leverancier een certificaat aanvraagt je dus de publieke certificaten set A nodig hebt en bij de eerstvolgende vernieuwing de set b nodig hebt.

Daarom leveren de bekende leveranciers hun Publieke certificaten aan aan Microsoft/Apple/ux distributies en (grote) browser leveranciers, zodat die hem met updates mee kunnen nemen zodat machines die vollledig up to date zijn altijd voorzien zijn van de laatste valide certificaten (want verlopen en helemaal gecompromiteerde certificaten moeten ook opgeruimt worden natuurlijk).

Daarnaast zal een leverancier ook altijd zijn/haar publieke certificaten delen zodat je dat eventueel ook handmatig kan doen. 

Zoals je ziet zit in dat hele traject maar 1 keer een keuze voor de aanvrager (in dit geval KPN) en dat is bij welk bedrijf vraag ik mijn certificaat aan. Een aanvrager heeft meestal geen invloed op uit welke Root/Intermediate het certificaat geleverd word. 

De rest van het hele systeem is iets tussen de leverancier in dit geval Sectigo, de besturingssysteem of browser leverancier (nu even Apple) en de gebruiker van het device die de website benaderd.

En dan het huidige issue

Aangezien je gebruik maakt van Big Sur (macOS 11) betekend dat dat Apple deze al 2 jaar niet meer ondersteund en er geen actieve updates meer voor uitgeeft. Hierdoor vermoed ik dat je ook geen updates meer krijgt op je certificaten in je keychain waardoor je hier in de loop van de tijd steeds meer tegen aan zal gaan lopen. Daarnaast loop je nu de kans dat jou machine certificaten vertrouwd die eigenlijk helemaal niet meer te vertrouwen zijn vanwege het verlopen of erger nog vanwege het feit dat ze in handen zijn gekomen van malafide personen. (bijvoorbeeld in 2011 betrof het het Nederlandse DigiNotar die gehacked was)

Als je bij de website van in dit geval Sectigo de juiste certificaten hebt opgehaald is het op macOS relatief simpel om deze toe te voegen: https://support.apple.com/nl-nl/guide/keychain-access/kyca2431/11.0/mac/11.0 (eventueel kunnen anderen boven in de site nog wisselen van macOS versie omdat er wel in de loop van de versie dingen zijn gewijzigd)

Ten aanzien van iOS en iPadOS. Apple heeft dan wel nog een update uitgebracht voor iOS/iPadOS 16 maar dat betrof een security update voor een 3 tal specifieke issues. Apple ondersteund de laatste 2 major versies (op dit moment 18 en 17) en brengt zelfs voor de 2e (17) niet altijd alle updates die zouden kunnen. En in uitzonderlijke situaties brengen ze updates nog naar de oudere versies (zoals 16.7.11)

Ten aanzien van firefox: De meeste browsers maken gebruik van de certificaten opslag van het besturingsysteem en kijken daarin. Firefox had in het verleden altijd een eigen certificaten opslag en kon daardoor dus ook afwijken van alle andere browsers. Nu heeft ook firefox daarin zaken veranderd en gaat mijn kennis daarover alleen over de Windows variant dus daar duik ik verder niet te diep in.

Handmatig certificaten op je systeem installeren is iets wat "not don" is.

Want hiermee kan je ook valse certificaten installeren. Dan krijg je de situatie dat bijvoorbeeld een nep website van de Rabobank of ING bank als veilig gezien word door je browser. 

Dus maak hier geen gewoonte van!!!

Daar ben ik het volledig mee eens en is zeker een hele goede aanvulling.

In het geval van courante OSs’en is dat ook not done en is het goed om op de officiele updates van het betreffende OS te komen….

maar courant betekend over het algemeen n-2 en zelfs n-1 versies bij veel leveranciers (uitzonderingen daargelaten). Dus als de OS leverancier je niet voorziet van de laatste veilige certificaten zijn er niet heel veel keuzes die je als gebruiker kan doen.

• Accepteren dat je een melding hebt dat de site niet beveiligd is => dus niet meer te controleren of de website die je benaderd ook daadwerkelijk de juiste is, naast het feit dat browsers daar ook steeds moeilijker over gaan doen.
• Nieuw toestel/device kopen die wel updatebaar is. => Hier spelen een aantal keuzes in mee die men zelf moet maken. Duurzaamheid vs Veiligheid vs Financien
• Website niet meer gebruiken => Nu is het er 1, volgend jaar zullen het er meer zijn vanwege de verlooptijd van certificaten en het jaar daarop nog weer meer
• Klagen bij OS leverancier => gaat geen oplossing bieden want die zullen niet voor een enkele gebruiker een oud os in de lucht houden
• Handmatig certificaten toevoegen van vertrouwde Certificaat leveranciers. => Risico als je een verkeerd certificaat toevoegt dus alleen vanaf de officiele site van de Certificate Authority downloaden en geen “Packs” of andere mogelijk onveilige bronnen.

Aangezien ik geen Moderator en geen security officer van KPN ben heb ik daarom geen links naar de certificaten dan wel de bestanden zelf opgenomen. Maar aangezien mods wel meelezen kunnen die dit meenemen richting de verschillende afdelingen binnen KPN om te zien of voor deze situatie en mogelijk toekomstige situaties een mooie gebruiksvriendelijke oplossing kan komen. Hoewel OS’sen die niet meer door de leverancier ondersteund worden over het algemeen door niemand meer ondersteund zullen worden.

Dan word het wel voor de KPN sites opgelost, maar zul je nog steeds voor andere sites steeds vaker tegen dit issue aan gaan lopen 

Dankjewel ​@Vulpen !

De komende tijd ben ik niet thuis en daarom kan ik het nu niet uitvoeren. Maar ik ga het tzt zeker proberen. 

Hoi allen. Allereerst ​@Vulpen  bedankt voor alle nuttige informatie en de uitgebreide analyse.

Even een update van mijn kant:  Het problem met het safari certificaat is bij ons ontstaan. Dit is maandagavond opgelost.  We hebben tegelijkertijd het proces aangepast waardoor dit in de toekomst niet meer zou mogen gebeuren.  Als dat wel zo is willen we dat uiteraard graag weten.

​@Erwin van KPN , kpn.com is inderdaad weer bereikbaar met mijn IPad.  Heel fijn!

Ik kan het momenteel niet testen, maar dit is echt goed nieuws! 👍

Fijn ​@Erwin van KPN ,

De website kpn.com werkt inderdaad weer via Safari.