- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
GCP कंसोल (GCP Console)
DigiCert ने घोषणा की (http://www.digicert.com/support/certificate-revocation-incident) कि वे कुछ प्रमाणपत्रों को निरस्त कर देंगे जो उचित डोमेन नियंत्रण सत्यापन के बिना जारी किए गए थे। यदि आप इस समस्या से प्रभावित हैं, तो DigiCert ने आपके संपर्क ईमेल पते पर एक सूचना भेजी होगी। CertCentral में लॉग इन करते समय आपको एक CNAME निरसन घटना बैनर दिखाई देगा। अपने प्रमाणपत्रों को फिर से जारी करने/पुनः कुंजी करने के लिए, DigiCert की घोषणा (http://www.digicert.com/support/certificate-revocation-incident) देखें। एक बार जब आप प्रमाणपत्रों को फिर से जारी कर लेते हैं, तो इन निर्देशों (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs) का पालन करके अपने Google Cloud HTTP(S) लोड बैलेंसर कॉन्फ़िगरेशन को अपडेट करें। यदि आपको अतिरिक्त सहायता की आवश्यकता है, तो कृपया https://cloud.google.com/support का उपयोग करके Google Cloud समर्थन से संपर्क करें
GCP में प्रवेश करने पर मुझे सावधानी/चेतावनी संदेश दिखाई दिया। लिंक का पालन करने और जांच करने के बाद, संक्षेप में, पूरी सामग्री यह थी कि DigiCert के माध्यम से जारी किए गए TLS प्रमाणपत्रों में से कुछ (0.4%) में समस्या पाई गई थी और उन प्रमाणपत्रों को रद्द कर दिया जाएगा। सबसे पहले, DigiCert ने केवल 0.4% की बात कही, इसलिए ऐसा लग रहा था कि यह कोई बड़ी समस्या नहीं है।
मेरा मानना है कि अधिकांश मामलों में, क्लाउड का उपयोग करने वाले व्यवस्थापक प्रत्येक क्लाउड विक्रेता द्वारा प्रदान किए गए TLS प्रमाणपत्र या Let's Encrypt प्रमाणपत्र का उपयोग कर रहे होंगे। अन्यथा, वे ऑन-प्रीमाइसेस या कस्टम प्रमाणपत्र का उपयोग कर रहे होंगे, इसलिए मुझे नहीं लगता कि यह इंटरनेट में व्यापक व्यवधान का कारण बनेगा।
विवरण इस प्रकार हैं:
1. समस्या का कारण
DNS CNAME रिकॉर्ड का उपयोग करते समय DigiCert की डोमेन सत्यापन प्रक्रिया में एक बग था जहाँ अंडरस्कोर (_) नहीं जोड़ा गया था। यह बग अगस्त 2019 से हाल ही तक बना रहा, और सिस्टम के आधुनिकीकरण के दौरान एक महत्वपूर्ण सुरक्षा प्रक्रिया छूट गई थी, यही इसका कारण था।
2. प्रभावित दायरा
DigiCert द्वारा जारी किए गए लगभग 0.4% प्रमाणपत्र इस समस्या से प्रभावित हुए थे। यह अनुपात कम लग सकता है, लेकिन दुनिया भर में उपयोग किए जाने वाले प्रमाणपत्रों की संख्या को देखते हुए, कई वेबसाइटें प्रभावित हो सकती हैं।
3. कार्रवाई
प्रभावित प्रमाणपत्रों को 24 घंटों के भीतर रद्द कर दिया जाना चाहिए और उन्हें फिर से जारी किया जाना चाहिए। यह सुरक्षा कारणों से एक बहुत ही जरूरी कदम है।
4. उपयोगकर्ता प्रतिक्रिया विधि
- CertCentral खाते में लॉग इन करें और प्रभावित प्रमाणपत्रों की जांच करें।
- एक नया CSR (प्रमाणपत्र हस्ताक्षर अनुरोध) बनाएँ।
- प्रमाणपत्र को फिर से जारी करें और इसे स्थापित करें।
5. क्लाउड सेवा उपयोगकर्ता सावधानियां
यदि GCP या अन्य क्लाउड सेवा उपयोगकर्ता DigiCert के कस्टम प्रमाणपत्र का उपयोग कर रहे हैं, तो वे इस समस्या से सीधे प्रभावित हो सकते हैं, इसलिए उन्हें तुरंत कार्रवाई करनी चाहिए। यदि वे क्लाउड प्रदाता के डिफ़ॉल्ट प्रमाणपत्र या Let's Encrypt का उपयोग कर रहे हैं, तो उन्हें कोई प्रत्यक्ष प्रभाव नहीं होने की संभावना है।
6. भविष्य का दृष्टिकोण
इस घटना ने एक बार फिर डिजिटल प्रमाणपत्र के महत्व और जटिलता को उजागर किया है। भविष्य में, प्रमाणन प्राधिकरणों से अधिक कठोर सत्यापन प्रक्रिया और सिस्टम जांच करने की उम्मीद है।
निष्कर्षतः, DigiCert प्रमाणपत्र समस्या ने पूरे इंटरनेट में बड़ा व्यवधान नहीं डाला, लेकिन प्रभावित वेबसाइट व्यवस्थापकों के लिए यह एक महत्वपूर्ण मुद्दा है। विशेष रूप से, GCP जैसी क्लाउड सेवाओं में कस्टम SSL/TLS प्रमाणपत्रों का उपयोग करते समय, प्रमाणपत्र की जांच करना और आवश्यक कार्रवाई करना महत्वपूर्ण है। इससे वेबसाइट की सुरक्षा बनाए रखने और उपयोगकर्ताओं को सुरक्षित सेवाएं प्रदान करने में मदद मिलेगी।
टिप्पणियाँ0