Đây là bài viết được dịch bởi AI.
Chọn ngôn ngữ
Văn bản được tóm tắt bởi AI durumis
- DigiCert đã phát hành sai một số chứng chỉ do lỗi trong quá trình xác minh miền, dẫn đến việc hủy bỏ và cấp lại các chứng chỉ đó.
- Các chứng chỉ bị ảnh hưởng chỉ chiếm khoảng 0,4%, một con số rất nhỏ so với tổng số chứng chỉ, nhưng người dùng cần phải hành động ngay lập tức để đảm bảo bảo mật cho trang web của họ.
- Đặc biệt, nếu bạn đang sử dụng chứng chỉ SSL/TLS tùy chỉnh DigiCert trong các dịch vụ đám mây như GCP, bạn cần phải kiểm tra và cấp lại chứng chỉ để duy trì bảo mật cho trang web của mình.
GCP Console
DigiCert đã công bố (http://www.digicert.com/support/certificate-revocation-incident) rằng họ sẽ thu hồi một số chứng chỉ được cấp mà không có Xác thực Kiểm soát Miền hợp lệ. Nếu bạn bị ảnh hưởng bởi sự cố, DigiCert sẽ đã gửi thông báo đến địa chỉ email liên hệ của bạn. Bạn sẽ thấy một biểu ngữ sự cố thu hồi CNAME khi bạn đăng nhập vào CertCentral. Để cấp lại/chuyển khóa chứng chỉ của bạn, hãy tham khảo thông báo của DigiCert (http://www.digicert.com/support/certificate-revocation-incident). Sau khi bạn đã cấp lại chứng chỉ, hãy cập nhật cấu hình Google Cloud HTTP(S) Load Balancer của bạn bằng cách làm theo các hướng dẫn này (https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs). Nếu bạn cần trợ giúp thêm, vui lòng liên hệ với Hỗ trợ Google Cloud bằng cách sử dụng https://cloud.google.com/support
Khi truy cập GCP, tôi đã thấy thông báo chú ý/cảnh báo. Sau khi theo dõi các liên kết và kiểm tra, tôi đã tóm tắt rằng nội dung chung là DigiCert đã xác định được một số lỗi trong một số chứng chỉ TLS được cấp bởi DigiCert (0,4%), và họ sẽ thu hồi những chứng chỉ đó. Trước tiên, DigiCert chỉ nói rằng 0,4% là không có vấn đề gì lớn.
Trong nhiều trường hợp, tôi nghĩ rằng các quản trị viên sử dụng đám mây hầu hết sẽ sử dụng chứng chỉ TLS do các nhà cung cấp đám mây cung cấp hoặc chứng chỉ Let's Encrypt. Ngoài ra, họ có thể sử dụng chứng chỉ trực tiếp hoặc tùy chỉnh trên cơ sở nội bộ, vì vậy tôi không nghĩ rằng điều này sẽ dẫn đến sự cố toàn cầu trên internet.
Tóm lại, nội dung chi tiết như sau:
1. Nguyên nhân của vấn đề
Trong quá trình xác thực miền của DigiCert, khi sử dụng bản ghi DNS CNAME, đã xảy ra lỗi không thêm dấu gạch dưới (_). Lỗi này đã tồn tại từ tháng 8 năm 2019 đến nay và nguyên nhân là do bỏ sót các quy trình bảo mật quan trọng trong quá trình hiện đại hóa hệ thống.
2. Phạm vi ảnh hưởng
Khoảng 0,4% chứng chỉ do DigiCert cấp bị ảnh hưởng bởi vấn đề này. Tỷ lệ này có vẻ nhỏ, nhưng khi xét đến số lượng chứng chỉ được sử dụng trên toàn thế giới, nhiều trang web có thể bị ảnh hưởng.
3. Các biện pháp cần thực hiện
Các chứng chỉ bị ảnh hưởng phải bị thu hồi và cấp lại trong vòng 24 giờ. Đây là một biện pháp rất cấp bách vì lý do bảo mật.
4. Cách thức phản hồi của người dùng
- Đăng nhập vào tài khoản CertCentral để kiểm tra chứng chỉ bị ảnh hưởng.
- Tạo một CSR (Yêu cầu Ký Chứng chỉ) mới.
- Cấp lại và cài đặt chứng chỉ.
5. Lưu ý cho người dùng dịch vụ đám mây
Những người dùng GCP hoặc các dịch vụ đám mây khác đang sử dụng chứng chỉ tùy chỉnh của DigiCert có thể bị ảnh hưởng trực tiếp bởi vấn đề này, vì vậy họ cần phải thực hiện các biện pháp ngay lập tức. Nếu bạn đang sử dụng chứng chỉ cơ bản của nhà cung cấp đám mây hoặc Let's Encrypt, bạn sẽ không bị ảnh hưởng trực tiếp.
6. Dự đoán trong tương lai
Sự cố này một lần nữa nhắc nhở chúng ta về tầm quan trọng và sự phức tạp của chứng thực kỹ thuật số. Trong tương lai, các cơ quan chứng thực có thể sẽ thực hiện các quy trình xác thực và kiểm tra hệ thống nghiêm ngặt hơn.
Kết luận, vấn đề chứng chỉ DigiCert này không gây ra sự cố lớn cho toàn bộ internet, nhưng đây là vấn đề rất quan trọng đối với các quản trị viên trang web bị ảnh hưởng. Đặc biệt, nếu bạn đang sử dụng chứng chỉ SSL/TLS tùy chỉnh trong các dịch vụ đám mây như GCP, điều quan trọng là bạn phải kiểm tra chứng chỉ ngay lập tức và thực hiện các biện pháp cần thiết. Bằng cách này, bạn có thể duy trì bảo mật cho trang web của mình và cung cấp dịch vụ an toàn cho người dùng.
