- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
Console GCP
DigiCert a annoncé (http://www.digicert.com/support/certificate-revocation-incident) qu'il révoquerait certains certificats qui avaient été émis sans une validation appropriée du contrôle de domaine. Si vous êtes affecté par le problème, DigiCert vous aura envoyé une notification à l'adresse e-mail de votre contact. Vous verrez une bannière d'incident de révocation CNAME lorsque vous vous connecterez à CertCentral. Pour réémettre/recléer vos certificats, reportez-vous à l'annonce de DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Une fois que vous avez réémis les certificats, mettez à jour la configuration de votre Google Cloud HTTP(S) Load Balancer en suivant ces instructions (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Si vous avez besoin d'une aide supplémentaire, veuillez contacter le support Google Cloud en utilisant https://cloud.google.com/support
En me connectant à GCP, j'ai vu un message d'avertissement/d'alerte. Après avoir suivi les liens et vérifié, j'ai résumé le contenu global : il s'avère que certains certificats TLS (0,4%) émis via DigiCert présentaient un problème, et ces certificats sont donc révoqués. Tout d'abord, étant donné que DigiCert indique seulement 0,4%, cela ne semble pas être un problème majeur.
Je pense que la plupart des administrateurs qui utilisent le cloud utilisent le plus souvent les certificats TLS fournis par chaque fournisseur de cloud ou les certificats Let's Encrypt. Les autres cas peuvent être des cas d'utilisation de certificats sur site ou personnalisés, mais je ne pense pas que cela conduise à une panne d'Internet généralisée.
Voici un résumé plus détaillé du problème :
1. Cause du problème
Une erreur s'est produite lors du processus de validation de domaine de DigiCert lors de l'utilisation d'enregistrements DNS CNAME, où un caractère de soulignement (_) n'était pas ajouté. Cette erreur s'est produite entre août 2019 et récemment, et la cause était une omission d'une étape de sécurité importante lors de la modernisation du système.
2. Portée de l'impact
Environ 0,4 % des certificats émis par DigiCert ont été affectés par ce problème. Bien que le pourcentage puisse sembler faible, compte tenu du nombre de certificats utilisés dans le monde, un nombre important de sites Web peuvent être affectés.
3. Mesures à prendre
Les certificats affectés doivent être révoqués et réémis dans les 24 heures. Il s'agit d'une mesure urgente pour des raisons de sécurité.
4. Comment les utilisateurs peuvent-ils réagir ?
- Connectez-vous à votre compte CertCentral pour vérifier les certificats affectés.
- Générer une nouvelle demande de signature de certificat (CSR).
- Réémettre et installer le certificat.
5. Précautions pour les utilisateurs de services cloud
Les utilisateurs de services cloud tels que GCP qui utilisent des certificats personnalisés DigiCert peuvent être directement affectés par ce problème et doivent prendre des mesures immédiates. Si vous utilisez les certificats par défaut du fournisseur de cloud ou Let's Encrypt, vous ne devriez pas être directement affecté.
6. Perspectives d'avenir
Cet incident nous rappelle une fois de plus l'importance et la complexité de la certification numérique. À l'avenir, on peut s'attendre à ce que les autorités de certification mettent en œuvre des processus de validation plus stricts et des vérifications système plus fréquentes.
En conclusion, ce problème de certificat DigiCert n'est pas susceptible de provoquer une perturbation majeure d'Internet, mais il s'agit d'un problème important pour les administrateurs de sites Web affectés. En particulier, si vous utilisez des certificats SSL/TLS personnalisés dans des services cloud tels que GCP, il est important de vérifier immédiatement vos certificats et de prendre les mesures nécessaires. Cela permettra de garantir la sécurité de votre site Web et de fournir des services sûrs à vos utilisateurs.
Commentaires0