DigiCert ha annunciato (http://www.digicert.com/support/certificate-revocation-incident) che avrebbe revocato alcuni certificati che sono stati rilasciati senza una corretta convalida del controllo del dominio. Se sei interessato dal problema, DigiCert avrà inviato una notifica all'indirizzo email di contatto. Vedrai un banner di incidente di revoca CNAME quando accedi a CertCentral. Per ripubblicare/richiavare i tuoi certificati, consulta l'annuncio di DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Una volta ripubblicati i certificati, aggiorna la configurazione del tuo Google Cloud HTTP(S) Load Balancer seguendo queste istruzioni(https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Se hai bisogno di ulteriore assistenza, contatta il supporto di Google Cloud utilizzando https://cloud.google.com/support

Accedendo a GCP, è apparso un messaggio di attenzione/avviso. Seguendo i link e verificando, riassumendo, il contenuto generale è che DigiCert ha rilevato un problema in alcuni (0,4%) certificati TLS rilasciati tramite DigiCert e ha revocato tali certificati. Innanzitutto, DigiCert afferma che si tratta solo dello 0,4%, quindi non sembra un problema grave.

Si ritiene che nella maggior parte dei casi, gli amministratori che utilizzano il cloud stiano utilizzando i certificati TLS forniti da ciascun fornitore di cloud o i certificati Let's Encrypt. In altri casi, potrebbe trattarsi di certificati on-premise o personalizzati, quindi non è previsto che ciò si traduca in un disastro su Internet.

I dettagli sono generalmente i seguenti:

1. Causa del problema

Si è verificato un bug nel processo di verifica del dominio di DigiCert quando si utilizza il record DNS CNAME, in cui non viene aggiunto l'underscore (_). Questo bug è durato dal agosto 2019 fino a poco tempo fa ed è stato causato dalla mancanza di importanti procedure di sicurezza durante il processo di modernizzazione del sistema.

2. Ambito di applicazione

Circa lo 0,4% dei certificati rilasciati da DigiCert sono stati interessati da questo problema. Anche se la percentuale può sembrare piccola, considerando il numero di certificati utilizzati in tutto il mondo, un numero considerevole di siti web potrebbe essere interessato.

3. Misure correttive

I certificati interessati devono essere revocati e ripubblicati entro 24 ore. Questa è una misura molto urgente per motivi di sicurezza.

4. Come rispondere gli utenti

• Accedi al tuo account CertCentral e verifica i certificati interessati.
• Crea una nuova CSR (Certificate Signing Request).
• Richiedi e installa un nuovo certificato.

5. Avvertenze per gli utenti di servizi cloud

Gli utenti di servizi cloud come GCP o altri servizi cloud che utilizzano i certificati personalizzati di DigiCert potrebbero essere direttamente interessati da questo problema e dovrebbero prendere provvedimenti immediati. Se si utilizzano i certificati di base del fornitore cloud o Let's Encrypt, non è prevista un'influenza diretta.

6. Prospettive future

Questo incidente ci ricorda ancora una volta l'importanza e la complessità della certificazione digitale. Si prevede che in futuro le autorità di certificazione implementeranno processi di verifica e controlli di sistema più rigorosi.

In conclusione, questo problema dei certificati DigiCert non è abbastanza grave da causare un grande disordine su Internet, ma è una questione molto importante per gli amministratori dei siti web interessati. In particolare, se si utilizzano certificati SSL/TLS personalizzati in servizi cloud come GCP, è importante verificare immediatamente i certificati e adottare le misure necessarie. In questo modo, sarà possibile garantire la sicurezza del sito web e fornire un servizio sicuro agli utenti.

Riferimento: http://www.digicert.com/support/certificate-revocation-incident