Kryzys certyfikatów DigiCert: Konieczne działania w zakresie SSL/TLS w ciągu 24 godzin

DigiCert ogłosił (http://www.digicert.com/support/certificate-revocation-incident), że odwoła niektóre certyfikaty, które zostały wydane bez odpowiedniej weryfikacji kontroli domeny. Jeśli jesteś dotknięty tym problemem, DigiCert wysłał powiadomienie na Twój adres e-mail kontaktowy. Po zalogowaniu się do CertCentral zobaczysz baner dotyczący incydentu odwołania CNAME. Aby ponownie wydać/przegenerować swoje certyfikaty, zapoznaj się z ogłoszeniem DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Po ponownym wydaniu certyfikatów zaktualizuj konfigurację Google Cloud HTTP(S) Load Balancer, postępując zgodnie z tymi instrukcjami (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Jeśli potrzebujesz dodatkowej pomocy, skontaktuj się z pomocą techniczną Google Cloud za pośrednictwem https://cloud.google.com/support

Po zalogowaniu się do GCP pojawił się komunikat ostrzegawczy/ostrzeżenie. Po sprawdzeniu linków i podsumowaniu treści okazało się, że chodzi o anulowanie niektórych certyfikatów TLS (0,4%) wydanych przez DigiCert, w których wykryto problem. Na pierwszy rzut oka, biorąc pod uwagę, że DigiCert mówi o 0,4%, wydaje się, że to nie jest poważny problem.

Uważam, że większość administratorów korzystających z chmury używa certyfikatów TLS dostarczonych przez dostawców chmury lub certyfikatów Let's Encrypt. Inne przypadki to używanie certyfikatów w środowisku lokalnym lub własnych, niestandardowych certyfikatów. Dlatego nie wydaje się, aby sytuacja ta doprowadziła do jakiegoś globalnego problemu w internecie.

Szczegółowe informacje są następujące:

1. Przyczyna problemu

W procesie weryfikacji domeny DigiCert wystąpił błąd polegający na dodawaniu podkreślenia (_) do rekordów DNS CNAME. Błąd ten występował od sierpnia 2019 r. do niedawna i był spowodowany pominięciem ważnej procedury bezpieczeństwa podczas modernizacji systemu.

2. Zakres wpływu

Problem ten dotyczy około 0,4% certyfikatów wydanych przez DigiCert. Chociaż procent ten może wydawać się niewielki, biorąc pod uwagę liczbę certyfikatów używanych na całym świecie, może to wpłynąć na znaczną liczbę stron internetowych.

3. Działania naprawcze

Dotknięte certyfikaty muszą zostać odwołane i ponownie wydane w ciągu 24 godzin. Jest to bardzo pilne działanie ze względów bezpieczeństwa.

4. Sposoby reagowania użytkowników

• Zaloguj się do swojego konta CertCentral i sprawdź, czy Twój certyfikat został dotknięty.
• Wygeneruj nowe żądanie podpisywania certyfikatu (CSR - Certificate Signing Request).
• Ponownie wydany certyfikat i zainstaluj go.

5. Uwagi dla użytkowników usług w chmurze

Użytkownicy GCP lub innych usług w chmurze, którzy używają niestandardowych certyfikatów DigiCert, mogą być bezpośrednio dotknięci tym problemem i powinni podjąć natychmiastowe działania. Jeśli korzystasz ze standardowych certyfikatów dostawcy chmury lub Let's Encrypt, nie powinieneś być bezpośrednio dotknięty.

6. Perspektywy na przyszłość

To wydarzenie ponownie przypomina o znaczeniu i złożoności cyfrowych certyfikatów. Oczekuje się, że w przyszłości instytucje certyfikujące będą stosować bardziej rygorystyczne procesy weryfikacji i kontrole systemów.

Podsumowując, problem z certyfikatami DigiCert nie spowoduje poważnych zakłóceń w Internecie, ale jest to bardzo istotna kwestia dla administratorów stron internetowych, których dotyczy. W szczególności w przypadku korzystania z niestandardowych certyfikatów SSL/TLS w usługach w chmurze, takich jak GCP, ważne jest, aby natychmiast sprawdzić certyfikaty i podjąć niezbędne kroki. Dzięki temu zapewnisz bezpieczeństwo swojej witryny i będziesz mógł świadczyć użytkownikom bezpieczne usługi.

Odnośnik: http://www.digicert.com/support/certificate-revocation-incident