A DigiCert bejelentette (http://www.digicert.com/support/certificate-revocation-incident), hogy visszavonnak bizonyos tanúsítványokat, amelyeket nem megfelelő Domain Control Validation nélkül adtak ki. Ha a probléma érinti Önt, a DigiCert értesítést küldött a kapcsolatfelvételi e-mail címére. A CertCentralba való bejelentkezéskor megjelenik egy CNAME visszavonási esemény szalagcím. A tanúsítványok újrakibocsátásához/újrakulcsozásához olvassa el a DigiCert bejelentést (http://www.digicert.com/support/certificate-revocation-incident). A tanúsítványok újrakibocsátása után frissítse a Google Cloud HTTP(S) Load Balancer konfigurációját a következő utasítások követésével (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Ha további segítségre van szüksége, vegye fel a kapcsolatot a Google Cloud támogatással a https://cloud.google.com/support címen.

Amikor beléptem a GCP-be, figyelmeztető/figyelmeztető üzenet jelent meg. A linkek után némi kutatás után arra a következtetésre jutottam, hogy a DigiCert által kiadott TLS-tanúsítványok egy része (0,4%) problémát mutat, és ezeket a tanúsítványokat visszavonják. Először is, a DigiCert 0,4%-os arányáról van szó, így nem tűnik olyan nagy problémaként.

Úgy gondolom, hogy sok esetben a felhőt használó adminisztrátorok a legtöbb esetben a felhő szolgáltatók által biztosított TLS-tanúsítványokat vagy a Let's Encrypt tanúsítványokat használják. Más esetekben a helyszíni vagy egyedi testreszabott tanúsítványok is előfordulhatnak, ezért nem valószínű, hogy az internetes káoszhoz vezetne.

A részletek a következők:

1. A probléma oka

A DigiCert tartományellenőrzési folyamata során hiba lépett fel a DNS CNAME rekordok használata során, amikor nem adtak hozzá aláhúzás jelet (_). Ez a hiba 2019 augusztusától a közelmúltig tartott, és az oka az volt, hogy a rendszer korszerűsítési folyamata során elmaradt egy fontos biztonsági eljárás.

2. A hatókör

A DigiCert által kiadott tanúsítványok körülbelül 0,4%-át érintette ez a probléma. Százalékos arányban nézve ez kicsi lehet, de figyelembe véve a világszerte használt tanúsítványok számát, ez jelentős számú webhelyet érinthet.

3. Tényelendő

A problémát okozó tanúsítványokat 24 órán belül visszavonják és újrakibocsátják. Ez biztonsági okokból sürgős intézkedés.

4. A felhasználói intézkedések

• Jelentkezzen be a CertCentral fiókjába, és ellenőrizze a problémát okozó tanúsítványokat.
• Hozzon létre egy új CSR-t (Certificate Signing Request).
• Újrakapja a tanúsítványt, és telepítse azt.

5. A felhőszolgáltatások felhasználóinak figyelmeztetése

Ha a GCP vagy más felhőszolgáltatások felhasználója a DigiCert egyéni tanúsítványait használja, akkor ez közvetlenül érinti, ezért azonnal intézkednie kell. Ha a felhőszolgáltató alapértelmezett tanúsítványait vagy a Let's Encrypt-et használja, akkor valószínűleg nem érinti közvetlenül.

6. A jövőbeli kilátások

Ez az esemény ismét rámutat a digitális hitelesítés fontosságára és bonyolultságára. A jövőben a tanúsító hatóságok várhatóan szigorúbb ellenőrzési eljárásokat és rendszerellenőrzéseket fognak végrehajtani.

Összefoglalva, a DigiCert tanúsítványprobléma nem okozott jelentős zavart az interneten, de rendkívül fontos probléma a problémát okozó webhelyek adminisztrátorai számára. Különösen a GCP-hez hasonló felhőszolgáltatásokban, ahol egyéni SSL/TLS-tanúsítványokat használnak, fontos a tanúsítványok azonnali ellenőrzése és a szükséges intézkedések megtétele. Ennek köszönhetően a webhelyek biztonsága megőrizhető, és a felhasználók számára biztonságos szolgáltatásokat lehet biztosítani.

Referencia: http://www.digicert.com/support/certificate-revocation-incident