Кризис сертификатов DigiCert: Необходимы действия в течение 24 часов для решения проблем безопасности SSL/TLS

DigiCert объявила (http://www.digicert.com/support/certificate-revocation-incident), что они аннулируют определенные сертификаты, выданные без надлежащей проверки управления доменом. Если вы затронуты проблемой, DigiCert отправила уведомление на ваш контактный адрес электронной почты. Вы увидите баннер инцидента аннулирования CNAME при входе в CertCentral. Чтобы перевыпустить/перезаключить ваши сертификаты, обратитесь к объявлению DigiCert (http://www.digicert.com/support/certificate-revocation-incident). После перевыпуска сертификатов обновите конфигурацию балансировщика нагрузки HTTP(S) Google Cloud, следуя этим инструкциям (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Если вам нужна дополнительная помощь, обратитесь в службу поддержки Google Cloud, используя https://cloud.google.com/support

При входе в GCP появилось предупреждающее/предупредительное сообщение. Последовав по ссылкам и проверив информацию, я подытожил, что в целом суть сводится к тому, что DigiCert обнаружила проблемы в некоторых (0,4%) из выданных TLS-сертификатов и аннулирует их. В первую очередь, судя по тому, что DigiCert упоминает о 0,4%, ситуация не кажется критичной.

Полагаю, что в большинстве случаев администраторы, использующие облачные сервисы, используют TLS-сертификаты, предоставляемые поставщиками облачных услуг, такими как GCP или Let's Encrypt. Другие варианты – это использование сертификатов из локальной среды (on-premise) или собственных, разработанных вручную, однако, вероятность того, что это приведет к глобальному сбою в работе интернета, крайне мала.

Подробная информация в целом выглядит следующим образом:

1. Причина проблемы

При использовании DNS-записей CNAME в процессе проверки домена DigiCert произошла ошибка, заключающаяся в добавлении символа подчеркивания (_). Эта ошибка наблюдалась с августа 2019 года до недавнего времени и была вызвана пропуском важных мер безопасности в процессе модернизации системы.

2. Область воздействия

Приблизительно 0,4% сертификатов, выпущенных DigiCert, затронуты этой проблемой. Хотя процент кажется небольшим, учитывая общее количество сертификатов, используемых во всем мире, значительное число веб-сайтов может быть затронуто.

3. Меры

Затронутые сертификаты должны быть аннулированы и перевыпущены в течение 24 часов. Это очень срочная мера в целях безопасности.

4. Действия пользователей

• Войдите в свою учетную запись CertCentral и проверьте наличие затронутых сертификатов.
• Создайте новый CSR (запрос на подпись сертификата).
• Перевыпустите и установите сертификат.

5. Предупреждения для пользователей облачных сервисов

Пользователи GCP или других облачных сервисов, использующие пользовательские сертификаты DigiCert, могут быть напрямую затронуты этой проблемой, поэтому необходимо незамедлительно принять меры. Если вы используете стандартные сертификаты, предоставленные облачным провайдером, или Let's Encrypt, то, вероятно, вы не будете напрямую затронуты.

6. Будущие перспективы

Этот инцидент еще раз напомнил нам о важности и сложности цифровых сертификатов. Ожидается, что в будущем центры сертификации будут проводить более строгие проверки и проверки систем.

В заключение, проблема с сертификатами DigiCert, хотя и не привела к серьезным нарушениям в работе интернета, является важной проблемой для администраторов веб-сайтов, которые подвержены ее влиянию. Особенно важно своевременно проверить сертификаты и предпринять необходимые действия, если вы используете пользовательские SSL/TLS-сертификаты в таких облачных сервисах, как GCP. Это позволит вам поддерживать безопасность вашего веб-сайта и обеспечивать пользователям безопасные услуги.

Ссылки : http://www.digicert.com/support/certificate-revocation-incident