- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
คอนโซล GCP
DigiCert ประกาศ (http://www.digicert.com/support/certificate-revocation-incident) ว่าจะเพิกถอนใบรับรองบางใบที่ออกโดยไม่ได้มีการตรวจสอบการควบคุมโดเมนอย่างถูกต้อง หากคุณได้รับผลกระทบจากปัญหานี้ DigiCert จะส่งการแจ้งเตือนไปยังที่อยู่อีเมลติดต่อของคุณ คุณจะเห็นแบนเนอร์เหตุการณ์การเพิกถอน CNAME เมื่อคุณเข้าสู่ระบบ CertCentral ในการออกใบรับรองใหม่/ออกคีย์ใหม่ โปรดดูที่ประกาศของ DigiCert (http://www.digicert.com/support/certificate-revocation-incident) เมื่อคุณออกใบรับรองใหม่แล้ว ให้ปรับปรุงการกำหนดค่า Google Cloud HTTP(S) Load Balancer ของคุณโดยทำตามคำแนะนำเหล่านี้ (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs) หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อฝ่ายสนับสนุนของ Google Cloud โดยใช้ https://cloud.google.com/support
เมื่อเข้าสู่ระบบ GCP พบข้อความเตือน/คำเตือน ปรากฏขึ้น ฉันได้ตรวจสอบลิงก์และสรุปเนื้อหาแล้ว พบว่าเนื้อหาโดยรวมคือ DigiCert ได้ตรวจพบปัญหาในใบรับรอง TLS บางส่วน (0.4%) ที่ออกให้ และจะเพิกถอนใบรับรองเหล่านั้น ก่อนอื่น DigiCert ระบุว่ามีเพียง 0.4% เท่านั้น ดังนั้นจึงดูเหมือนว่าจะไม่ใช่ปัญหาใหญ่
ฉันคิดว่าผู้ดูแลระบบที่ใช้คลาวด์ส่วนใหญ่จะใช้ใบรับรอง TLS ที่ผู้ให้บริการคลาวด์แต่ละรายจัดเตรียมให้ หรือใบรับรอง Let's Encrypt ส่วนกรณีอื่นๆ อาจใช้ใบรับรองแบบออนพรีมิสหรือแบบกำหนดเอง แต่ฉันคิดว่าคงไม่ส่งผลกระทบต่ออินเทอร์เน็ตทั้งหมด
โดยทั่วไป รายละเอียดมีดังนี้:
1. สาเหตุของปัญหา
เกิดข้อผิดพลาดในกระบวนการตรวจสอบโดเมนของ DigiCert เมื่อใช้ DNS CNAME record โดยไม่ได้เพิ่มเครื่องหมายขีดล่าง (_) ข้อผิดพลาดนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2019 จนถึงปัจจุบัน สาเหตุเกิดจากการข้ามขั้นตอนความปลอดภัยที่สำคัญในระหว่างกระบวนการปรับปรุงระบบ
2. ขอบเขตที่ได้รับผลกระทบ
ใบรับรองที่ DigiCert ออกให้ประมาณ 0.4% ได้รับผลกระทบจากปัญหานี้ แม้ว่าสัดส่วนจะดูน้อย แต่เมื่อพิจารณาจากจำนวนใบรับรองที่ใช้ทั่วโลกแล้ว เว็บไซต์จำนวนมากอาจได้รับผลกระทบ
3. มาตรการแก้ไข
ใบรับรองที่ได้รับผลกระทบจะต้องถูกเพิกถอนและออกใหม่ภายใน 24 ชั่วโมง นี่เป็นมาตรการเร่งด่วนเพื่อความปลอดภัย
4. วิธีการแก้ปัญหาของผู้ใช้
- เข้าสู่ระบบบัญชี CertCentral เพื่อตรวจสอบใบรับรองที่ได้รับผลกระทบ
- สร้าง CSR (Certificate Signing Request) ใหม่
- ออกใบรับรองใหม่และติดตั้ง
5. ข้อควรระวังสำหรับผู้ใช้บริการคลาวด์
ผู้ใช้บริการคลาวด์ เช่น GCP หรือบริการอื่นๆ ที่ใช้ใบรับรองแบบกำหนดเองของ DigiCert อาจได้รับผลกระทบโดยตรงจากปัญหานี้ ดังนั้นควรดำเนินการแก้ไขโดยเร็วที่สุด สำหรับผู้ที่ใช้ใบรับรองเริ่มต้นของผู้ให้บริการคลาวด์หรือ Let's Encrypt คาดว่าจะไม่ส่งผลกระทบโดยตรง
6. แนวโน้มในอนาคต
เหตุการณ์นี้เป็นการเตือนให้ระลึกถึงความสำคัญและความซับซ้อนของการรับรองดิจิทัลอีกครั้ง คาดว่าในอนาคตหน่วยงานออกใบรับรองจะดำเนินการตรวจสอบและตรวจสอบระบบอย่างเข้มงวดมากขึ้น
สรุปแล้ว ปัญหาใบรับรอง DigiCert ครั้งนี้ไม่ได้ส่งผลกระทบต่ออินเทอร์เน็ตทั้งหมด แต่เป็นประเด็นสำคัญสำหรับผู้ดูแลเว็บไซต์ที่ได้รับผลกระทบ โดยเฉพาะอย่างยิ่งผู้ที่ใช้ SSL/TLS แบบกำหนดเองในบริการคลาวด์ เช่น GCP ควรตรวจสอบใบรับรองและดำเนินการแก้ไขโดยเร็วที่สุด เพื่อรักษาความปลอดภัยของเว็บไซต์และให้บริการที่ปลอดภัยแก่ผู้ใช้
ความคิดเห็น0