Crisis de certificados DigiCert: Problema de seguridad SSL/TLS que requiere acción en 24 horas

DigiCert anunció (http://www.digicert.com/support/certificate-revocation-incident) que revocaría ciertos certificados que se emitieron sin una validación adecuada del control de dominio. Si se ve afectado por el problema, DigiCert le habrá enviado una notificación a su dirección de correo electrónico de contacto. Verá un banner de incidente de revocación de CNAME cuando inicie sesión en CertCentral. Para volver a emitir/reclavear sus certificados, consulte el anuncio de DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Una vez que haya vuelto a emitir los certificados, actualice la configuración de su Google Cloud HTTP(S) Load Balancer siguiendo estas instrucciones (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Si necesita ayuda adicional, comuníquese con el soporte de Google Cloud usando https://cloud.google.com/support

Al acceder a GCP, apareció un mensaje de advertencia/alerta. Después de seguir los enlaces y verificarlos, resumí el contenido general: se descubrió que algunos certificados TLS (0.4%) emitidos a través de DigiCert tenían problemas y se revocarían. En primer lugar, dado que DigiCert solo menciona el 0.4%, parece que no es un problema importante.

Creo que en la mayoría de los casos, los administradores que utilizan la nube utilizan certificados TLS proporcionados por cada proveedor de la nube o certificados Let's Encrypt. Otros casos podrían ser servidores locales o certificados personalizados, pero no parece que esto se vaya a traducir en un gran problema en Internet.

En general, los detalles son los siguientes:

1. Causa del problema

Se produjo un error en el proceso de validación de dominio de DigiCert al utilizar registros DNS CNAME, donde no se agregó el guion bajo (_). Este error persistió desde agosto de 2019 hasta hace poco, y la causa fue la omisión de un paso de seguridad importante durante el proceso de modernización del sistema.

2. Alcance del impacto

Aproximadamente el 0.4% de los certificados emitidos por DigiCert se vieron afectados por este problema. Si bien el porcentaje puede parecer pequeño, considerando la cantidad de certificados utilizados en todo el mundo, una cantidad considerable de sitios web podría verse afectada.

3. Medidas a tomar

Los certificados afectados deben cancelarse y volver a emitirse en un plazo de 24 horas. Esta es una medida urgente por motivos de seguridad.

4. Cómo actuar para los usuarios

• Iniciar sesión en la cuenta de CertCentral para verificar los certificados afectados.
• Generar una nueva CSR (Solicitud de firma de certificado).
• Volver a emitir e instalar el certificado.

5. Precauciones para los usuarios de servicios en la nube

Los usuarios de GCP u otros servicios en la nube que utilicen certificados personalizados de DigiCert podrían verse directamente afectados por este problema y deben tomar medidas inmediatas. Si utilizan el certificado predeterminado del proveedor de la nube o Let's Encrypt, es probable que no se vean afectados directamente.

6. Perspectivas futuras

Este incidente nos recuerda una vez más la importancia y complejidad de la certificación digital. Se espera que en el futuro las entidades de certificación implementen procesos de verificación más estrictos y revisiones de sistemas.

En conclusión, si bien este problema con los certificados DigiCert no causará una gran confusión en Internet, es un tema muy importante para los administradores de sitios web afectados. En particular, si utiliza certificados SSL/TLS personalizados en servicios en la nube como GCP, es esencial verificar los certificados y tomar las medidas necesarias de inmediato. De esta manera, podrá mantener la seguridad de su sitio web y ofrecer un servicio seguro a los usuarios.

Referencia: http://www.digicert.com/support/certificate-revocation-incident