DigiCert heeft aangekondigd (http://www.digicert.com/support/certificate-revocation-incident) dat ze bepaalde certificaten zouden intrekken die werden uitgegeven zonder een juiste controle van de domeinnaam. Als u door het probleem wordt getroffen, heeft DigiCert een melding naar uw contactemailadres gestuurd. U ziet een banner met een CNAME-intrekking voor incidenten wanneer u zich aanmeldt bij CertCentral. Raadpleeg de DigiCert-aankondiging (http://www.digicert.com/support/certificate-revocation-incident) om uw certificaten opnieuw uit te geven/te versleutelen. Nadat u de certificaten opnieuw hebt uitgegeven, moet u uw Google Cloud HTTP(S) Load Balancer-configuratie bijwerken door deze instructies te volgen (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Neem contact op met Google Cloud Support via https://cloud.google.com/support als u extra hulp nodig heeft.

Ik kreeg een waarschuwing/waarschuwingsbericht te zien toen ik me aanmeldde bij GCP. Na het volgen van de links en het samenvatten van de informatie bleek het dat bepaalde TLS-certificaten (0,4%) die waren uitgegeven via DigiCert een probleem hadden en dat deze certificaten werden ingetrokken. Ten eerste, aangezien DigiCert zegt dat het slechts 0,4% is, lijkt het niet zo'n groot probleem te zijn.

Ik denk dat veel beheerders die cloud gebruiken, TLS-certificaten gebruiken die worden aangeboden door de cloudprovider of Let's Encrypt. In andere gevallen kan het zijn dat ze TLS-certificaten gebruiken die on-premises zijn of die ze zelf hebben aangepast, dus ik denk niet dat het een internetbrede catastrofe zal worden.

In het algemeen is de beschrijving van het probleem als volgt:

1. Oorzaak van het probleem

Er is een bug opgetreden in het proces van DigiCert voor het valideren van domeinen, waardoor er een onderstrepingsteken (_) wordt toegevoegd aan DNS-CNAME-records. Deze bug is blijven bestaan ​​van augustus 2019 tot heden en is veroorzaakt door het feit dat belangrijke beveiligingsprocedures zijn weggelaten tijdens het moderniseringsproces van het systeem.

2. Bereik van het probleem

Ongeveer 0,4% van de certificaten die door DigiCert zijn uitgegeven, zijn getroffen door dit probleem. Hoewel dit percentage laag lijkt, kan een aanzienlijk aantal websites wereldwijd worden beïnvloed, gezien het aantal certificaten dat wereldwijd wordt gebruikt.

3. Actie vereist

Getroffen certificaten moeten binnen 24 uur worden ingetrokken en opnieuw worden uitgegeven. Dit is een zeer dringende maatregel vanwege beveiligingsredenen.

4. Hoe gebruikers moeten reageren

• Meld u aan bij uw CertCentral-account om te controleren of uw certificaat is getroffen.
• Genereer een nieuw CSR (Certificate Signing Request).
• Vraag het certificaat opnieuw aan en installeer het.

5. Belangrijk voor gebruikers van cloudservices

Gebruikers van GCP of andere cloudservices die aangepaste certificaten van DigiCert gebruiken, kunnen rechtstreeks worden getroffen door dit probleem en moeten onmiddellijk actie ondernemen. Als u standaardcertificaten van cloudproviders of Let's Encrypt gebruikt, lijkt het erop dat u niet direct wordt getroffen.

6. Toekomstverwachting

Deze gebeurtenis heeft ons opnieuw herinnerd aan het belang en de complexiteit van digitale certificering. We verwachten dat certificeringsinstanties in de toekomst strengere validatieprocessen en systeemcontroles zullen uitvoeren.

Concluderend, hoewel dit probleem met DigiCert-certificaten geen grote verstoring van het hele internet veroorzaakt, is het een zeer belangrijk probleem voor beheerders van getroffen websites. Dit is met name belangrijk voor gebruikers van cloudservices zoals GCP die aangepaste SSL/TLS-certificaten gebruiken. Controleer uw certificaten onmiddellijk en neem de nodige stappen. Op deze manier kunt u de beveiliging van uw website behouden en veilige diensten aan uw gebruikers blijven leveren.

Referentie:http://www.digicert.com/support/certificate-revocation-incident