DigiCert証明書に関する緊急事態：24時間以内のSSL/TLSセキュリティ対策が必要

DigiCertは（http://www.digicert.com/support/certificate-revocation-incident）、適切なドメインコントロール検証なしで発行された特定の証明書を失効することを発表しました。問題の影響を受けている場合は、DigiCertから連絡先のメールアドレスに通知が送信されているはずです。CertCentralにログインすると、CNAME失効インシデントのバナーが表示されます。証明書を再発行/再キーするには、DigiCertの発表（http://www.digicert.com/support/certificate-revocation-incident）を参照してください。証明書を再発行したら、次の手順に従ってGoogle Cloud HTTP（S）ロードバランサーの構成を更新してください（https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs）。追加のヘルプが必要な場合は、https://cloud.google.com/supportからGoogle Cloudサポートにお問い合わせください。

GCPにアクセスすると、注意/警告メッセージが表示されました。リンクに従って確認し、要約すると、DigiCertを通じて発行されたTLS証明書の一部（0.4％）に問題が見つかり、それらの証明書が無効になるということです。まず、DigiCertでは0.4％とのことなので、大きな問題ではないのかもしれません。

多くの場合、クラウドを使用する管理者は、ほとんどの場合、各クラウドベンダーが提供するTLS証明書またはLet's Encrypt証明書を使用していると考えられます。それ以外の場合は、オンプレミスまたはカスタムで証明書を使用している場合もあるかもしれませんが、そのため、インターネット全体に影響が及ぶような事態にはならないと思われます。

詳細内容は、全体的に以下のとおりです：

1. 問題の原因

DigiCertのドメイン検証プロセスで、DNS CNAMEレコードを使用する際にアンダースコア（_）を追加しないバグが発生しました。このバグは2019年8月から最近まで発生しており、システムの近代化プロセスにおいて重要なセキュリティ手順が欠落していたことが原因でした。

2. 影響範囲

DigiCertが発行した証明書の約0.4％がこの問題の影響を受けています。割合で見ると小さく見えるかもしれませんが、世界中で使用されている証明書の数を考慮すると、かなりの数のウェブサイトが影響を受ける可能性があります。

3. 対策

影響を受けた証明書は24時間以内に取り消され、再発行する必要があります。これはセキュリティ上の理由から非常に緊急の措置です。

4. ユーザー対応方法

• CertCentralアカウントにログインして、影響を受けた証明書を確認します。
• 新しいCSR（Certificate Signing Request）を生成します。
• 証明書を再発行してインストールします。

5. クラウドサービス利用者の注意事項

GCPや他のクラウドサービスのユーザーで、DigiCertのカスタム証明書を使用している場合は、この問題の影響を直接受ける可能性があるため、すぐに対応する必要があります。クラウドプロバイダーのデフォルト証明書またはLet's Encryptを使用している場合は、直接的な影響はないと思われます。

6. 今後の見通し

今回の事件は、デジタル証明書の重要性と複雑さを改めて認識させます。今後、認証機関はより厳格な検証プロセスとシステムチェックを実施すると予想されます。

結論として、今回のDigiCert証明書の問題は、インターネット全体に大きな混乱を引き起こすほどではありませんが、影響を受けるウェブサイトの管理者にとっては非常に重要な問題です。特に、GCPなどのクラウドサービスでカスタムSSL/TLS証明書を使用している場合は、すぐに証明書を確認し、必要な措置を講じる必要があります。これにより、ウェブサイトのセキュリティを維持し、ユーザーに安全なサービスを提供することができます。

参照：http://www.digicert.com/support/certificate-revocation-incident