A DigiCert anunciou (http://www.digicert.com/support/certificate-revocation-incident) que revogaria certos certificados que foram emitidos sem a devida validação de controle de domínio. Se você for afetado pelo problema, a DigiCert terá enviado uma notificação para seu endereço de e-mail de contato. Você verá um banner de incidente de revogação CNAME ao fazer login no CertCentral. Para reemitir/rechavear seus certificados, consulte o anúncio da DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Depois de reemitir os certificados, atualize sua configuração do Google Cloud HTTP(S) Load Balancer seguindo estas instruções (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Se você precisar de ajuda adicional, entre em contato com o Suporte do Google Cloud usando https://cloud.google.com/support

Quando acessava o GCP, havia uma mensagem de aviso/alerta. Após seguir os links e verificar, resumidamente, o conteúdo geral era que a DigiCert havia verificado que havia um problema em alguns (0,4%) dos certificados TLS emitidos por eles e que estava revogando esses certificados. Em primeiro lugar, como a DigiCert afirma que apenas 0,4% dos certificados são afetados, parece que não é um grande problema.

Em muitos casos, os administradores que usam a nuvem provavelmente usam certificados TLS fornecidos pelos fornecedores de nuvem ou certificados Let's Encrypt. Outras opções seriam usar certificados on-premises ou personalizados, mas, portanto, é improvável que isso leve a um colapso na internet.

O detalhe geral é o seguinte:

1. Causa do problema

Um bug ocorreu no processo de verificação de domínio da DigiCert, quando o registro DNS CNAME era usado, um sublinhado (_) não era adicionado. Este bug persistiu de agosto de 2019 até recentemente e foi causado por uma falha em um procedimento de segurança importante durante o processo de modernização do sistema.

2. Escopo do impacto

Cerca de 0,4% dos certificados emitidos pela DigiCert foram afetados por esse problema. Pode parecer um número pequeno, mas, considerando o número de certificados usados ​​globalmente, um número considerável de sites pode ser afetado.

3. Ações a serem tomadas

Os certificados afetados devem ser revogados e reemitidos em 24 horas. Isso é uma medida muito urgente por motivos de segurança.

4. Como os usuários devem agir

• Faça login na sua conta do CertCentral e verifique os certificados afetados.
• Gere um novo CSR (Certificate Signing Request).
• Reavalie e instale o certificado.

5. Precauções para usuários de serviços em nuvem

Usuários de serviços em nuvem como GCP que usam certificados personalizados da DigiCert podem ser diretamente afetados por esse problema e devem tomar medidas imediatamente. Se você estiver usando o certificado padrão do fornecedor de nuvem ou o Let's Encrypt, é improvável que você seja afetado diretamente.

6. Perspectivas futuras

Este incidente nos lembra mais uma vez a importância e a complexidade da certificação digital. Espera-se que as autoridades de certificação implementem processos de verificação mais rigorosos e revisões de sistema no futuro.

Concluindo, esse problema com o certificado DigiCert não causará uma grande confusão na internet como um todo, mas é um problema muito importante para os administradores de sites afetados. Especialmente para usuários de serviços em nuvem como GCP, que usam certificados SSL/TLS personalizados, é importante verificar seus certificados imediatamente e tomar as medidas necessárias. Isso ajudará a manter a segurança do seu site e fornecer serviços seguros aos seus usuários.

Referência : http://www.digicert.com/support/certificate-revocation-incident