- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
GCP Console
DigiCert heeft aangekondigd (http://www.digicert.com/support/certificate-revocation-incident) dat ze bepaalde certificaten zouden intrekken die zijn uitgegeven zonder de juiste Domain Control Validation. Als u door het probleem wordt getroffen, heeft DigiCert een kennisgeving naar uw contactemailadres gestuurd. U ziet een CNAME-intrekking incidentbanner wanneer u zich aanmeldt bij CertCentral. Raadpleeg voor het opnieuw uitgeven/rekeyen van uw certificaten de DigiCert-aankondiging (http://www.digicert.com/support/certificate-revocation-incident). Nadat u de certificaten opnieuw hebt uitgegeven, werkt u de configuratie van uw Google Cloud HTTP(S) Load Balancer bij door de volgende instructies te volgen (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Als u extra hulp nodig heeft, neem dan contact op met Google Cloud Support via https://cloud.google.com/support
Toen ik inlogde op GCP, zag ik een waarschuwings-/waarschuwingsbericht. Na het volgen van de links en het controleren van de informatie, bleek dat het in het algemeen ging om het intrekken van een aantal (0,4%) TLS-certificaten die waren uitgegeven via DigiCert, omdat er problemen mee waren geconstateerd. Aangezien DigiCert zelf aangeeft dat het slechts 0,4% betreft, lijkt het geen groot probleem te zijn.
Ik denk dat veel cloudbeheerders over het algemeen TLS-certificaten gebruiken die worden aangeboden door de respectieve cloudproviders of Let's Encrypt-certificaten. Andere gevallen zouden kunnen zijn dat er gebruik wordt gemaakt van on-premise certificaten of aangepaste certificaten. Daarom verwacht ik niet dat dit tot een internetcrisis zal leiden.
De gedetailleerde informatie is als volgt:
1. Oorzaak van het probleem
Bij het verificatieproces van DigiCert voor domeinen is er een bug opgetreden waarbij er geen onderstrepingsteken (_) werd toegevoegd bij het gebruik van DNS CNAME-records. Deze bug heeft van augustus 2019 tot voor kort bestaan en werd veroorzaakt door het overslaan van een belangrijke beveiligingsprocedure tijdens het moderniseringsproces van het systeem.
2. Impactbereik
Ongeveer 0,4% van de certificaten die door DigiCert zijn uitgegeven, is getroffen door dit probleem. Hoewel dit percentage klein lijkt, kan een aanzienlijk aantal websites wereldwijd worden beïnvloed als we kijken naar het totale aantal certificaten dat wereldwijd wordt gebruikt.
3. Maatregelen
Betrokken certificaten moeten binnen 24 uur worden ingetrokken en opnieuw worden uitgegeven. Dit is een zeer dringende maatregel om veiligheidsredenen.
4. Aanpak voor gebruikers
- Log in op uw CertCentral-account en controleer of er certificaten zijn die zijn getroffen.
- Genereer een nieuwe CSR (Certificate Signing Request).
- Vraag een nieuw certificaat aan en installeer het.
5. Voorzorgsmaatregelen voor cloudgebruikers
GCP-gebruikers en gebruikers van andere cloudservices die aangepaste DigiCert-certificaten gebruiken, kunnen rechtstreeks worden getroffen door dit probleem en moeten onmiddellijk actie ondernemen. Gebruikers die de standaardcertificaten van de cloudprovider of Let's Encrypt gebruiken, zullen waarschijnlijk niet worden getroffen.
6. Toekomstverwachtingen
Deze gebeurtenis herinnert ons opnieuw aan het belang en de complexiteit van digitale certificaten. Naar verwachting zullen certificeringsinstanties in de toekomst strengere verificatieprocedures en systeemcontroles uitvoeren.
Kortom, het probleem met DigiCert-certificaten zal waarschijnlijk niet leiden tot grote verstoringen op internet, maar het is wel een belangrijke kwestie voor beheerders van getroffen websites. Vooral gebruikers van cloudservices zoals GCP die aangepaste SSL/TLS-certificaten gebruiken, dienen hun certificaten onmiddellijk te controleren en de nodige stappen te ondernemen. Dit zorgt ervoor dat de beveiliging van de website wordt gehandhaafd en gebruikers een veilige service wordt geboden.
Reacties0