Emergenza Certificati DigiCert: Problema di sicurezza SSL/TLS da risolvere entro 24 ore

DigiCert ha annunciato (http://www.digicert.com/support/certificate-revocation-incident) che avrebbe revocato determinati certificati rilasciati senza una corretta convalida del controllo del dominio. Se sei interessato dal problema, DigiCert ti avrà inviato una notifica al tuo indirizzo email di contatto. Vedrai un banner di incidente di revoca CNAME quando accedi a CertCentral. Per ripristinare/rigenerare le chiavi dei tuoi certificati, fai riferimento all'annuncio di DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Dopo aver riemesso i certificati, aggiorna la configurazione del tuo Google Cloud HTTP(S) Load Balancer seguendo queste istruzioni (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Se hai bisogno di ulteriore assistenza, contatta il supporto Google Cloud tramite https://cloud.google.com/support

Accedendo a GCP, è apparso un messaggio di attenzione/avviso. Seguendo i link e verificando, ho riassunto il contenuto: in sostanza, è stato riscontrato un problema in alcuni certificati TLS (0,4%) emessi tramite DigiCert, e questi certificati verranno revocati. Per prima cosa, dato che DigiCert ha segnalato solo lo 0,4%, sembra che non si tratti di un problema grave.

Credo che nella maggior parte dei casi, gli amministratori che utilizzano il cloud utilizzino certificati TLS forniti dai rispettivi vendor cloud o certificati Let's Encrypt. Altri casi potrebbero essere quelli in cui si utilizza un'infrastruttura on-premise o un certificato personalizzato, ma è improbabile che ciò possa portare a un disastro su Internet.

In generale, i dettagli sono i seguenti:

1. Causa del problema

Si è verificato un bug nel processo di verifica del dominio di DigiCert, durante il quale non veniva aggiunto l'underscore (_) al record DNS CNAME. Questo bug è perdurato da agosto 2019 fino a oggi, e la causa risiede nella mancanza di un'importante procedura di sicurezza durante il processo di modernizzazione del sistema.

2. Ambito di influenza

Circa lo 0,4% dei certificati emessi da DigiCert è stato interessato da questo problema. Sebbene la percentuale possa sembrare piccola, considerando il numero di certificati utilizzati in tutto il mondo, un numero considerevole di siti web potrebbe essere stato influenzato.

3. Misure correttive

I certificati interessati devono essere revocati e riemetti entro 24 ore. Questa è una misura urgente per motivi di sicurezza.

4. Come comportarsi per gli utenti

• Accedi al tuo account CertCentral e verifica i certificati interessati.
• Genera una nuova CSR (Certificate Signing Request).
• Rilascia e installa nuovamente il certificato.

5. Avvertenze per gli utenti dei servizi cloud

Gli utenti di GCP o di altri servizi cloud che utilizzano certificati personalizzati DigiCert potrebbero essere direttamente interessati da questo problema e devono adottare misure immediate. Se si utilizzano i certificati predefiniti del provider cloud o Let's Encrypt, non si dovrebbero verificare impatti diretti.

6. Prospettive future

Questo evento ci ricorda ancora una volta l'importanza e la complessità della certificazione digitale. Si prevede che in futuro gli enti certificatori adotteranno processi di verifica più rigorosi e controlli di sistema più accurati.

In conclusione, il problema dei certificati DigiCert non causerà un'interruzione generalizzata di Internet, ma rappresenta un problema significativo per gli amministratori dei siti web interessati. In particolare, se si utilizzano certificati SSL/TLS personalizzati su servizi cloud come GCP, è fondamentale verificare immediatamente i certificati e adottare le misure necessarie. In questo modo, si può garantire la sicurezza del sito web e fornire un servizio sicuro agli utenti.

Riferimenti: http://www.digicert.com/support/certificate-revocation-incident