Crise de Certificados DigiCert: Problema de Segurança SSL/TLS Requer Ação em 24 Horas

A DigiCert anunciou (http://www.digicert.com/support/certificate-revocation-incident) que revogaria certos certificados que foram emitidos sem a validação adequada de controle de domínio. Se você for afetado pelo problema, a DigiCert enviou uma notificação para o seu endereço de email de contato. Você verá um banner de incidente de revogação CNAME quando fizer login no CertCentral. Para reemitir/rechavear seus certificados, consulte o anúncio da DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Depois de reemitir os certificados, atualize sua configuração do Google Cloud HTTP(S) Load Balancer seguindo estas instruções (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Se precisar de ajuda adicional, entre em contato com o Suporte do Google Cloud usando https://cloud.google.com/support

Ao acessar o GCP, uma mensagem de aviso/alerta apareceu. Após seguir os links e verificar, resumindo, o conteúdo geral era de que a DigiCert havia identificado problemas em alguns (0,4%) dos certificados TLS emitidos por ela e que esses certificados seriam revogados. Em primeiro lugar, como a DigiCert afirma que apenas 0,4% estão afetados, parece que não é um problema grave.

Acredita-se que, na maioria dos casos, os administradores que utilizam a nuvem estejam usando certificados TLS fornecidos pelos próprios fornecedores de nuvem ou certificados Let's Encrypt. Outros casos podem ser de ambientes locais ou o uso de certificados personalizados, mas não parece que isso possa levar a uma grande interrupção na internet.

Os detalhes gerais são os seguintes:

1. Causa do problema

Um erro ocorreu no processo de validação de domínio da DigiCert ao usar registros CNAME DNS, onde o caractere sublinhado (_) não era adicionado. Esse erro ocorreu de agosto de 2019 até recentemente, e a causa foi a omissão de um procedimento de segurança crucial durante o processo de modernização do sistema.

2. Escopo do impacto

Cerca de 0,4% dos certificados emitidos pela DigiCert foram afetados por esse problema. Embora a porcentagem pareça pequena, considerando o número de certificados usados em todo o mundo, um número considerável de sites pode ser afetado.

3. Medidas a serem tomadas

Os certificados afetados devem ser revogados e reemitidos em até 24 horas. Essa é uma medida muito urgente por motivos de segurança.

4. Como os usuários devem agir

• Faça login na sua conta CertCentral e verifique os certificados afetados.
• Gere um novo CSR (Certificado Signing Request).
• Reemita e instale o certificado.

5. Precauções para usuários de serviços em nuvem

Usuários do GCP ou de outros serviços em nuvem que utilizam certificados personalizados da DigiCert podem ser diretamente afetados por esse problema e devem tomar medidas imediatas. Se estiverem usando certificados padrão do provedor de nuvem ou Let's Encrypt, o impacto direto parece ser mínimo.

6. Perspectivas futuras

Este incidente nos lembra mais uma vez da importância e da complexidade da certificação digital. Espera-se que, no futuro, as autoridades de certificação implementem processos de verificação mais rigorosos e realizem verificações de sistema mais frequentes.

Em conclusão, o problema com o certificado da DigiCert não causará uma grande interrupção na internet, mas é um assunto crucial para os administradores de sites afetados. Em particular, se você usa certificados SSL/TLS personalizados em serviços em nuvem como o GCP, é essencial verificar o certificado imediatamente e tomar as medidas necessárias. Isso ajudará a manter a segurança do site e fornecer serviços seguros aos usuários.

Referência: http://www.digicert.com/support/certificate-revocation-incident