- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
GCP Console
DigiCert hat angekündigt (http://www.digicert.com/support/certificate-revocation-incident), dass bestimmte Zertifikate, die ohne ordnungsgemäße Domain Control Validation ausgestellt wurden, widerrufen werden. Wenn Sie von dem Problem betroffen sind, hat DigiCert eine Benachrichtigung an Ihre Kontakt-E-Mail-Adresse gesendet. Sie sehen ein Banner zu einem CNAME-Widerrufsvorfall, wenn Sie sich bei CertCentral anmelden. Um Ihre Zertifikate neu auszugeben/neu zu verschlüsseln, lesen Sie die DigiCert-Ankündigung (http://www.digicert.com/support/certificate-revocation-incident). Nachdem Sie die Zertifikate neu ausgestellt haben, aktualisieren Sie Ihre Google Cloud HTTP(S) Load Balancer-Konfiguration, indem Sie diese Anweisungen befolgen (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Wenn Sie zusätzliche Hilfe benötigen, wenden Sie sich bitte über https://cloud.google.com/support an den Google Cloud Support.
Als ich mich bei GCP anmeldete, wurde eine Warn-/Hinweismeldung angezeigt. Nach dem Folgen der Links und der Überprüfung der Informationen stellte ich fest, dass es bei einigen (0,4 %) der über DigiCert ausgestellten TLS-Zertifikate Probleme gab und diese Zertifikate widerrufen werden. Da DigiCert nur von 0,4 % spricht, scheint es zunächst kein großes Problem zu sein.
Ich denke, dass die meisten Administratoren, die Cloud-Dienste nutzen, in der Regel TLS-Zertifikate verwenden, die von den jeweiligen Cloud-Anbietern bereitgestellt werden, oder Let's Encrypt-Zertifikate. Andere Fälle könnten On-Premise- oder benutzerdefinierte Zertifikate sein, daher wird es wahrscheinlich nicht zu einem Internet-Ausfall kommen.
Die genauen Einzelheiten sind im Allgemeinen wie folgt:
1. Ursache des Problems
Bei der Domainüberprüfung von DigiCert ist ein Fehler aufgetreten, bei dem beim Verwenden von DNS-CNAME-Einträgen kein Unterstrich (_) hinzugefügt wurde. Dieser Fehler trat von August 2019 bis vor Kurzem auf und wurde durch das Auslassen eines wichtigen Sicherheitsschritts während der Systemmodernisierung verursacht.
2. Ausmaß der Auswirkungen
Etwa 0,4 % der von DigiCert ausgestellten Zertifikate sind von diesem Problem betroffen. Dieser Anteil mag gering erscheinen, aber angesichts der weltweit verwendeten Zertifikate könnte eine beträchtliche Anzahl von Websites betroffen sein.
3. Maßnahmen
Betroffene Zertifikate müssen innerhalb von 24 Stunden widerrufen und neu ausgestellt werden. Dies ist aus Sicherheitsgründen eine sehr dringliche Maßnahme.
4. Vorgehensweise für Benutzer
- Melden Sie sich bei Ihrem CertCentral-Konto an und überprüfen Sie, ob Ihre Zertifikate betroffen sind.
- Erstellen Sie eine neue CSR (Certificate Signing Request).
- Lassen Sie das Zertifikat neu ausstellen und installieren Sie es.
5. Hinweise für Cloud-Dienstleistungsnutzer
GCP- oder andere Cloud-Dienstleistungsnutzer, die benutzerdefinierte Zertifikate von DigiCert verwenden, könnten direkt von diesem Problem betroffen sein und sollten umgehend Maßnahmen ergreifen. Wenn Sie die Standardzertifikate des Cloud-Anbieters oder Let's Encrypt verwenden, sollten Sie nicht direkt betroffen sein.
6. Zukünftige Entwicklungen
Dieser Vorfall erinnert uns erneut an die Bedeutung und Komplexität digitaler Zertifikate. Es ist zu erwarten, dass Zertifizierungsstellen in Zukunft strengere Überprüfungsprozesse und Systemprüfungen durchführen werden.
Zusammenfassend lässt sich sagen, dass das DigiCert-Zertifikatproblem zwar keine große Störung des gesamten Internets verursacht, aber für die Betreiber von Websites ein wichtiges Thema ist. Insbesondere wenn Sie in Cloud-Diensten wie GCP benutzerdefinierte SSL/TLS-Zertifikate verwenden, ist es wichtig, die Zertifikate umgehend zu überprüfen und die notwendigen Maßnahmen zu ergreifen. Auf diese Weise können Sie die Sicherheit Ihrer Website gewährleisten und Ihren Nutzern sichere Dienste anbieten.
Kommentare0