DigiCert hat bekannt gegeben (http://www.digicert.com/support/certificate-revocation-incident), dass sie bestimmte Zertifikate widerrufen werden, die ohne ordnungsgemäße Domain Control Validation ausgestellt wurden. Wenn Sie von diesem Problem betroffen sind, hat Ihnen DigiCert eine Benachrichtigung an Ihre Kontakt-E-Mail-Adresse gesendet. Sie sehen ein CNAME-Widerrufsbanner, wenn Sie sich bei CertCentral anmelden. Um Ihre Zertifikate neu auszugeben/neu zu verschlüsseln, lesen Sie die DigiCert-Ankündigung (http://www.digicert.com/support/certificate-revocation-incident). Nachdem Sie die Zertifikate neu ausgegeben haben, aktualisieren Sie Ihre Google Cloud HTTP(S) Load Balancer-Konfiguration, indem Sie diese Anweisungen (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs) befolgen. Wenn Sie weitere Hilfe benötigen, wenden Sie sich über https://cloud.google.com/support an den Google Cloud Support.

Als ich mich bei GCP anmeldete, erschien eine Warn-/Hinweismeldung. Nachdem ich den Links gefolgt und die Informationen überprüft hatte, stellte ich fest, dass es sich im Wesentlichen um die Widerrufung bestimmter TLS-Zertifikate (0,4 %) handelte, die über DigiCert ausgestellt wurden, da bei diesen ein Problem festgestellt wurde. Zuerst dachte ich, dass 0,4 % von DigiCert nicht so schlimm seien.

Ich denke, dass viele Cloud-Administratoren in der Regel TLS-Zertifikate von ihrem jeweiligen Cloud-Anbieter oder Let's Encrypt verwenden. In anderen Fällen könnten sie möglicherweise TLS-Zertifikate aus dem On-Premise-Bereich oder benutzerdefinierte Zertifikate verwenden. Daher scheint es unwahrscheinlich, dass es zu einem großflächigen Internet-Ausfall kommen wird.

Im Folgenden finden Sie eine Zusammenfassung der Details:

1. Ursache des Problems

Bei der Domain-Validierung von DigiCert ist ein Fehler aufgetreten, bei dem bei der Verwendung von DNS-CNAME-Einträgen ein Unterstrich (_) nicht hinzugefügt wurde. Dieser Fehler bestand von August 2019 bis vor kurzem und wurde durch ein Versäumen wichtiger Sicherheitsprozesse während der Modernisierung des Systems verursacht.

2. Umfang des Problems

Etwa 0,4 % der von DigiCert ausgestellten Zertifikate sind von diesem Problem betroffen. Dieser Prozentsatz mag gering erscheinen, aber angesichts der weltweit verwendeten Zertifikate könnten eine beträchtliche Anzahl von Websites betroffen sein.

3. Maßnahmen

Die betroffenen Zertifikate müssen innerhalb von 24 Stunden widerrufen und neu ausgestellt werden. Dies ist aus Sicherheitsgründen eine sehr dringliche Maßnahme.

4. Vorgehensweise für Benutzer

• Melden Sie sich bei Ihrem CertCentral-Konto an und überprüfen Sie die betroffenen Zertifikate.
• Erstellen Sie eine neue CSR (Certificate Signing Request).
• Lassen Sie sich das Zertifikat neu ausstellen und installieren Sie es.

5. Hinweise für Benutzer von Cloud-Diensten

Benutzer von GCP oder anderen Cloud-Diensten, die benutzerdefinierte Zertifikate von DigiCert verwenden, könnten direkt von diesem Problem betroffen sein und sollten daher unverzüglich Maßnahmen ergreifen. Wenn Sie Standardzertifikate von Cloud-Anbietern oder Let's Encrypt verwenden, sollten Sie nicht direkt betroffen sein.

6. Zukünftige Entwicklungen

Dieser Vorfall verdeutlicht die Bedeutung und Komplexität der digitalen Zertifizierung. Es ist zu erwarten, dass Zertifizierungsstellen in Zukunft strengere Validierungsprozesse und Systemüberprüfungen durchführen werden.

Zusammenfassend lässt sich sagen, dass das Problem mit den DigiCert-Zertifikaten zwar nicht zu einem großflächigen Internet-Ausfall geführt hat, aber für betroffene Website-Administratoren ein wichtiges Thema ist. Wenn Sie in Cloud-Diensten wie GCP benutzerdefinierte SSL/TLS-Zertifikate verwenden, ist es wichtig, Ihre Zertifikate umgehend zu überprüfen und die notwendigen Maßnahmen zu ergreifen. So können Sie die Sicherheit Ihrer Website gewährleisten und Ihren Benutzern sichere Dienste anbieten.

Referenz :http://www.digicert.com/support/certificate-revocation-incident