DigiCert объявила (http://www.digicert.com/support/certificate-revocation-incident), что она аннулирует определенные сертификаты, которые были выданы без надлежащей проверки доменного контроля. Если вы затронуты этой проблемой, DigiCert отправит уведомление на ваш адрес электронной почты. Вы увидите баннер инцидента аннулирования CNAME при входе в CertCentral. Чтобы перевыпустить/переключить ключи ваших сертификатов, обратитесь к объявлению DigiCert (http://www.digicert.com/support/certificate-revocation-incident). После перевыпуска сертификатов обновите конфигурацию Google Cloud HTTP(S) Load Balancer, следуя этим инструкциям (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Если вам нужна дополнительная помощь, обратитесь в службу поддержки Google Cloud по адресу https://cloud.google.com/support

Когда я заходил в GCP, появилось предупреждающее сообщение. После перехода по ссылкам и проверки я пришел к выводу, что в целом DigiCert аннулирует некоторые из выданных ею сертификатов TLS (0,4%), в которых обнаружена проблема. Во-первых, DigiCert утверждает, что это составляет всего 0,4%, так что это не выглядит как большая проблема.

Считаю, что в большинстве случаев администраторы, использующие облачные технологии, пользуются сертификатами TLS, предоставляемыми облачным провайдером, или сертификатами Let's Encrypt. В других случаях могут использоваться сертификаты, установленные локально, или настроенные вручную, но, скорее всего, до интернет-паники дело не дойдет.

Подробная информация представлена ниже:

1. Причина проблемы

Во время проверки домена DigiCert возникла ошибка, когда при использовании DNS-записи CNAME не добавлялся символ подчеркивания (_). Эта ошибка наблюдалась с августа 2019 года по настоящее время. Причиной стала ошибка в важной процедуре безопасности, которая была пропущена в процессе модернизации системы.

2. Масштаб проблемы

Примерно 0,4% сертификатов, выданных DigiCert, подверглись этой проблеме. Процент может показаться небольшим, но с учетом общего количества сертификатов, используемых по всему миру, это может затронуть значительное количество веб-сайтов.

3. Меры, принимаемые в связи с проблемой

Поврежденные сертификаты должны быть аннулированы и перевыпущены в течение 24 часов. Это очень срочное мероприятие в целях безопасности.

4. Действия, которые должны предпринять пользователи

• Войдите в свою учетную запись CertCentral, чтобы проверить, не затронут ли ваш сертификат.
• Создайте новый CSR (запрос подписи сертификата).
• Перевыпустите сертификат и установите его.

5. Предупреждение для пользователей облачных сервисов

Пользователям GCP или других облачных сервисов, которые используют собственные сертификаты DigiCert, необходимо незамедлительно принять меры, так как это может непосредственно повлиять на них. Если вы используете стандартные сертификаты облачного провайдера или Let's Encrypt, то, скорее всего, вы не столкнетесь с этой проблемой.

6. Будущие перспективы

Этот инцидент еще раз напоминает нам о важности и сложности цифровых сертификатов. Предполагается, что в будущем органы сертификации будут проводить более строгую проверку и проверку систем.

В заключение, эта проблема с сертификатами DigiCert не приведет к большому хаосу в Интернете, но она является очень важной для администраторов веб-сайтов, на которые она распространяется. Особенно важно немедленно проверить сертификат и принять необходимые меры, если вы используете собственные SSL/TLS-сертификаты в облачных сервисах, таких как GCP. Это позволит обеспечить безопасность вашего веб-сайта и предоставить пользователям безопасные услуги.

Ссылки: http://www.digicert.com/support/certificate-revocation-incident