DigiCert a annoncé (http://www.digicert.com/support/certificate-revocation-incident) qu'il révoquerait certains certificats qui ont été émis sans une validation de contrôle de domaine appropriée. Si vous êtes affecté par le problème, DigiCert vous aura envoyé une notification à votre adresse e-mail de contact. Vous verrez une bannière d'incident de révocation CNAME lorsque vous vous connecterez à CertCentral. Pour re-émettre/re-cléer vos certificats, reportez-vous à l'annonce DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Une fois que vous avez re-émis les certificats, mettez à jour votre configuration Google Cloud HTTP(S) Load Balancer en suivant ces instructions (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Si vous avez besoin d'une aide supplémentaire, veuillez contacter le support Google Cloud à l'aide de https://cloud.google.com/support

J'ai accédé à GCP et j'ai trouvé un message d'avertissement/d'alerte. Après avoir suivi les liens et vérifié, j'ai résumé que le contenu global était que DigiCert avait constaté un problème dans certains (0,4 %) des certificats TLS qu'ils avaient émis, et qu'ils révoquaient ces certificats. Tout d'abord, DigiCert dit que seulement 0,4 % sont concernés, donc cela ne semble pas être un gros problème.

Je pense que dans de nombreux cas, les administrateurs qui utilisent le cloud utilisent généralement des certificats TLS fournis par chaque fournisseur de cloud ou des certificats Let's Encrypt. Sinon, ils pourraient utiliser des certificats sur site ou personnalisés, mais cela ne devrait pas entraîner de chaos Internet.

Voici un résumé du contenu détaillé :

1. Cause du problème

Un bogue s'est produit lors du processus de vérification de domaine de DigiCert, lorsque le DNS CNAME record était utilisé, un underscore (_) n'était pas ajouté. Ce bogue a persisté d'août 2019 à récemment, et a été causé par l'omission d'une étape de sécurité importante lors du processus de modernisation du système.

2. Portée de l'impact

Environ 0,4 % des certificats émis par DigiCert ont été touchés par ce problème. En termes de pourcentage, cela peut paraître faible, mais compte tenu du nombre de certificats utilisés dans le monde, un nombre important de sites Web peuvent être touchés.

3. Mesures à prendre

Les certificats affectés doivent être révoqués et réémis dans les 24 heures. Il s'agit d'une mesure urgente pour des raisons de sécurité.

4. Comment les utilisateurs peuvent-ils réagir ?

• Connectez-vous à votre compte CertCentral pour vérifier les certificats affectés.
• Générer une nouvelle CSR (Certificate Signing Request).
• Réémettre et installer le certificat.

5. Points à noter pour les utilisateurs de services cloud

Les utilisateurs de services cloud tels que GCP qui utilisent des certificats personnalisés DigiCert peuvent être directement touchés par ce problème et doivent prendre des mesures immédiates. Les utilisateurs qui utilisent les certificats par défaut du fournisseur de cloud ou Let's Encrypt ne devraient pas être directement touchés.

6. Perspectives d'avenir

Cet incident nous rappelle une fois de plus l'importance et la complexité de la certification numérique. On peut s'attendre à ce que les autorités de certification mettent en œuvre des processus de vérification et des examens de système plus stricts à l'avenir.

En conclusion, ce problème de certificat DigiCert n'est pas susceptible de provoquer un chaos généralisé sur Internet, mais il s'agit d'un problème très important pour les administrateurs de sites Web affectés. En particulier, si vous utilisez des certificats SSL/TLS personnalisés dans des services cloud tels que GCP, il est important de vérifier immédiatement votre certificat et de prendre les mesures nécessaires. Cela permettra de maintenir la sécurité de votre site Web et de fournir des services sûrs aux utilisateurs.

Références : http://www.digicert.com/support/certificate-revocation-incident