- Certificate Revocation Incident | DigiCert
- DigiCert will be revoking certificates that did not have proper Domain Control Verification (DCV). Before issuing a certificate to a customer, DigiCert validates the customer’s control or ownership over the domain name for which they are requesting a certificate using one of several methods approved by the CA/Browser Forum (CABF). One of these methods relies on the customer adding a DNS CNAME record which includes a random value provided to them by DigiCert. DigiCert then does a DNS lookup for the domain and verifies the same random value, thereby proving domain control by the customer.
GCP Konsolu
DigiCert, Domain Control Validation (Alan Adı Denetimi) işlemi olmadan bazı sertifikalar yayınladığını (http://www.digicert.com/support/certificate-revocation-incident) duyurdu. Sorundan etkilendiyseniz, DigiCert iletişim e-posta adresinize bir bildirim göndermiş olacaktır. CertCentral'a giriş yaptığınızda bir CNAME iptal olayı başlığı göreceksiniz. Sertifikalarınızı yeniden yayınlamak/yeniden anahtarlama işlemi için DigiCert duyurusuna (http://www.digicert.com/support/certificate-revocation-incident) bakın. Sertifikaları yeniden yayınladıktan sonra, bu talimatları izleyerek Google Cloud HTTP(S) Yük Dengeleyici yapılandırmanızı güncelleyin (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Ek yardıma ihtiyacınız varsa, lütfen https://cloud.google.com/support adresini kullanarak Google Cloud Desteği ile iletişime geçin.
GCP'ye giriş yaptığımda dikkat/uyarı mesajı gördüm. Bağlantıları takip edip özetlediğimde, genel olarak DigiCert aracılığıyla verilen TLS sertifikalarının bir kısmında (%0,4) sorun tespit edildiğini ve bu sertifikaların iptal edileceğini belirtti. Öncelikle DigiCert'in sadece %0,4'ünü belirtmesi nedeniyle, çok büyük bir sorun olmadığı izlenimi de edinildi.
Genellikle bulutu kullanan yöneticilerin çoğunun, bulut satıcılarının sağladığı TLS sertifikalarını veya Let's Encrypt sertifikalarını kullandığını düşünüyorum. Bunun dışında, şirket içinde veya özel olarak sertifika kullanan durumlar da olabilir ancak, bu nedenle internet çapında bir felakete yol açması beklenmiyor.
Ayrıntılı bilgiler genel olarak şöyledir:
1. Sorunun Nedeni
DigiCert'in alan adı doğrulama sürecinde, DNS CNAME kayıtlarını kullanırken alt çizgi (_) eklemeyen bir hata oluştu. Bu hata, 2019 Ağustos'tan günümüze kadar devam etti ve sistemin modernizasyon süreci sırasında önemli bir güvenlik prosedürünün atlanması sonucu ortaya çıktı.
2. Etki Alanı
DigiCert tarafından verilen sertifikaların yaklaşık %0,4'ü bu sorundan etkilendi. Oran düşük görünebilir ancak, dünya çapında kullanılan sertifika sayısı göz önüne alındığında, çok sayıda web sitesinin etkilenebileceği söylenebilir.
3. Alınacak Önlemler
Etkilenen sertifikalar 24 saat içinde iptal edilmeli ve yeniden verilmelidir. Bu, güvenlik açısından oldukça acil bir işlemdir.
4. Kullanıcı Tepkisi
- CertCentral hesabınıza giriş yaparak etkilenen sertifikaları kontrol edin.
- Yeni bir CSR (Sertifika İmzalama Talebi) oluşturun.
- Sertifikayı yeniden yayınlayın ve yükleyin.
5. Bulut Hizmeti Kullanıcıları İçin Dikkat Edilmesi Gerekenler
GCP veya diğer bulut hizmetlerini kullananlar arasında DigiCert'in özel sertifikalarını kullananlar bu sorundan doğrudan etkilenebilir ve hemen önlem almalıdır. Bulut sağlayıcısının temel sertifikalarını veya Let's Encrypt'i kullananlar doğrudan etkilenmeyecektir.
6. Gelecek Beklentiler
Bu olay, dijital sertifikanın önemini ve karmaşıklığını bir kez daha hatırlatıyor. Gelecekte sertifika kuruluşlarının daha sıkı doğrulama süreçleri ve sistem denetimleri gerçekleştirmesi bekleniyor.
Sonuç olarak, bu DigiCert sertifika sorunu internet genelinde büyük bir kargaşaya yol açmasa da, etkilenen web sitesi yöneticileri için oldukça önemli bir konudur. Özellikle GCP gibi bulut hizmetlerinde özel SSL/TLS sertifikaları kullanılıyorsa, sertifikaları hemen kontrol etmek ve gerekli önlemleri almak önemlidir. Bu sayede web sitesinin güvenliği sağlanabilir ve kullanıcılara güvenli hizmetler sunulabilir.
Yorumlar0