- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
GCP Console
DigiCert mengumumkan (http://www.digicert.com/support/certificate-revocation-incident) bahwa mereka akan mencabut sertifikat tertentu yang diterbitkan tanpa validasi Kontrol Domain yang tepat. Jika Anda terpengaruh oleh masalah ini, DigiCert akan mengirimkan pemberitahuan ke alamat email kontak Anda. Anda akan melihat spanduk insiden pencabutan CNAME saat Anda masuk ke CertCentral. Untuk menerbitkan ulang/mengganti kunci sertifikat Anda, lihat pengumuman DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Setelah Anda menerbitkan ulang sertifikat, perbarui konfigurasi Google Cloud HTTP(S) Load Balancer Anda dengan mengikuti petunjuk ini (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Jika Anda memerlukan bantuan tambahan, silakan hubungi Dukungan Google Cloud menggunakan https://cloud.google.com/support
Saat mengakses GCP, saya menemukan pesan peringatan/peringatan. Setelah mengikuti tautan dan memeriksanya, secara ringkas, konten utamanya adalah DigiCert telah mengidentifikasi masalah pada beberapa (0,4%) sertifikat TLS yang diterbitkan melalui mereka dan mencabut sertifikat tersebut. Pertama-tama, mengingat DigiCert hanya menyatakan 0,4%, tampaknya bukan masalah besar.
Saya rasa sebagian besar administrator yang menggunakan cloud biasanya menggunakan sertifikat TLS yang disediakan oleh masing-masing vendor cloud atau sertifikat Let's Encrypt. Selain itu, mungkin ada kasus di mana mereka menggunakan sertifikat di lingkungan on-premise atau sertifikat khusus yang dibuat sendiri, tetapi saya rasa itu tidak akan menyebabkan gangguan internet yang meluas.
Secara keseluruhan, detailnya adalah sebagai berikut:
1. Penyebab Masalah
Terjadi bug pada proses verifikasi domain DigiCert saat menggunakan catatan DNS CNAME, di mana garis bawah (_) tidak ditambahkan. Bug ini terjadi sejak Agustus 2019 hingga saat ini, dan penyebabnya adalah kelalaian prosedur keamanan penting selama proses modernisasi sistem.
2. Jangkauan Pengaruh
Sekitar 0,4% dari sertifikat yang dikeluarkan DigiCert terpengaruh oleh masalah ini. Meskipun persentasenya tampak kecil, jika mempertimbangkan jumlah sertifikat yang digunakan di seluruh dunia, sejumlah besar situs web berpotensi terpengaruh.
3. Tindakan yang Diperlukan
Sertifikat yang terpengaruh harus dicabut dan diterbitkan ulang dalam waktu 24 jam. Ini adalah tindakan yang sangat mendesak karena alasan keamanan.
4. Cara Mengatasi Masalah bagi Pengguna
- Login ke akun CertCentral dan verifikasi sertifikat yang terpengaruh.
- Buat CSR (Certificate Signing Request) baru.
- Terbitkan ulang dan instal sertifikat.
5. Perhatian bagi Pengguna Layanan Cloud
Pengguna GCP atau layanan cloud lainnya yang menggunakan sertifikat khusus DigiCert dapat langsung terpengaruh oleh masalah ini, sehingga perlu mengambil tindakan segera. Jika menggunakan sertifikat default penyedia cloud atau Let's Encrypt, tampaknya tidak akan terpengaruh secara langsung.
6. Prospek ke Depan
Insiden ini sekali lagi mengingatkan kita akan pentingnya dan kompleksitas sertifikasi digital. Diperkirakan lembaga penerbit sertifikat akan menerapkan proses verifikasi yang lebih ketat dan pemeriksaan sistem di masa mendatang.
Kesimpulannya, masalah sertifikat DigiCert ini tidak menimbulkan kekacauan besar di internet, tetapi merupakan isu penting bagi administrator situs web yang terpengaruh. Khususnya bagi mereka yang menggunakan sertifikat SSL/TLS khusus di layanan cloud seperti GCP, sangat penting untuk segera memverifikasi sertifikat dan mengambil tindakan yang diperlukan. Dengan melakukan hal ini, keamanan situs web dapat dipertahankan dan layanan yang aman dapat diberikan kepada pengguna.
Komentar0