DigiCert ogłosił (http://www.digicert.com/support/certificate-revocation-incident), że cofnie niektóre certyfikaty, które zostały wydane bez prawidłowej weryfikacji kontroli domeny. Jeśli jesteś dotknięty tym problemem, DigiCert wysłał powiadomienie na Twój adres e-mail kontaktowy. Po zalogowaniu się do CertCentral zobaczysz baner dotyczący incydentu cofnięcia CNAME. Aby ponownie wydać/ponownie zakodować certyfikaty, zapoznaj się z ogłoszeniem DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Po ponownym wydaniu certyfikatów zaktualizuj konfigurację Google Cloud HTTP(S) Load Balancer, postępując zgodnie z tymi instrukcjami (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Jeśli potrzebujesz dodatkowej pomocy, skontaktuj się z pomocą techniczną Google Cloud za pośrednictwem https://cloud.google.com/support

Po wejściu na GCP pojawił się komunikat ostrzegawczy/ostrzegawczy. Po kliknięciu w linki i przeanalizowaniu ich, podsumowując, ogólna treść brzmiała, że DigiCert stwierdził problemy w części (0,4%) certyfikatów TLS wydanych przez DigiCert i cofa te certyfikaty. Po pierwsze, DigiCert podaje 0,4%, więc wydaje się, że to nie jest duży problem.

Uważa się, że w wielu przypadkach administratorzy korzystający z chmury używają certyfikatów TLS dostarczonych przez dostawców usług w chmurze lub certyfikatów Let's Encrypt. W innych przypadkach może to być sytuacja z infrastrukturą lokalną lub ręcznie konfigurowanymi certyfikatami, dlatego nie wydaje się, aby miało to doprowadzić do globalnego chaosu w Internecie.

Szczegółowe informacje są w zasadzie następujące:

1. Przyczyna problemu

Podczas procesu weryfikacji domeny DigiCert wystąpił błąd podczas używania rekordów DNS CNAME, polegający na tym, że nie dodano podkreślenia (_). Błąd ten występował od sierpnia 2019 r. do niedawna i był spowodowany pominięciem ważnego kroku bezpieczeństwa podczas modernizacji systemu.

2. Zakres wpływu

Problem ten dotknął około 0,4% certyfikatów wydanych przez DigiCert. Chociaż ten odsetek może wydawać się niewielki, biorąc pod uwagę liczbę certyfikatów używanych na całym świecie, problem ten może dotknąć znacznej liczby witryn internetowych.

3. Działania

Dotknięte certyfikaty muszą zostać cofnięte i ponownie wydane w ciągu 24 godzin. Jest to bardzo pilne działanie ze względów bezpieczeństwa.

4. Metody reakcji użytkownika

• Zaloguj się do konta CertCentral, aby sprawdzić, czy certyfikaty są dotknięte.
• Utwórz nowe CSR (Certificate Signing Request).
• Ponownie wydanie i zainstalowanie certyfikatu.

5. Uwagi dla użytkowników usług w chmurze

Użytkownicy usług w chmurze, takich jak GCP, którzy używają niestandardowych certyfikatów DigiCert, mogą być bezpośrednio dotknięci tym problemem, dlatego należy natychmiast podjąć działania. Jeśli używasz domyślnych certyfikatów dostawcy usług w chmurze lub Let's Encrypt, problem ten prawdopodobnie nie będzie dotyczył bezpośrednio.

6. Perspektywy na przyszłość

To wydarzenie ponownie podkreśla znaczenie i złożoność bezpieczeństwa certyfikatów cyfrowych. Oczekuje się, że w przyszłości organy certyfikujące będą prowadzić bardziej rygorystyczne procesy weryfikacji i inspekcje systemów.

Podsumowując, problem z certyfikatem DigiCert nie stanowi zagrożenia dla całego Internetu, ale jest bardzo ważnym problemem dla administratorów witryn internetowych, których on dotyczy. Szczególnie w przypadku korzystania z niestandardowych certyfikatów SSL/TLS w usługach w chmurze, takich jak GCP, ważne jest, aby natychmiast sprawdzić certyfikaty i podjąć niezbędne kroki. Pozwoli to utrzymać bezpieczeństwo witryn internetowych i zapewnić użytkownikom bezpieczne usługi.

Odnośnik: http://www.digicert.com/support/certificate-revocation-incident