Khủng hoảng chứng chỉ DigiCert: Vấn đề bảo mật SSL/TLS cần giải quyết trong vòng 24 giờ

DigiCert đã thông báo (http://www.digicert.com/support/certificate-revocation-incident) rằng họ sẽ thu hồi một số chứng chỉ nhất định đã được cấp mà không có Xác thực Kiểm soát Miền hợp lệ. Nếu bạn bị ảnh hưởng bởi sự cố này, DigiCert sẽ đã gửi thông báo đến địa chỉ email liên hệ của bạn. Bạn sẽ thấy biểu ngữ sự cố thu hồi CNAME khi đăng nhập vào CertCentral. Để cấp lại/tái tạo khóa chứng chỉ của bạn, hãy tham khảo thông báo của DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Sau khi bạn đã cấp lại chứng chỉ, hãy cập nhật cấu hình Trình cân bằng tải HTTP(S) của Google Cloud bằng cách làm theo các hướng dẫn này (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Nếu bạn cần trợ giúp thêm, vui lòng liên hệ với Bộ phận Hỗ trợ của Google Cloud bằng cách sử dụng https://cloud.google.com/support

Khi truy cập GCP, tôi đã thấy một thông báo cảnh báo/lỗi. Sau khi theo dõi các liên kết và kiểm tra, tôi đã tóm tắt nội dung như sau: Toàn bộ nội dung là DigiCert đã phát hiện ra một số vấn đề trong một số chứng chỉ TLS (chiếm 0,4%) được cấp thông qua DigiCert và họ sẽ thu hồi các chứng chỉ đó. Đầu tiên, tỷ lệ 0,4% của DigiCert có vẻ không phải là vấn đề lớn.

Tôi cho rằng trong nhiều trường hợp, các quản trị viên sử dụng dịch vụ đám mây thường sử dụng chứng chỉ TLS do các nhà cung cấp dịch vụ đám mây cung cấp hoặc chứng chỉ Let's Encrypt. Các trường hợp khác có thể là sử dụng chứng chỉ trong môi trường On-Premise hoặc chứng chỉ tùy chỉnh, vì vậy tôi nghĩ rằng sẽ không dẫn đến tình trạng gián đoạn toàn cầu trên internet.

Nội dung chi tiết về vấn đề này như sau:

1. Nguyên nhân của vấn đề

Lỗi đã xảy ra trong quá trình xác minh miền của DigiCert khi sử dụng bản ghi DNS CNAME, cụ thể là việc không thêm dấu gạch dưới (_) vào. Lỗi này đã kéo dài từ tháng 8 năm 2019 đến nay, và nguyên nhân là do bỏ qua các bước bảo mật quan trọng trong quá trình hiện đại hóa hệ thống.

2. Phạm vi ảnh hưởng

Khoảng 0,4% chứng chỉ do DigiCert cấp bị ảnh hưởng bởi sự cố này. Mặc dù tỷ lệ này có vẻ nhỏ, nhưng khi xét đến số lượng chứng chỉ được sử dụng trên toàn cầu, có thể ảnh hưởng đến một lượng đáng kể các trang web.

3. Các biện pháp khắc phục

Các chứng chỉ bị ảnh hưởng cần phải bị thu hồi và cấp lại trong vòng 24 giờ. Đây là một biện pháp rất cấp bách vì lý do bảo mật.

4. Cách thức xử lý của người dùng

• Đăng nhập vào tài khoản CertCentral để kiểm tra các chứng chỉ bị ảnh hưởng.
• Tạo yêu cầu ký chứng chỉ mới (CSR - Certificate Signing Request).
• Cấp lại và cài đặt chứng chỉ.

5. Lưu ý cho người dùng dịch vụ đám mây

Nếu bạn là người dùng GCP hoặc các dịch vụ đám mây khác và đang sử dụng chứng chỉ tùy chỉnh của DigiCert, bạn có thể bị ảnh hưởng trực tiếp bởi sự cố này và cần phải thực hiện các biện pháp khắc phục ngay lập tức. Nếu bạn đang sử dụng chứng chỉ mặc định của nhà cung cấp dịch vụ đám mây hoặc Let's Encrypt, thì có vẻ như bạn sẽ không bị ảnh hưởng trực tiếp.

6. Triển vọng trong tương lai

Sự cố này một lần nữa nhắc nhở chúng ta về tầm quan trọng và sự phức tạp của chứng chỉ kỹ thuật số. Dự kiến trong tương lai, các cơ quan cấp chứng chỉ sẽ thực hiện các quy trình xác minh nghiêm ngặt hơn và kiểm tra hệ thống thường xuyên hơn.

Tóm lại, sự cố chứng chỉ DigiCert lần này không gây ra sự hỗn loạn lớn trên toàn bộ internet, nhưng đây lại là một vấn đề rất quan trọng đối với các quản trị viên trang web bị ảnh hưởng. Đặc biệt, nếu bạn đang sử dụng chứng chỉ SSL/TLS tùy chỉnh trong các dịch vụ đám mây như GCP, việc kiểm tra chứng chỉ và thực hiện các biện pháp cần thiết ngay lập tức là rất quan trọng. Điều này sẽ giúp duy trì bảo mật cho trang web và cung cấp dịch vụ an toàn cho người dùng.

Tham khảo: http://www.digicert.com/support/certificate-revocation-incident