DigiCertは、適切なドメインコントロール検証なしに発行された特定の証明書を無効にすることを発表しました（http://www.digicert.com/support/certificate-revocation-incident）。問題の影響を受ける場合は、DigiCertから連絡先のメールアドレスに通知が届いているはずです。CertCentralにログインすると、CNAME失効インシデントのバナーが表示されます。証明書を再発行/再キーするには、DigiCertの発表（http://www.digicert.com/support/certificate-revocation-incident）を参照してください。証明書を再発行したら、次の手順に従ってGoogle Cloud HTTP（S）ロードバランサー構成を更新します（https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs）。追加のヘルプが必要な場合は、https://cloud.google.com/supportを使用してGoogle Cloudサポートにお問い合わせください。

GCPにアクセスすると、注意/警告メッセージが表示されました。リンクに従って確認して要約すると、DigiCertから発行されたTLS証明書の一部（0.4％）に問題があることが確認され、これらの証明書は無効になります。 DigiCertでは0.4％であるため、大きな問題ではないように見えます。

多くの場合、クラウドを使用する管理者は、ほとんどの場合、各クラウドベンダーが提供するTLS証明書またはLet's Encrypt証明書を使用していると考えられます。それ以外の場合、オンプレミスまたはカスタム証明書を直接使用している可能性がありますが、インターネット大惨事にはつながらないでしょう。

詳細については、全体として次のとおりです。

1. 問題の原因

DigiCertのドメイン検証プロセスでDNS CNAMEレコードを使用する場合、アンダースコア（_）が追加されないバグが発生しました。このバグは2019年8月から最近まで発生しており、システムの近代化プロセスで重要なセキュリティ手順が省略されたことが原因でした。

2. 影響範囲

DigiCertが発行した証明書の約0.4％がこの問題の影響を受けました。比率で見ると小さく見えるかもしれませんが、世界中で使用されている証明書の数を考えると、かなりの数のWebサイトが影響を受ける可能性があります。

3. 対策

影響を受ける証明書は、24時間以内に取り消され、再発行する必要があります。これは、セキュリティ上の理由から非常に緊急の対策です。

4. ユーザー対応方法

• CertCentralアカウントにログインして、影響を受ける証明書を確認します。
• 新しいCSR（証明書署名要求）を作成します。
• 証明書を再発行してインストールします。

5. クラウドサービスユーザーに関する注意

GCPまたは他のクラウドサービスユーザーで、DigiCertのカスタム証明書を使用している場合は、この問題の影響を直接受ける可能性があるため、すぐに対策を講じる必要があります。クラウドプロバイダーの基本証明書またはLet's Encryptを使用している場合は、直接的な影響はないと予想されます。

6. 今後の展望

この事件は、デジタル証明書の重要性と複雑さを改めて思い出させてくれます。今後、認証機関はより厳格な検証プロセスとシステムチェックを実施すると予想されます。

結論として、このDigiCert証明書の問題は、インターネット全体に大きな混乱を引き起こすほどではありませんが、影響を受けるWebサイトの管理者にとっては非常に重要な問題です。特に、GCPなどのクラウドサービスでカスタムSSL/TLS証明書を使用している場合は、すぐに証明書を確認して必要な対策を講じることが重要です。これにより、Webサイトのセキュリティを維持し、ユーザーに安全なサービスを提供できます。

参照：http://www.digicert.com/support/certificate-revocation-incident