Hivatalos blog
해리슨 블로그

DigiCert tanúsítványok válsága: 24 órán belül intézkedni kell az SSL/TLS biztonsági problémával kapcsolatban

  • Írás nyelve: Koreai
  • Országkód: Minden országcountry-flag
  • Informatika

Létrehozva: 2024-07-31

Létrehozva: 2024-07-31 11:26

DigiCert tanúsítványok válsága: 24 órán belül intézkedni kell az SSL/TLS biztonsági problémával kapcsolatban

GCP konzol

A DigiCert bejelentette (http://www.digicert.com/support/certificate-revocation-incident), hogy visszavon bizonyos tanúsítványokat, amelyeket nem megfelelő tartományellenőrzéssel adtak ki. Ha érintett a probléma, a DigiCert értesítést küldött a kapcsolatfelvételi e-mail címére. A CertCentralba való bejelentkezéskor megjelenik egy CNAME visszavonási incidens banner. A tanúsítványok újrakibocsátásához/újrakulcsolásához tekintse meg a DigiCert bejelentését (http://www.digicert.com/support/certificate-revocation-incident). A tanúsítványok újrakibocsátása után frissítse a Google Cloud HTTP(S) terheléselosztó konfigurációját az alábbi utasítások szerint (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). További segítségért forduljon a Google Cloud támogatásához a https://cloud.google.com/support címen.


Amikor bejelentkeztem a GCP-be, egy figyelmeztető/riasztó üzenet jelent meg. A linkek követése és az információk összefoglalása után arra a következtetésre jutottam, hogy a DigiCert által kiadott TLS tanúsítványok egy részében (0,4%) problémát azonosítottak, és ezeket a tanúsítványokat visszavonják. Mivel a DigiCert csak 0,4%-ról beszél, úgy tűnik, hogy nem egy nagy probléma.

Úgy vélem, hogy a felhőalapú szolgáltatásokat használó rendszergazdák többsége a felhőszolgáltató által biztosított TLS tanúsítványokat vagy Let's Encrypt tanúsítványokat használja. Más esetekben előfordulhat, hogy helyszíni (on-premise) vagy egyedi, testreszabott tanúsítványokat használnak, de nem valószínű, hogy ez az internetes katasztrófához vezetne.

Az általános információk a következők:

1. A probléma oka

A DigiCert tartományellenőrzési folyamata során hiba történt, amikor a DNS CNAME rekordokat használták, és nem adtak hozzá aláhúzást (_). Ez a hiba 2019 augusztusa óta egészen mostanáig fennállt, és a rendszer modernizálási folyamata során elmaradt egy fontos biztonsági eljárás.

2. Az érintett terület

A DigiCert által kiadott tanúsítványok körülbelül 0,4%-át érinti ez a probléma. Százalékosan nézve ez alacsonynak tűnhet, de ha figyelembe vesszük a világszerte használt tanúsítványok számát, akkor ez jelentős számú weboldalt érinthet.

3. Teendő

Az érintett tanúsítványokat 24 órán belül visszavonják és újra kiadják. Ez biztonsági okokból sürgős intézkedés.

4. Felhasználói válaszlépések

  • Jelentkezzen be a CertCentral fiókjába, és ellenőrizze az érintett tanúsítványokat.
  • Generáljon egy új CSR-t (Certificate Signing Request).
  • Újra bocsásson ki egy tanúsítványt, és telepítse.

5. Felhőszolgáltatásokat használók figyelmeztetése

A GCP vagy más felhőszolgáltatások felhasználói közül, akik a DigiCert egyedi tanúsítványait használják, közvetlenül érintheti ez a probléma, ezért sürgősen intézkedniük kell. Ha a felhőszolgáltató alapértelmezett tanúsítványait vagy a Let's Encrypt tanúsítványait használják, akkor valószínűleg nem érinti őket ez a probléma.

6. Jövőbeli kilátások

Ez az eset ismét rávilágít a digitális tanúsítványok fontosságára és összetettségére. Várhatóan a tanúsítványkiadó szervezetek szigorúbb ellenőrzési folyamatokat és rendszerellenőrzéseket vezetnek be a jövőben.

Összefoglalva, a DigiCert tanúsítványokkal kapcsolatos probléma nem okoz internetes káoszt, de az érintett weboldalak kezelői számára rendkívül fontos probléma. Különösen akkor, ha a GCP-hez hasonló felhőszolgáltatásokban egyedi SSL/TLS tanúsítványokat használnak, fontos, hogy azonnal ellenőrizzék a tanúsítványokat, és megtegyék a szükséges lépéseket. Ezáltal biztosítható a weboldal biztonsága, és biztonságos szolgáltatások biztosíthatók a felhasználók számára.

Hivatkozás: http://www.digicert.com/support/certificate-revocation-incident

Certificate Revocation Incident | DigiCert
DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.

www.digicert.com

Téma

  • #TLS tanúsítvány
  • #DigiCert tanúsítvány
  • #DNS CNAME
  • #biztonsági probléma
  • #weboldal biztonság

Hozzászólások0

A Cellrisz bejelenti a „SafeNoti” tanúsítvány- és előfizetési szolgáltatás lejárat-értesítő szolgáltatásátA Cellrisz bevezette a „SafeNoti” tanúsítvány-, domain- és egyéb vállalati eszközök kezelésére szolgáló szolgáltatását. A lejárat-értesítés és az integrált kezelés révén megelőzhetőek a vállalati működés leállását okozó kockázatok.
스타트업 커뮤니티 씬디스 (SeenThis.kr)
스타트업 커뮤니티 씬디스 (SeenThis.kr)
스타트업 커뮤니티 씬디스 (SeenThis.kr)
스타트업 커뮤니티 씬디스 (SeenThis.kr)

May 22, 2024